VERANSTALTUNGEN

IT-Sourcing 2018
03.09.18 - 04.09.18
In Hamburg

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

abas Global Conference
20.09.18 - 21.09.18
In Karlsruhe

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

Sicherheitslücken

„Spectre“ und „Meltdown“ – zu Deutsch Gespenst und Kernschmelze – sind die neuen Schreckensgespenster, die derzeit die IT-Fachwelt in Atem halten. Das Verhängnisvolle: Beide Angriffsszenarien zielen auf die Prozessoren von Desktop-PCs und Mobilgeräten ab.

Eingeschleuste Schadsoftware nutzt dabei die Schwachstellen der Hardware aus, um vertrauliche Daten wie Passwörter auszulesen und an Kriminelle zu übermitteln. Wie betroffene Unternehmen nun am besten vorgehen, erläutert Dr. Jochen Szangolies, IT-Consultant der Bonner Comma Soft AG, im Interview. 

Was macht Spectre und Meltdown so gefährlich?

Szangolies: Im Unterschied zu klassischen Sicherheitslücken auf Software-Ebene schlummert die Gefahr bei Spectre und Meltdown in den verbauten Prozessoren und damit in der Hardware. Das heißt: Ein Software-Update bietet keinen hundertprozentigen Schutz – immerhin verbleibt das potenzielle Sicherheitsrisiko in Form der verwendeten Chips weiterhin bestehen.

Wie nutzen Hacker die Lücke genau aus?

Szangolies: Moderne Chips optimieren ihre Rechenleistung mittels der sogenannten „speculative execution“. Dabei bearbeitet der Prozessor Befehle nicht in der Reihenfolge ihres Eingangs, sondern hält zur schnelleren Bearbeitung auch Daten für Programmzweige vor, die womöglich gar nicht ausgeführt werden. Spectre und Meltdown bezeichnen zwei Angriffsmethoden, mit der Kriminelle die sensiblen Daten direkt aus dem vermeintlich geschützten Bereich des Prozessors auslesen können. Die einzig gute Nachricht: Zuvor müssen Hacker auf dem betroffenen System entsprechende Schadsoftware eingeschleust haben.

Welche Unternehmen und Geräte sind betroffen?

Szangolies: Mit einem Wort: alle. Am härtesten trifft es Intel-Prozessoren. Beinahe alle seit 1995 produzierten CPUs sind sowohl für Meltdown als auch für Spectre anfällig. Prozessoren von ARM, die hauptsächlich in modernen Smartphones verbaut werden, sind von beiden bekannten Spectre-Varianten und vereinzelt auch von Meltdown betroffen.

Insgesamt bietet sich ein Gefahrenpotenzial von bisher unbekanntem Ausmaß. Neben Desktop-PCs, Servern und Laptops betrifft die neue Sicherheitslücke auch mobile Endgeräte wie Tablets oder Smartphones, unabhängig vom jeweils laufenden Betriebssystem. Besonders brisant: Selbst für Router, Switches, Hardware-Firewalls, NAS/SAN-Systeme und Internet of Things-Geräte besteht ein potenzielles Risiko.

Spectre bedroht zudem Cloud-Dienstleister. Es ist nicht auszuschließen, dass ein User mit infiziertem System auf eine Cloud zugreift und dort für einen Ausbruch sorgt, wodurch auch die Systeme anderer User gefährdet werden. Somit müssen Cloud-Anbieter und -User entsprechende Sicherheitsmaßnahmen einleiten.

Wie gehen Unternehmen nun am besten vor?

Szangolies: Trotz des hohen Gefahrenpotenzials gibt es noch keinen Grund, in Panik zu verfallen. Da die Lücke schon Mitte des vergangenen Jahres erkannt und den wichtigsten Herstellern mitgeteilt wurde, sind vielfach bereits Updates vorhanden. So existieren heute Patches für Windows, macOS, Linux, Android und iOS. Diese Updates verhindern, dass Schadsoftware die vorhandene Prozessorlücke nutzen kann. Allerdings haben einige Hersteller ihre Patches inzwischen zurückgerufen, so dass wir zur Ruhe raten, bis sich der Markt stabilisiert hat. Zudem lässt sich das eigentliche Problem nicht abschließend beheben, da es auf Hardware-Ebene liegt. Ein Restrisiko bleibt bestehen.

In kleineren Unternehmen dürfte es leichter gelingen, zeitnah alle Systeme und potenziell betroffenen Geräte zu updaten. Größere Konzerne könnten hingegen auf eine logistische Herausforderung stoßen. Was raten Sie in einem solchen Fall?

Szangolies: Wir empfehlen unseren Kunden, sich an einem konkreten Vorgehensplan zu orientieren. Updates durchzuführen, ist das eine. Die gefährdeten Systeme anhand bestimmter Faktoren zu priorisieren und das Schadenspotenzial zu kennen, ist das andere. So raten wir zum Beispiel zunächst dazu, alle betroffenen Systeme wie etwa Server, Clients, mobile Geräte, aktive Netzwerk-Komponenten und weiteres Equipment zu identifizieren. Daran schließen sich weitere Maßnahmen an wie beispielswiese die Kategorisierung der Systeme nach Kritikalitätsstufen, bevor eine Business-Impact-Analyse das Verhältnis von Risiko und Schadenspotenzial sowie den Aufwand der Risikominderung auslotet. Dies sind in Kürze die wichtigsten Schritte, damit betroffene Unternehmen effektive Maßnahmen erarbeiten und diese umsetzen können.

Dr. Jochen SzangoliesDr. Jochen Szangolies ist IT-Consultant bei der Comma Soft AG, einem Bonner IT-Unternehmen mit Fokus auf Data Business-, IT-Consulting und Softwareentwicklung. Szangolies berät unter anderem zur Informationssicherheit von Unternehmen.

www.comma-soft.com

 

GRID LIST
Firewall

Schutz vor Angriffen auf private und geschäftliche E-Mail-, Social Media- und Cloud-Anwendungen

Proofpoint, Inc., kündigte drei Neuerungen bei der anwenderbezogenen IT-Sicherheit an:…
DDoS Attack

9.325 DDoS-Attacken im 2. Quartal 2018

Laut Link11 hat es von April bis Juni über 9.000 DDoS-Attacken in Deutschland, Österreich…
Leopard jagt Springbock

IT trifft OT – eine folgenreiche Begegnung

Sitzt man in einer Vorlesung für Elektroingenieure gehört dieser Satz vielleicht zu den…
Mann mit Lupe

Auf den Spuren der Hacker - wie werden gestohlene Passwörter genutzt?

Phishing-Angriffe, die darauf abzielen, mittels Social Engineering von Mitarbeitern…
Trading-Plattform

Gravierende Sicherheitslücken bei Trading-Plattformen

In den vergangenen Jahren ist es üblich geworden, sein Geld in die eigenen Hände zu…
Carsharing-App

Carsharing-Apps teilen alles: Fahrzeuge, aber auch Daten und Passwörter

Die Experten von Kaspersky Lab haben in einer Untersuchung von Carsharing-Apps eine Reihe…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security