IT-GAU droht: CPU-Sicherheitslücken erlauben unbemerktes Auslesen von Daten

„QGroup Security“-Team gibt aktuelle Handlungsempfehlungen für Unternehmen angesichts der Bedrohung durch „Meltdown“ und „Spectre“

[datensicherheit.de, 06.01.2018] Das „QGroup Security“-Team hat auf Basis des Artikels „Was man über die große Chip-Sicherheitslücke wissen sollte“ von t3n digital pioneers Stellung zu der im Juni 2017 durch Sicherheitsforscher von Google entdeckten Sicherheitslücke genommen. Diese basiert demnach auf Designfehlern in der Logik von CPUs (Prozessoren).

„Super-GAU“ der IT-Geschichte“ befürchtet*

Die aufgespürten Sicherheitslücken erlauben es offensichtlich, unbemerkt Daten aus dem Speicher eines Rechners auszulesen. Zudem sei es möglich, in virtualisierten Umgebungen aus einem Gastsystem auszubrechen und auf Daten im Speicher sowohl des Hosts als auch anderer Guests zugreifen zu können. Dies sei insbesondere für Cloud-Dienste, die auf geteilten Systemen die Daten vieler Kunden verarbeiten, ein fundamentales Problem.
Aus Sicht des „QGroup Security“-Teams werden diese Sicherheitslücken als „der Super-GAU in die IT-Geschichte“ eingehen.

Bisher strengste Geheimhaltung über Sicherheitslücken

Angreifer arbeiteten seit Bekanntgabe unter Hochdruck an der Ausnutzung dieser Lücken. Es könne keinesfalls ausgeschlossen werden, dass die Lücken bereits in der Vergangenheit ausgenutzt wurden.
Unter strengster Geheimhaltung seien zunächst nur die betroffenen Hersteller eingeweiht worden, um frühzeitig agieren zu können. Seit Juni 2017 werde vertraulich an einer softwarebasierten Lösung zusammen mit den verschiedenen Betriebssystemherstellern gearbeitet.
Jetzt erst seien das Problem und seine verheerenden Folgen publik gemacht worden. Nach aktuellem Kenntnisstand könne nur ein kleiner Teil der Sicherheitslücken abgefangen werden.

Aktuelle Handlungsempfehlungen des „QGroup Security-Teams“:

1. Stellen Sie sich in den nächsten Tagen auf Aktionen ein, um möglichen Angriffen zu begegnen.
2. Planen Sie Personal ein und erarbeiten Sie mit Ihrem Sicherheitsberater eine entsprechende Taktik.
3. Verstärkte Verhinderung der Ausführung von nicht bekanntem Code – da zur Ausnutzung der Sicherheitslücken ein ausführbarer Code auf einem Rechner platziert werden muss, ist die derzeit wichtigste Strategie, dies zu verhindern. Dazu zählen:
   – „Application Whitelisting“
   – Einschränkung des Internetsurfens
   – Beschränkung von Dateianhängen in E-Mails
   – Verwendung aktueller Sicherheitslösungen
4. Überprüfen Sie Ihre Cyber-Abwehr und Ihre Reaktionsfähigkeit – halten Sie Mitarbeiter in Bereitschaft. Dazu zählen:
   – „Incident Response“-Prozesse
   – Konzepte zur Isolation von Systemen und Netzwerken
5. Passen Sie Ihre Update-Stragie an:
   – Prüfen Sie bitte dringend etwaige Updates, bevor Sie diese installieren. Die Änderungen sind so weitgreifend, dass ein ungeprüftes Installieren nicht ratsam ist. Es kann und wird nach den Updates mit hoher Wahrscheinlichkeit zu Performance-Problemen kommen – wie ausgeprägt diese sein werden, ist derzeit noch nicht abzuschätzen.
   – Prüfen Sie, ob Ihre Sicherheitslösungen für die neuen Updates bereit sind und sprechen Sie sich ggf. mit dem Hersteller ab.
   – Microsoft hat bereits ein Emergency-Patch für „Windows 10“ bereitgestellt – für „Linux“, „MacOS“ und „VMware“ haben wir derzeit noch keine Informationen.
6. Reflektieren Sie Ihre Klassifizierungs- und Cloud-Strategie:
   – Wo werden welche Daten verarbeitet und gespeichert?
   – Wird der Cloud-Dienst selbst in einer Cloud gehosted?
   – Handelt es sich um eine geschlossene Plattform oder können Kunden eigenen Code innerhalb der Plattform ausführen?
7. Was Sie sonst noch bedenken sollten:
   – Neben Ihrer internen Sicherheit müssen Sie auch beachten, dass ggf. fremde Dritte von einer Ausnutzung der Sicherheitslücken betroffen sein könnten. Deaktivieren Sie daher im Zweifel unbedingt entsprechende Zugänge rechtzeitig und aktivieren Sie diese erst wieder nach Klärung der Lage.

Weitere Informationen zum Thema:

datensicherheit.de, 05.01.2018
Sicherheitslücken in Prozessoren: DsiN rät zur methodischen Vorbeugung

datensicherheit.de, 04.01.2018
BSI warnt vor Sicherheitslücken in Prozessoren

t3n digital pioneers, 04.01.2018
Ratgeber / Was man über die große Chip-Sicherheitslücke wissen sollte