Was sind Meltdown und Spectre?
Bereits im Juni 2017 entdeckten mehrere Forscherteams unabhängig voneinander die teils seit 1995 bestehenden Sicherheitslücken Meltdown und Spectre in der Systemarchitektur von Computer-Prozessoren. Forscher von Googles Project Zero meldeten sie an die Hersteller, die seitdem hinter den Kulissen eifrig an einem Patch arbeiten, mit dem die Lücken geschlossen werden sollen.
Meltdown schmilzt, metaphorisch gesprochen, die Sicherheitsmechanismen, die verschiedene Prozesse in Intel-Prozessoren trennen. Auf diese Weise ist es möglich, Daten aus deren Speicherbereich auszulesen. Darunter können zum Beispiel Passwörter oder zwischengespeicherte Verschlüsselungskeys sein, was einen Angriff über Meltdown nicht nur für Kriminelle, sondern auch für Nachrichtendienste interessant macht. Sie können so theoretisch Verschlüsselung wie etwa in Messenger-Diensten umgehen. Dazu müssen sie sich allerdings zunächst anderweitig Zugriff zum System verschaffen, etwa durch manipulierte Phishing-Mails oder über manipulierte Websites.
Von der Sicherheitslücke betroffen sind auch Cloud-Anbieter wie Amazon oder Microsoft, da über Meltdown Zugriffe auf alle Prozesse eines Cloud-Servers möglich sind. Da oftmals einzelne Server Daten verschiedener Kunden speichern, ist es möglich, dass Unbefugte Zugriff auf die Cloud von Dritten erhalten. Intel dementiert, dass der Angriff es erlaubt, Daten zu zerstören oder zu modifizieren, schließt aber Spionageangriffe nicht aus. Amazon, Microsoft, Google, Apple und die Linux-Community haben bereits Patches zum Schließen der Lücke bereitgestellt oder verteilen diese in den kommenden Tagen. Nutzer sollten daher schnellstmöglich updaten. Dies ist allerdings keine Lösung für all die Systeme, die aufgrund ihres Alters keine Updates mehr bekommen. Sie werden über Jahre hinweg verwundbar bleiben.
Spectre stiehlt ebenfalls zwischengespeicherte Informationen von Anwendungen im Speicher des Systems. Dabei kommt ein Feature zum Einsatz, auf das auch Prozessoren der Hersteller AMD und ARM zurückgreifen. AMD produziert Chips für PCs, ARM Chipdesigns für Smartphones, so dass Spectre eine Vielzahl digitaler Geräte betrifft. Da es sich hierbei um eine Schwachstelle der Chip-Hardware handelt, könnte es sein, dass Software-Patches wirkungslos sind. Wahrscheinlicher ist, dass sämtliche Chips neu entwickelt werden müssen, um das Problem zu beheben. Das US-Department für Homeland Security empfiehlt als kurzfristige Lösung einen kompletten Austausch aller betroffenen Chips – eine technische Unmöglichkeit, da nicht schnell genug fehlerfreie Chips entwickelt, gepresst, ausgeliefert und bei Kunden installiert werden können. Daher ist zu befürchten, dass sich in den kommenden Jahren zahlreiche Cyber-Angreifer dieser Lücke bedienen werden.
Folgen für Deutschlands Cybersicherheit
Die Tatsache, dass verschiedene Forscherteams unabhängig voneinander die gleichen Lücken entdeckten, lässt aufhorchen. Es lässt die Vermutung zu, dass gut ausgestattete Nachrichtendienste ebenfalls Kenntnis von diesen rund 20 Jahre alten Lücken hatten; da ein auf Spectre oder Meltdown basierender Cyber-Angriff jedoch keine Spuren hinterlässt, bleibt dies Spekulation. Der unbemerkte Zugriff auf Milliarden von IT-Geräte aber wäre für Geheimdienste etwas wie der Stein der Weisen, eine Art Generalschlüssel für die digitalisierte Welt. Weltweit sind Sicherheitsbehörden damit beschäftigt, Sicherheitslücken zu entdecken und Angriffssoftware zu entwickeln, die diese Lücken nutzt, um in fremde Systeme einzudringen. Auch in Deutschland existiert mit der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) neuerdings eine solche Entwicklungsabteilung.
Das Ausnutzen der Sicherheitslücken dient den Behörden etwa der Auslandsspionage oder der Quellen-Telekommunikationsüberwachung von Verdächtigen. Damit liegt es nicht im Interesse der Behörden, die genutzten Lücken den Herstellern zu melden, die diese schnellstmöglich schließen würden. Mit dem Zurückhalten von Sicherheitslücken für Spionagezwecke nehmen Behörden aber bewusst in Kauf, dass ausländische Geheimdienste oder andere Hacker mit der gleichen Lücke im eigenen Land Schäden anrichten. Defensiv orientierte Cyber-Sicherheitsbehörden, wie in Deutschland zum Beispiel das Bundesamt für die Sicherheit in der Informationstechnik (BSI), fordern aus diesem Grund ein Melden aller Lücken, um die Sicherheit aller Nutzer weltweit zu gewährleisten.
Um Kollateralschäden durch bekannte, aber nicht gemeldete Sicherheitslücken zu vermeiden, wurde in den USA der »Vulnerability Equities Process« geschaffen. Dieser Prozess regelt, welche von den Behörden entdeckten Sicherheitslücken den Herstellern gemeldet werden. Die Idee dahinter ist, dass aufgrund der gegensätzlichen Interessenkonstellationen keine Behörde im Alleingang darüber entscheiden sollte, ob Lücken aus Gründen der Überwachung zurückgehalten werden. Zudem wird danach die demokratische Legitimität erhöht, wenn verschiedene Organe darüber beraten, nach welchen Kriterien Lücken zurückgehalten werden, und darüber in jährlichen Transparenzberichten etwa parlamentarischen Kontrollgremien Rechenschaft ablegen. In Deutschland fehlt ein entsprechendes Gesetz bisher. Je mehr Behörden aber legale Fähigkeiten für Cyber-Angriffe bzw. Gegenangriffe, sogenannte »hack-backs«, einfordern, desto naheliegender wird es, dass auch deutsche Behörden Sicherheitslücken zurückhalten. Sollte dies der Fall sein, müssen Meltdown und Spectre als Warnung gelten, dass damit Milliarden von Nutzern, darunter auch deutsche Politiker und Unternehmen, dem Risiko bewusst unsicher gehaltener Soft- und Hardware ausgesetzt werden.
Der Text ist auch bei EurActiv.de erschienen.
