Über die beiden IT-Sicherheitslücken Meltdown und Spectre haben sie sicher schon viel Verwirrendes und Beunruhigendes gehört. Dabei handelt es sich nicht um die üblichen Software-Fehler, die es Hackern erlauben, unberechtigt auf etwas zuzugreifen, sondern die Probleme liegen tiefer – in der Hardware, nämlich der Architektur der Mikroprozessoren.
EU-Mittel retten die IT
Als ich die Details sah, schwirrte mir der Kopf. Es ist kein Wunder, dass diese Lücken erst nach fast 20 Jahren entdeckt worden sind. Man muss schon sehr tief in die (undokumentierten) Details der Chip-Architektur eindringen, um so etwas zu entdecken. Interessanterweise fanden parallel mehrere Forschergruppen diese unerwarteten Eigenschaften. In Graz wurde diese Forschungsarbeit mit EU-Mitteln gefördert.
Das Problem durch Meltdown und Spectre
Allgegenwärtige Prozessor-Optimierungen ermöglichen unprivilegierten Programmen (z.B. Browsern) Ihre Geheimnisse aus dem Hauptspeicher auszulesen. Passwörter, Kreditkartennummern, Zertifikate, alles. Spuren: keine.
Eine aktive Ausnutzung wurde noch nicht beobachtet. Zumindest bei Meltdown ist das eine (kurze) Frage der Zeit. Hier kann der Angriff auch besonders einfach über einen Browser kommen.
Spectre ist dagegen für generelle Schadprogramme unbrauchbar, da es prozessorspezifisch ist, also bei unterschiedlichen Prozessoren auch unterschiedlich programmiert werden muss. Für Kriminelle, die mit wenig Aufwand viel abgreifen wollen, ist Spectre damit uninteressant, für Behörden und Industriespione, die gezielt bestimmte Prozessoren manipulieren möchten, dagegen ideal.
Betroffen sind moderne PCs mit Prozessoren von Intel und deutlich weniger, da nur von Spectre betroffen, AMD. Handys verwenden ARM-Prozessoren. Auch diese sind in ihren modernen Varianten anfällig.
Wie können Meltdown und Spectre entschärft werden?
Alles neu kaufen? Prozessoren ohne diese Lücke gibt es noch nicht. Also muss die Software es retten. Die Prozessor-Hersteller haben vor langer Zeit eine Möglichkeit zur nachträglichen Fehler-Korrektur eingebaut. Man kann beim Systemstart in die Prozessoren Dateien (Microcode-Patches) laden, die Fehler korrigieren und neue Eigenschaften und Befehle ermöglichen.
Alles gut? Leider nein – denn die Hersteller Intel, AMD und Co. müssen für ihren gesamten Zoo (über einhundert Prozessorvarianten) jeweils passende Microcode-Patches liefern. Zusammen mit Änderungen in den Betriebssystemen sind Meltdown und Spectre dann entschärft.
Die Betriebssystem-Anbieter haben Lösungen entwickelt. Sie hatten fast ein halbes Jahr Zeit dafür.
Dabei wird Geschwindigkeit geopfert. Das ergibt Verluste, erwartet werden bis 30%. Bei den Tischrechnern eher weniger, vielleicht 5%. Sie werden es bei grafik-lastigen Spielen wahrscheinlich zuerst bemerken.
Was ist konkret zu tun?
Zunächst: Warten sie ab, bis die Hersteller der Rechner und Betriebssysteme die Patches bereitstellen. Die Patches für aktuelle Windows-Versionen (7, 8.1 und 10) und die meisten Linux-Distributionen (openSUSE, SLES, Debian/Ubuntu, Fedora, Red Hat) gibt es bereits.
Dann fehlen nur noch die Microcode-Patches. Sie werden über das BIOS bzw. UEFI bei jedem Systemstart eingespielt. Das ist die im Rechner dauerhaft eingebaute Software, die den Rechner zuerst einrichtet und für den Start des Betriebssystems bereit macht. BIOS wird bei älteren Rechnern verwendet, UEFI bei modernen.
Das BIOS/UEFI mit den Microcode-Patches pflegen die Hersteller. Sie geben Updates aber nur für aktuelle Rechner heraus. Diese müssen sie über ein spezielles Progamm auf ungewohnten Wegen in den Rechner einspielen. Freiwillig mache ich das nie. Hier ist es aber nötig!
Bei älteren Systemen stehen sie wohl mangels Updates vom Hersteller im Regen. Es gibt mit etwas Glück alternative Wege zum Patchen des BIOS, welche man sich aus dem Netz suchen muss. Keine schöne Aussicht!
Wie von selbst, z.B. mit einem Windows-Update, geschehen BIOS oder UEFI-Updates nicht!
Linux-Nutzer haben es diesmal einfacher: Dort wird, falls das BIOS bzw. UEFI die Patches nicht eingespielt hat, beim Bootprozess durch das Linux-Startsystem der Prozessor gepatcht. Das hat Windows vor der Version 10 auch so gemacht. Der Systemstart ist jetzt aber so gestaltet, dass man diese Option nicht mehr hat. Bei PCs sind die Maßnahmen also:
- BIOS oder UEFI mit dem Hersteller-Programm patchen (nur bei Windows nötig)
- Betriebssystem-Patches (Windows, Linux, MacOS) einspielen
Nur mit beiden Maßnahmen ist der Rechner danach wieder sicher.
Im Moment gibt es für Windows 7, – 8.1 und – 10, MacOS 10.13 und die großen Linux-Distributionen Patches. Rechner mit älteren Systemen sollte man auch aus anderen Sicherheitsgründen nicht betreiben. Ohne das nötige BIOS oder UEFI-Update sollte man kein Windows-System betreiben.
Was ist mit anderen Geräten zu tun?
Mikroprozessoren sind inzwischen in vielen anderen Geräten am Werk. Solange auf diese keine Software eingespielt wird, ist keine Aktion nötig. Damit ist z.B. ihr Auto wahrscheinlich sicher. Aber nicht ihr Smartphone. Dort muss man die Patches der Hersteller einspielen. Bei Apple-Geräten ist das einfach, solange sie nicht zu alt sind. Updates gibt es dafür bereits. Bei Android-Handys (wenn sie nicht steinalt sind) fällt man in die Lücke zwischen dem Betriebssystem-Hersteller Google und dem Geräte-Hersteller. Alle Updates liefert hier nur der Geräte-Hersteller, nicht Google. Diese müssen Android an ihre Hardware jeweils anpassen. Das kann dauern und bleibt bei älteren Modellen meist aus.
Für neuere Handys wird es Updates geben, sonst ist es besser ein neues Handy kaufen. Oder das Risiko eingehen. Bei Home-Banking mit dem Handy kann das leichtsinnig sein. Eine scheinbar harmlose App könnte die wichtigen Kronjuwelen (mTANs, Zugangscodes) verraten. Als Folge ist Ihr Konto dann leer, und sie um eine Erfahrung reicher.
Meine Einschätzung: Ruhe bewahren 🙂
Die beiden Szenarien Spectre I und II haben das größte Potential, sind aber sehr komplex umzusetzen. Für die nächste Zeit habe ich da wenig Sorgen.
Meltdown ist nur bei Intel wirksam, wird aber schon durch die Software-Patches (kein BIOS-Update nötig) behoben.
Weiterführende Informationen