GAU, Super-GAU oder Media-Hype?

Sie ahnen es vermutlich, es soll hier um Meltdown, Spectre & Co. gehen – um die Anfang Januar veröffentlichten Prozessor-Probleme. Eine Warnung vorweg: Dies ist ein zeitverzögerter Kanal – wenn Sie diese Zeilen lesen, sind mindestens (!) zwei Wochen vergangen, seit sie geschrieben wurden. Das ist bei so „heißen Eisen“ eine lange Zeit. Deshalb versuchen wir, uns auf das Grundsätzliche, Strategische zu konzentrieren, nicht auf die „News“.

Dabei ist – und auch das höchst riskant! – die Nachrichtenlage rund zwei Wochen nach Veröffentlichung der Angriffe zwar intensiv, aber bei genauerem Hinsehen immer noch dürftig: Für viele (vor allem mobile) Systeme ist weiterhin unklar, ob sie generell betroffen sind oder nicht, weil manche Hersteller sich dazu ausschweigen (s. a. S. 13) – das trifft wohl vor allem auf die Anbieter von Geräten mit Prozessoren zu, die von Dritten nach ARMSpezifikationen hergestellt werden. Für viele „ältere“ Systeme ist zudem unklar, wann und ob dafür jemals Security-Patches bereitstehen werden, auch wenn sie noch verbreitet im Einsatz sind.

Doch selbst bei den Herstellern, die sich wortgewaltig (und teils zunächst sehr ungeschickt) sowie mit ersten Patches an der allgemeinen Kommunikationslawine beteiligt haben, bleibt vieles im Dunkeln und manch Experte beklagt mangelnde Dokumentation und Abstimmung. Dabei hatten die Anbieter immerhin ein halbes Jahr Zeit, um sich zu wappnen und ihre Kunden zu schützen. Immer noch zu wenig angesichts der komplexen Materie?

Zurück zur Frage der Überschrift oder letztlich: Wie schlimm ist das alles denn nun wirklich? Die Breite der mutmaßlich Betroffenen ist sicher „episch“ – auch die beschriebenen Auswirkungen der Schwachstellen sind enorm, gerade im Umfeld von VMs oder Cloudservern. Andererseits fingen einige Fachleute in der Woche nach Veröffentlichung der Whitepaper an, kritisch zu hinterfragen, wie praxisrelevant die – wohl äußerst komplexen – Angriffe tatsächlich sind, und wunderten sich, dass trotz der großen „Verheißungen“ nicht ruckzuck auch Exploits für das angedrohte Horrorszenario erschienen. Ob der Update- und Patch-Zirkus vom Januar mit all seinen Nebenwirkungen gerechtfertigt war, kann wohl erst die nähere Zukunft entscheiden.

In der Welt der Kernkraftwerke ist der „größte anzunehmende Unfall“ (GAU) einer, der beim Bau vorhersehbar war und für den die Sicherheitssysteme noch ausgelegt wurden – dabei sollte es also nicht zu einer Kontamination der Umgebung kommen. Je nachdem, wie man das jetzige Szenario interpretiert, wären Meltdown und Spectre also sogar ein Super-GAU, weil man derartige Seitenkanalattacken bei der Entwicklung der Prozessor-Architekturen nicht im Blick hatte. Andererseits wäre ein weitaus schlimmerer Worst Case vorstellbar, wenn nämlich „die Bösen“ eine derart systemimmanente Schwäche zuerst bemerkt und bereits aktiv ausgenutzt hätten, bevor sich „die Guten“ damit auseinandersetzen konnten. Und sollten sich die Schwachstellen letztlich als weniger weitreichend oder verwertbar erweisen, als derzeit kommuniziert, würde es sich – zumindest teilweise – um einen Industrie- und Media-Hype handeln.

Fazit: Eigentlich wissen wir es nicht. Schützen müssen wir unsere Systeme dennoch – aber auch nicht zu sehr (vgl. S. 35). Es bleibt schwierig. Ein wenig leichter wäre es, wenn exaktere Informationen zur Lage verfügbar wären – und vielleicht ist deren (teilweises) Fehlen daher das eigentlich größere Problem.