25. Newsletter der roc-k-IT - IT-Beratung: CPU-Lücken Spectre und Meltdown

In den letzten beiden Wochen gab es viele Presseberichte zu den CPU-Lücken „Spectre und Meltdown" (Details z.B. hier). Wir haben uns mit dem Thema recht intensiv beschäftigt, und ich möchte Ihnen meine Sicht auf den Status des Problems hier wiedergeben:

  • Die CPU-Lücken können entweder über Malware ausgenutzt werden, die auf den Client geraten ist (dagegen kann man sich meist wie „üblich“ durch 1. Gesundes Misstrauen und 2. Malware-Scanner schützen), aber auch durch Besuch einer infizierten Webseite, deren Infektion man als normaler Benutzer gar nicht erkennen kann.
  • Durch die CPU-Lücken können prinzipiell alle Daten ausgelesen werden (also z.B. Online-Banking-Informationen bei Privatkunden oder Domänen-Administrator-Kennworte (und damit Vollzugriff auf alles) bei Firmenkunden).
  • Die CPU-Lücken können aktuell nicht missbraucht werden, um einen Client zu „kapern“ (Thema: Verschlüsselungs-Trojaner o.ä.).
  • Die CPU-Lücken können nur durch gleichzeitige Verbesserungen am Prozessor-Mikrocode (über BIOS-Updates, aktuell nur für Clients ab etwa 2014 verfügbar) und an der Software (Betriebssystem, Treiber, Programme) verkleinert werden. Diese Verbesserungen führen zu Performance-Einbußen, deren Größenordnung generell schwer abzuschätzen ist.
  • Ganz geschlossen können die CPU-Lücken ohne Performance-Verlust nur durch eine neue Prozessor-Generation, für deren Entwicklung man ca. 2 Jahre schätzt.
  • Die vom meistverbreiteten Prozessor-Hersteller Intel angebotenen Verbesserungen am Prozessor-Mikrocode (über BIOS-Updates) wurden wegen gravierender negativer Auswirkungen erst einmal zurückgezogen (siehe z.B. hier).

Was bedeutet das nun für Sie als „normalen“ Kunden:

  • Aktuell kann man nicht mehr tun, als die angebotenen Software-Updates (Betriebssystem, Treiber, Programme) zu installieren. Achten Sie dabei bitte unbedingt darauf, diese Updates nur von den Original-Webseiten der Hersteller (Microsoft o.ä.) zu installieren. Die aktuelle Situation wird von vielen Scharlatanen und Schurken ausgenutzt.

Ich helfe Ihnen gerne mit einer Analyse des Update-Status Ihres Clients per Fernwartung und / oder beantworte Ihre Fragen zu diesem Thema. Über die Verbesserungen am Prozessor-Mikrocode (über BIOS-Updates) und sonstige Entwicklungen werde ich Sie per Newsletter auf dem Laufenden halten.