Land

Security Blog

Meltdown & Spectre: Auf einer Skala von 1 bis 10: Wie gut sind Sie vorbereitet?

Eine Welle von offensiver Schadsoftware unbekannten Ausmaßes ist im Anrollen.

Ein kurzer Rückblick zum Anfang des Jahres 2018: Die Ankündigung und Offenlegung der Spectre- und Meltdown-Schwachstellen werden als eine der umfangreichsten Sicherheitslücken in der bisherigen Geschichte der IT-Security klassifiziert.

Sie betreffen nahezu alle modernen Prozessorsysteme und ist in den Ursprüngen auf ein CPU-Design seit dem Jahr 1995 zurückzuführen. Dadurch, dass nahezu alle aktuellen Systeme, wie Server, Notebooks, PCs und auch Smartphones sowie Tablets betroffen sind, können die umfassenden und weitreichenden Folgen nur sehr schwer im gesamten Ausmaß abgeschätzt werden.

Die verschiedenen Bemühungen, schnellstmöglich neue Firmware für CPUs zur Verfügung zu stellen, waren teilweise nur bedingt erfolgreich. Erste tiefgehende Fehlerbereinigungen waren nicht ausgereift und wurden inzwischen auch schon wieder zurückgezogen. Die Vorgehensweisen der Hersteller waren dabei nicht gerade vertrauenserweckend. Während zwar angekündigt wurde, dass neue Generationen der kommenden CPUs keine Anfälligkeit der Design-Schwächen mehr enthalten sollen, ist dies für alle Anwender mit existenter Hardware nur ein sehr schwacher Trost.

Inzwischen sollten zu einer ersten Eingrenzung zumindest für aktuelle Softwarepakete zweckmäßige Vorkehrungen auf der Ebene von Betriebssysteme und Kernapplikationen, wie Internet-Browser und E-Mail Sicherheit möglich und realisierbar sein. Offen ist hingegen weiterhin eine mögliche und sinnvolle Vorgehensweise bei etwas älteren Systemen, für welche es keine direkten Updates mehr gibt und auch noch nicht angekündigt wurden. Genauso sind Geräte, welche sich bereits außerhalb der offiziellen Unterstützung befinden, weiterhin stark gefährdet. Dies betrifft z.B. auch sehr viele Android-Smartphones und Tablets, bei denen die Verteilung von Updates durch die jeweiligen Hersteller schon bisher alles andere als gut gelungen war. Ob sich die Benutzer dieser Systeme dessen Schwächen und Gefahren bewusst sind, mag hier auch in Frage gestellt werden.

Im Rahmen der aktuellen Vorkommnisse erfahren die beiden Lücken Meltdown und Spectre grosse Aufmerksamkeit in der gesamten IT-Branche. Verschiedene private und auch öffentliche Sicherheitsforscher beobachten in den letzten Tagen eine stark ansteigende Zahl von Schadsoftware, die direkt auf die Ausnützung dieser Lücken abzielt. Durch verschiedene Analysen konnten inzwischen schon über 130 Arten von Malware identifiziert werden. Während viele noch auf den ursprünglichen Algorithmen der ersten Proof-of-Concept Software-Codes aufbauen, zeigen diese doch, dass hier verschiedene Konzepte bereits angepasst und aktiv weiterentwickelt werden. Es sind dies erste Hinweise, wonach einzelne "Gehversuche" unternommen werden, um neue Arten von Schadsoftware auf Basis dieser weitreichenden Schwachstellen zu realisieren. Wohin sich diese weiter entwickeln, hängt natürlich auch von den verschiedenen Bedingungen in der freien Umwelt vor. Konkret übersetzt bedeutet dies: Inwiefern diesesmal die Anwender in der Lage und auch bereit sind, die notwendigen Sicherheitsaktualisierungen für die Systeme einzuspielen und zu aktivieren. Die Vorkommnisse des letzten Jahres haben hier leider aufgezeigt, dass dies noch nicht überall üblich und selbstverständlich ist. Für die verwendeten Schwachstellen der Ransomware WannaCry und NotPetya aus dem Jahr 2017, haben bereits über 2 Monate lang dementsprechende Updates existiert.

Während die verschiedenen Hardware-Hersteller noch nicht in der Lage sind, zuverlässige Sicherheitsupdates für die einzelnen CPUs zu liefern, ist die aktuelle Empfehlung noch immer das Betriebssystem sowie mögliche Browser- und Anwendungsupdates zu verwenden. Ergänzend ist der Einsatz von aktueller und regelmäßig mit Updates versorgter Anti-Virus-Software dringend zu empfehlen, welche in der Lage ist, diese Arten von Malware zu erkennen und zumindest einen umfassenden Basis-Schutz zu identifizierter Malware zu realisieren.