Sicherheitslücken in Prozessoren: Meltdown und Spectre

8. Januar 2018

Die Medien überbieten sich momentan mit Schreckensmeldungen der Sicherheitslücken in Prozessoren. Die mit Meltdown und Spectre benannten Angriffszenarien sind tatsächlich ernst zu nehmen und erfordern Behebung durch Korrekturen im Betriebssystem, im schlimmsten Fall sogar Austausch des Prozessors. Es ist davon auszugehen, dass alle aktuellen Prozessoren davon betroffen sind.

Die Logos der beiden Angriffszenarien. Bilder spectreattack.com

Was kann passieren, welche Risiken bestehen?

Normalerweise dürfen Programme auf einem Computer nicht auf den Arbeitsspeicher zugreifen, welcher von anderen Programmen verwendet wird.
Die Lücken ermöglichen jedoch genau dies: Ein Programm oder Prozess auf einem PC/Server/Laptop kann den Arbeitsspeicher auslesen und so auf Daten zugreifen, welche gerade von anderen Programmen auf dem gleichen Gerät bearbeitet werden.

Dies würde zum Beispiel einem Webbrowser erlauben, auf die Daten des gleichzeitig geöffneten Word Dokuments zuzugreifen oder ein Bildbearbeitungsprogramm könnte auf die Passwörter zugreifen, welche der Benutzer gerade im E-Banking eingegeben hat.
Dies setzt bei einem PC immer voraus, dass der potenzielle Angreifer zuerst Software auf den PC einschleusen kann und so diese Lücken ausnutzen kann. Am Einfachsten ist dies natürlich über den Webbrowser übers Internet möglich.

Besonders gravierend ist diese Lücke bei Cloud-Diensten, wo verschiedene Firmen und Benutzer auf der gleichen Hardware arbeiten. Da ist die komplette Trennung der Daten absolutes muss. Durch Ausnutzung dieser Lücken ist jedoch grundsätzlich jedem Benutzer eines solchen Cloud-Dienstes möglich, sämtliche bearbeiteten Daten jedes anderen Benutzers auszulesen

Was muss ich tun?

Nicht in Panik verfallen

Solange nur lokale Daten auf einem PC verarbeitet werden, haben diese Lücken kein Schadenspotenzial.

Trennen von Daten und Internet

Auch ohne diese Lücken ist Internetzugriff und öffnen von E-Mails eines der grössten Sicherheitsrisiken auf einem Büroarbeitsplatz. Eine komplette Trennung der Arbeitsumgebung und separaten Systemen für Internetzugriff bietet sehr guten Schutz. Dies ist auch ohne grossen Komfortverlust möglich. Zum Beispiel mit dem Einsatz von Internet Terminalservern.

Updates der Betriebssystem Hersteller einspielen

Keine schützenswerte Daten auf Clouddiensten ablegen

Windows 7 Support läuft aus. Was nun?

29. Juli 2019

Fakten: Microsoft stellt den Support von Windows 7 und Server 2008 am 14. Januar 2020 ein. Danach werden von Microsoft dafür keine Updates mehr geliefert. Windows 7 und Server 2008 sowie sämtliche bereits installierte Hard- und Software wird genauso weiterlaufen wie bisher. Risiken und zu erwartende Probleme: Neu aufgetauchte Sicherheitslücken werden nicht mehr behoben und […] Mehr lesen...

E-Mail-Verschlüsselung angreifbar

14. Mai 2018

Wie Heise News berichten momentan viele Medien von angeblich angreifbarer Verschlüsselung von E-Mails. Vieles davon ist wahr, noch viel mehr aber wird verschwiegen: Fast 100% der verschickten E-Mails sind nicht verschlüsselt und ABSOLUT unsicher! Den meisten Anwendern ist nicht bewusst, dass ALLE diese E-Mails problemlos abgehört und manipuliert werden können. (Und sie werden auch abgehört) […] Mehr lesen...

Update für iPhone und iPad (iOS 11) verursacht Probleme mit Exchange

21. September 2017

Das neuste Update für iPhone und iPad (iOS 11) verursacht Problem bei der Verbindung mit Exchange. Empfehlung: Update ‚iOS 11‘ auf iPhone und iPad nicht installieren, wenn Sie Exchange nutzen. Mehr Information bei Heise. Die Ursache liegt bei Apple. Apple verspricht eine Behebung des Problems, macht aber keine Angaben bis wann dies erfolgt. Zur Not […] Mehr lesen...

E-Mail angekommen?

16. September 2017

Ist Ihr dringendes E-Mail angekommen? Wurde die wichtige E-Mail wirklich zugestellt? Viele E-Mails werden von übereifrigen Spamfiltern oder Firewalls ausgefiltert und kommen nie beim Empfänger an, ohne dass der Absender darüber informiert wird. Wie kann ich feststellen, ob meine E-Mail angekommen ist? Empfang vom Empfänger bestätigen lassen: Fordern Sie den Empfänger auf, Ihnen den Empfang […] Mehr lesen...