Herzfehler bei Millionen von Computern

„Spectre“ und „Meltdown“: Dabei handelt es sich nicht etwa um Filme aus der James-Bond-Reihe, sondern um schwerwiegende Sicherheitslücken, die Daten auf Millionen von Rechnern weltweit bedrohen. Betroffen ist dabei der Prozessor, das Herzstück eines jeden Computers, zuständig für sämtliche Rechenoperationen und die Ausführung von Befehlen und Programmen. Die meisten dieser Computerchips arbeiten mit einem Verfahren, das sich „speculative execution“ nennt. Dabei werden Daten bereits vorgeladen, die wahrscheinlich bald benötigt werden. So können die Prozessoren Befehle schneller umsetzen und Verzögerungen werden vermieden. Und genau in diesem Verfahren liegt das Problem, wie die Sicherheitsforscher bei Googles Project Zero bereits im Sommer herausgefunden haben.

Einem möglichen Angreifer stehen grundsätzlich zwei Varianten zur Verfügung. Wählt er „Meltdown“ als Attacke, wird die Trennung zwischen Programmen und Betriebssystem durchbrochen. Dann werden Daten aus dem Speicher mittels einer Schad-Software abgeschöpft. Für diese Art des Angriffs dürften fast alle Intel-Computerchips seit dem Jahr 1995 anfällig sein – also realistisch betrachtet fast jeder Rechner mit Intel Inside, der aktuell noch in Betrieb ist. Die gute Nachricht: Die Gefahr von „Meltdown“ lässt sich durch ein Software-Update beheben.

Bei „Spectre“ sieht die Sache etwas anders aus. Hierbei werden Programme mit einer Schad-Software dazu gebracht, sich gegenseitig zu bespitzeln. Diese Art des Angriffs ist schwieriger in der Umsetzung. Im Gegensatz zu „Meltdown“ konnten die Sicherheitsforscher „Spectre“ allerdings auf Prozessoren weiterer Hersteller nachweisen, unter anderem auch auf denen von ARM-Design, die in vielen Smartphones zum Einsatz kommen. Ist die eingesetzte Malware bereits bekannt, lässt sich diese Angriffsart ebenfalls durch ein Sicherheits-Update beheben.


Auf die Frage, ob die Sicherheitslücken bereits ausgenutzt wurden, lässt sich derzeit keine zufriedenstellende Antwort geben. Weder „Spectre“ noch „Meltdown“ hinterlassen Spuren. Da hilft es auch nicht, dass Intel davon ausgeht, dass sie bislang nicht zum Einsatz gekommen sind.

Die Software-Riesen Microsoft, Apple, Google und Amazon haben bereits erste Maßnahmen ergriffen und arbeiten an der weiteren Absicherung ihrer Geräte und Dienste durch Software-Aktualisierungen. Weniger gut sieht es mit der Update-Versorgung bei mobilen Geräten aus, da viele Hersteller ältere Modelle außen vor lassen. Aber auch die Nutzer sind gefragt: Sie müssen Updates auch tatsächlich installieren, denn nur so lassen sich die Lücken schließen.

Über die 8com GmbH & Co. KG

Die 8com GmbH & Co. KG zählt zu den führenden Anbietern von Awareness-Leistungen für Informationssicherheit in Europa. Seit zwölf Jahren ist es das Ziel der 8com, ihren Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Bei den hochspezialisierten Mitarbeitern handelt es sich um Penetrationstester, Information Security Consultants und Information Security Awareness-Spezialisten. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyber-Kriminellen können die Experten der 8com bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

Prüfungen werden bei 8com von professionellen Auditoren durchgeführt, die über umfangreiches Wissen der praktischen IT-Sicherheit verfügen. Die Experten der 8com sind darauf spezialisiert, in Netzwerke einzudringen. Sie sind professionelle Hacker auf der richtigen Seite des Gesetzes. Alle Leistungen dienen der präventiven Abwehr von Hacking-Angriffen.

Firmenkontakt und Herausgeber der Meldung:

8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de

Ansprechpartner:
Eva-Maria Nachtigall
Telefon: +49 (6321) 48446-0
E-Mail: redaktion@8com.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.