Kurz nach Neujahr wurde die gesamte IT-Branche mit einer Hiobsbotschaft überrascht: Sicherheitsforscher haben in fast allen CPUs die Sicherheitslücken Meltdown und Spectre gefunden (bereits rund 6 Monate früher) und nun publiziert.
Zuerst ein paar Fakten zu den neuen Sicherheitslücken:
- Die entdeckten Sicherheitslücken basieren auf dem Design der CPUs die in fast allen Geräten, vom Server bis zum Handy, seit 1995 verbaut wurden.
Das heisst: Fast alle Computer-Systeme, vom Handy, Tablet, PC bis zu den Servern unabhängig vom Hersteller und Betriebssystem sind mehr oder weniger stark davon betroffen.
ACHTUNG: Diese Aufzählung ist nicht abschliessend. Da in immer mehr Systemen des „Internet of Things“ (IoT), d.h. vom SmartTV, Haushaltsgerät, Heimsteuerung etc., betroffene CPUs verbaut werden. - Eine vollständige Behebung, ausser Ersatz der Geräte, gibt es nicht!
- Grundsätzlich gibt es 2 Ebenen an denen mit Updates eine Verbesserung der Sicherheit erreicht wird:
- Microcode, d.h. Anpassungen direkt in der CPU-internen Programmierung. Diese Anpassungen müssen im BIOS der Systeme eingebaut werden, die von den Hardware-Herstellern der Geräte und der eingesetzten CPUs geliefert wurden.
Die Umsetzung ist noch in vollem Gang. Es ist leider zu befürchten, dass vor allem ältere Geräte, nicht mehr aktualisiert werden. - Auf Betriebssystem-Ebene, d.h. durch Updates.
- Microcode, d.h. Anpassungen direkt in der CPU-internen Programmierung. Diese Anpassungen müssen im BIOS der Systeme eingebaut werden, die von den Hardware-Herstellern der Geräte und der eingesetzten CPUs geliefert wurden.
- Die Updates werden zu einer Leistungsreduktion der Computer führen, die stark abhängt von der Anwendung und der installierten CPU-Generation. Unterschiedliche Messungen zeigen Leistungsverluste von 0 bis zu 20%.
- Es gibt bis Heute, 22.02.2018, noch keinen bekannten Angriff auf die Sicherheitslücken.
Wie kann man sich schützen?
Grundsätzlich gilt das Gleiche wie immer: Ernst nehmen, aber keine Panik. Aber was bisher schon wichtig war hat damit an Bedeutung gewonnen:
- Gesunder Menschenverstand in der Nutzung von E-Mail und Internet (siehe Anmerkung mit Link unten).
- Auf Smartphones und Tablets ist vor allem auch der Umgang mit Apps kritisch. Welche Rechte benötigt eine App auf dem Smartphone wirklich?
- Aktualisieren aller Systeme (siehe Liste oben) und Software, im Speziellen des Browsers.
- Schutz des Netzwerkes, d.h. Server und Clients durch Firewall und Antiviren-Lösung.
- Schutz vor Datenverlust durch Datensicherung.
Anmerkung betreffend „Gesunder Menschenverstand“:
Gefälschte E-Mails, sogenannte Phishing-E-Mails, können an verschiedenen Merkmalen erkannt werden. Wissen Sie wie das geht?
Die Hochschule Luzern, Bereich Informatik, hat eine sehr hilfreiche Website eingerichtet um sich selbst zu testen und schulen.
Damit Sie in Zukunft Fake E-Mails zu sicher erkennen: Zum Test
Weitereführende Informationen zu Meltdown und Sepctre
Hier nur ein paar, aus unserer Sicht lesenswerte, Beiträge zu dem Thema. Wenn wir noch etwas interessantes finden werden wir die Liste ergänzen. Natürlich können Sie selbst mit den Stichworten Meltdown und Spectre im Internet suchen.
- https://www.netzwelt.de/news/163262-meltdown-spectre-updates-informationen-tipps-faq.html
- https://www.srf.ch/news/wirtschaft/gravierende-sicherheitsluecke-auch-mobiltelefone-sind-betroffen
- https://www.srf.ch/news/wirtschaft/hardware-als-einfallstor-die-neuen-sicherheitsluecken-sind-eine-ganz-andere-welt