Meltdown und Spectre: Update Panik! Oder auch nicht...

IconIconIcon

Meltdown, Spectre... wieder werden Stichwörter die Themen bestimmen, wenn man sich über die Probleme mit Updates in der IT unterhält. Und wieder wird erstmal viel Panik geschürt und weniger auf das echte Problem und vor allem die Gegenmaßnahmen eingegangen.

Sehen wir uns also kurz an, wie der momentane mediale Tenor vom 04.01.2018 aussieht:

Zuerst muss hier gleich klargestellt werden, dass diese Lücke keinesfalls erst wenige Tage bekannt ist. Google selbst spricht davon, dass dieses Problem schon ab ca. Juni 2017 aktiv bekämpft wird und die Öffentlichkeit erst am 09.01.2018 davon erfahren sollte. Dieser Zeitplan wurde allerdings verändert, da das vermehrte Aufkommen von Updates zu Fragen führte und nun in den letzten Tagen schon zu viel darüber berichtet wurde.

Wichtige erste Erkenntnis: Diese Sicherheitslücke ist schon länger in der Branche bekannt...

...und nahezu alle größeren Firmen arbeiten schon eine geraume Weile an Lösungen.

Im zweiten Punkt soll kurz auf die beiden benannten Sicherheitslücken eingegangen werden.

Meltdown und Spectre sind also die Namen für diese Lücken. Die Angriffsflächen betreffen aktuelle Prozessoren der Firmen Intel, AMD und ARM. Weitere sind wahrscheinlich ebenfalls betroffen, da es sich bei den Lücken um das Ausnutzen einer heutzutage üblichen Art der Prozessoren-Konstruktion handelt.

Meltdown soll sich über einen Patch direkt stoppen lassen, welcher allerdings eventuell eine größere Einbuße bei der Performance zufolge haben könnte.

Spectre dagegen ist noch nicht mit einem Patch beizukommen. Allerdings ist diese Lücke wohl auch wesentlich schwieriger ausnutzbar.

Die wichtige zweite Erkenntnis: So ziemlich jeder ist betroffen...

...wahrscheinlich alle aktuellen Prozessoren in Geräten wie Laptops, Tablets oder Smartphones.

Hört sich also wirklich schlimm an. Ist es in der Theorie wahrscheinlich auch. Allerdings wurde schon erwähnt, dass Meltdown bereits gepatcht wurde und an einer Lösung für Spectre gearbeitet wird. Updates der Systeme, sofern verfügbar, sollten also immer eingespielt werden.

Nun folgt aber der entscheidende dritte Punkt…

Forscher der TU Graz haben laut Artikel im Spiegel beide Lücken ausnutzen können und sind sich nicht sicher, ob es nicht schon Fälle gegeben hätte. Ebenfalls wird in verschiedenen Artikeln bei N-TV und der Welt erwähnt, dass ja auch die sonst so sicheren Cloud Lösungen betroffen seien. Hier kommen wir aber zu dem wichtigsten Punkt: beide Lücken lassen Daten der Systeme auslesen, falls diese nicht zusätzlich verschlüsselt sind. Also ist das Auslesen von Passwörtern schon mal recht unwahrscheinlich, es sei denn, es existiert auf dem Rechner ein Dokument, in welchem alle Passwörter aufgeschrieben wurden. Wir sind uns sicherlich einig, dass das schon so eine viel größere Lücke wäre.

Der noch wichtigere folgende Punkt zählt allerdings für private Anwender genauso wie für Cloud Dienste, macht aber das Ausnutzen dieser Lücke bei Cloud Diensten nahezu unmöglich. Wir sprechen hier davon, dass sich die gesamte Lücke nur ausnutzen lässt, wenn der Angreifer es schafft eine Software auf dem Gerät zu installieren!

Dies kann privat über Anhänge von E-Mails oder dergleichen geschehen oder bei älteren Browserversionen über JavaScript. Die Wahrscheinlichkeit, dass solche Programme allerdings bei Ihrem Cloud Anbieter installiert werden können, darf als sehr gering eingestuft werden.

Wichtige dritte Erkenntnis und auch das Fazit:

Anwender sollten, wie vorher auch, keine Passwörter in Dokumenten speichern. Ebenfalls sollten unbekannte Anhänge oder Programme nicht wahllos auf den Systemen installiert werden, da diese immer Schadsoftware enthalten können.

Updates sollten immer gleich eingespielt werden.

Cloud Dienste wie Google G Suite sind nur in der Theorie betroffen und werden sicher nicht auf die zu erwartenden Angriffe hereinfallen.

Also keine Panik, sondern nur weiterhin umsichtig bei der Installation oder dem Herunterladen von unbekannten Inhalten sein!

Autor

Dennis Ratzlaff ist freier IT-Berater und Trainer in plus3trainings (XING)

Quellen
Zurück zum Blog