Die beiden Sicherheitslücken Specre und Meltdown werden meist in einem Atemzug genannt, da beide eine ähnliche Lücke ausnutzen, wenn auch mit jeweils anderer Funktionsweise.
Was ist eigentlich das Problem?
Doch was ist eigentlich die Lücke, die hier potenziell ausgenutzt wird? Bisher ist man davon ausgegangen, dass die Trennung der Prozesse, die zu verschiedenen Programmen gehören, im Arbeitsspeicher zuverlässig umgesetzt wird. Also – laienhaft ausgedrückt – dass Excel nicht weiß was Powerpoint in ihrem Prozessor so tut. Doch nun wurden wir eines Besseren belehrt: Seit rd. 2 Jahrzehnten besteht die Möglichkeit, mit Malware den Arbeitsspeicher anderer Programme auszulesen. Es gibt damit eine fehlende Abgrenzung auf Prozessorebene. Dieses Problem betrifft alle Endgeräte – sowohl PCs, Tablets als auch Smartphones, als auch virtuelle Umgebungen, wie sie oft von Cloud Services eingesetzt werden.
2 Probleme – unterschiedliche Gefahr
Der Unterschied zwischen Spectre und Meltdown ist für Laien eigentlich irrelevant.
- Meltdown zielt auf die spekulative Ausführung von Prozessoren ab. Dabei werden die wahrscheinlichsten Befehle bereits vorab berechnet, um die Leistung der Prozessoren zu optimieren. Dabei kann prozessorenübergreifend Speicher ausgelesen und Datem zweckentfremdet werden.
- Spectre beschreibt eine Schwachstelle, die es möglich macht, den aktuell laufenden Vorgang auszulesen. Dabei wird die Abschottung zwischen den Programmen umgangen.
Ob diese Fehler in den Prozessoren in den letzten Jahrzehnten ausgenutzt wurden, weiß niemand. Es wurde noch kein Angriff offiziell publik. Zumindest nährt das die Hoffnung von ausgebliebenem Missbrauch.
Server-Architektur schützt Ihre Daten
Als Befragungskunde von vieconsult im Rahmen von Mitarbeiterbefragungen oder 360° Feedbackbefragungen fragt man sich vielleicht: Was bedeutet das für unsere Befragungsdaten? Sind/waren diese auch betroffen?
Natürlich haben auch unsere Server die betroffenen Prozessoren verbaut (und daher wurden auch bereits alle bisher verfügbaren Betriebssystem-Updates und Microcode-Updates der Hersteller installiert). Aber es gibt keine sicherheitsrelevanten Auswirkung auf unsere Kunden. Ihre Daten sind sicher!
Warum wir dies behaupten können?
- Zunächst einmal haben wir unsere eigene Dedicated Server Hardware, auf der Daten gespeichert und verarbeitet werden. Wir teilen also unsere Server mit keinen Dritten was damit ein Auslesen für Dritte quer durch den Arbeitsspeicher unmöglich macht. Gerade bei Meltdown besteht das Leck ja genau darin, dass Informationen auch vom Server-Nachbarn ausgelesen werden können (wie es bei der Nutzung von Services wie AWS oder Azure, bei denen tlw. Daten physikalisch neben den Daten anderer Kunden liegen, theoretisch möglich wäre). Wir betreiben unsere eigenen Befragungsserver in einem ISO 27001 zertifizierten Servercenter.
- Zum anderen wäre es – um Meltdown oder Spectre-Attacken auf Serversysteme anzuwenden – notwendig Programmcode aus Fremd-Quellen auf den Systemen auszuführen. Auf unseren Servern wird jedoch ausschließlich Programmcode ausgeführt dem wir vertrauen. Es gibt keine Möglichkeit Programmcode auf den Systemen auszuführen, welcher aus anderen Quellen stammt.
Als Fazit: Die besagten Sicherheitslücken haben bei unserer Grundarchitektur nur minimale Auswirkung in der Praxis.
Aktualisieren Sie Ihre Geräte
Der Server ist aber nur die eine Seite der Medaille. Die andere Seite sind die Clients – die unserer Kunden und unsere eigenen. Um sich gegen Meltdown und Spectre zu schützen, ist es deshalb auch dringend notwendig, schnell alle bereitgestellten Updates der Hersteller einzuspielen. Und auch hier macht vieconsult seine Hausaufgaben und ist dank Auto-Updates von Betriebssystem, Firmware und Anti-Malware/Virus und der Beratung unserer IT-Betreuer rasch auf der sicheren Seite. Ach ja: Ihre Daten sind übrigens auch auf unseren Festplatten vollverschlüsselt und alle Passwörter in einem Passwörter-Safe verschlüsselt gespeichert.
Sie haben dennoch Fragen zu diesem Thema? Kontaktieren Sie uns gerne!
Nutzen Sie unsere Expertise!
Das Thema dieses Beitrags interessiert Sie? In unserem vieJournal-Newsletter teilen wir mit Ihnen regelmäßig Praxistipps und Praxiserfahrungen aus unserem Projektalltag. Bleiben Sie am Laufenden!
Newsletter abonnieren