Meltdown und Spectre[2] - Ein Nachruf

Die Info diesen Monat mit nur einem einzigen Thema: die aktuelle Gefährdung durch Spectre und Meltdown.

Das Jahr war noch keine 3 Tage alt, da ereilte uns schon die Gewissheit, dass in der IT, wie schon vermutet, einfach nichts sicher ist... auch Hardware nicht... selbst, oder gerade, wenn Sie vom Marktführer kommt. Wurde uns doch am 3.1.2018 auf so ziemlich jeder Website mitgeteilt, dass alle Systeme angreifbar sind.

Zuerst war nur von einem "Meltdown", also einer Kernschmelze die Rede. Wäre eine solche nicht schon schlimm genug, wurde sie im Verlauf der nächsten Tage von einem Schreckgespenst (Spectre) begleitet, das in der Folge durch Schreckgespenst 2.0 oder Spectre2 noch an zusätzlicher Dramatik gewann. Alle Hersteller, Cloud-Anbieter und Dienstleister verfielen daraufhin sofort in einen Informations- und Patch-Wahn(sinn).

Warum nun ein Nachruf, stecken wir doch aktuell noch bis zum Hals in dieser undurchsichtigen Gemengelage?

Zunächst eine kurze Zusammenfassung der aktuellen Lage: 

Alle Hersteller werfen nun seit Wochen mit Updates um sich. Zwischenzeitlich haben sich die Kernschmelzen und Schreckgespenster auch auf PowerPC- und Sparc-Architekturen, ebenso auf zahlreiche ARM-Systeme (Mobiltelefone etc.) ausgeweitet. Natürlich ist nicht jedes System und jede Anwendung davonbetroffen. Jedoch wird die schiere Menge an Information und die Vielfältigkeit der an Universität und HTW eingesetzten Systeme, die obendrein teilweise von den verschiedenen Einrichtungen eigenständig beschafft und administriert werden, zum eigentlichen Schreckgespenst.

Was wir bisher (relativ) sicher wissen:

• Alle großen Hersteller von Betriebssystemen haben mehr oder  weniger gute Updates bereitgestellt.
• Die allermeisten dieser Updates sollen durch Automatismen oder regelmäßige Updates eingespielt werden.
• Es kommt in bestimmten Kombinationen und bestimmen Szenarien zu Performanceeinbußen oder Totalausfällen (BlueScreen etc.).
• Systeme, die älter als 5 Jahre sind (Stichtag 1.1.2013), werden wohl durch Intel keine sog. Microcode-Updates oder  BIOS-Updates mehr erhalten und sind damit grundsätzlich immer verwundbar.
• Von etlichen Herstellern wurden bereits Patches veröffentlicht, die wegen Fehlern praktisch am gleichen Tag wieder zurückgerufen wurden.
• Es regiert das Chaos, bei Herstellern, Dienstleistern, Kunden und Anwendern. Eine vernünftige Informationspolitik sieht anders aus.

Welches Fazit sollte man daraus ziehen?

• Bewahren Sie Ruhe, haben Sie Geduld. 
• Wenn Sie unbedingt zu den "Early-Adoptern" zählen wollen, patchen Sie, was kommt. Und in Folge "ent"patchen Sie ebenfalls zeitnah, was kommt.
• Behalten Sie eine Security-Hygiene bei. Soll heißen, mit kritischem Blick E-Mails oder Webseiten zu prüfen. Klicken Sie im Zweifel nicht! Leiten Sie Ihnen verdächtig erscheinende E-Mails Websites an support@hiz-saarland.de weiter. Wir werden versuchen, zu antworten. Aus gegebenem  Anlass jedoch sicherlich nicht umgehend.
• Hoffen Sie darauf - wie auch wir - dass die Industrie die Lage in den nächsten Monaten unter Kontrolle bekommt. Und darauf,  das die Angriffe auf Sie, uns und Ihre Daten nicht zu schnell kommen und nicht zu heftig ausfallen.

Auch wir vom HIZ versuchen mit allen Mitteln, verfügbaren Informationen, Ruhe, Geduld und kritischem Hinterfragen die Sache soweit wie möglich im Griff zu behalten. Angesichts der auch für uns äußerst unglücklichen Informationslage und gleichzeitig zu stemmendem Tagesgeschäft sowie laufenden Projekten kein allzu leichtes Unterfangen.

Zum Thema "undurchsichtige Situation" verweisen wir auf einenArtikel bei Heise Online, der am 29. Januar veröffentlicht wurde,nach dem ein aktuelles Windows-Update den Schutz vor Spectre2 gleich wieder deaktiviert: 

https://www.heise.de/security/meldung/Meltdown-Spectre-Windows-Update-deaktiviert-Schutz-gegen-Spectre-V2-3952923.html

Sie sehen also, das Chaos geht weiter... 
Bleiben Sie wachsam! Haben Sie Geduld! Spectre und Meltdown sind reale Bedrohungen, aber die Aufregung darüber hat den Nachruf verdient, den wir in der Überschrift versprochen haben - möge sie in Frieden ruhen.