Der Schock war riesig und die Problematik ist noch lange nicht beseitigt: Kurz nach dem Start des neuen Jahres erschütterte die Meldung der gravierenden Sicherheitslücken Spectre und Meltdown – nicht nur – die IT-Fachwelt. Betroffen sind aber praktisch alle Unternehmen und Privatanwender. Abhilfe ist schwierig, da die Ursache der Verletzlichkeiten diesmal nicht in der Software, sondern in der Hardware der zentralen Recheneinheiten (CPUs) von Servern und Client-Rechnern steckt.
Vorhanden sind diese Lücken in der Architektur der Recheneinheiten bereits seit ca. 20 Jahren. Sie führen dazu, dass unter bestimmten Bedingungen Informationen aus diesen Systemen nahezu unbemerkt abgegriffen werden können. Eine vollständige Beseitigung der Angreifbarkeit ist aufgrund der ursächlichen Designfehler in der Hardware nach aktuellem Kenntnisstand nicht möglich. Es kann lediglich die Nutzung der gefährdeten Hardwarebereiche auf der CPU unterbunden werden – dies ist jedoch komplex, da das Abschalten sowohl auf Ebene der Anwendungen, des Betriebssystems als auch der Firmware der Systeme erfolgen muss. Die Folge der Softwarepatches sind teilweise allerdings signifikante Leistungsverluste der betroffenen Systeme – die Fachpresse spricht hier von bis zu 30% Leistungseinbußen, vor allem im Bereich des Datendurchsatzes.
Wenn Sie sich näher informieren möchten über die leider sehr komplexen Ursachen und Zusammenhänge, die Meltdown und Spectre ausmachen, können Sie dies zum Beispiel mit diesem Video der Fachkollegen von heise online tun: www.youtube.com/watch?v=SN5RA6KXgOU
Die Systeme unserer Managed-Services Kunden haben wir bereits softwareseitig gegen die Lücken gepatcht bzw. stehen mit einzelnen Kunden noch bezüglich Wartungsfenstern für die Installation und Aktivierung der Patches in Kommunikation. Aktualisierungen der Firmware sind derzeit größtenteils noch offen, da viele Hersteller noch keine stabilen Versionen ausgeliefert haben. Wir werden dies für Sie jedoch verfolgen und auch die weiteren Aktualisierungen schnellst möglich durchführen.
Keine Kommentare