Was Unternehmen im Umgang mit der Lücke beachten sollten

Über Meltdown und Spectre wurde bereits viel berichtet. Die aufgedeckte Lücke ist gravierend, dennoch sollte man nicht sofort in Panik geraten. Genau technische Details zu den Lücken finden Sie in einem Artikel unserer Kollegen von Heise.

Grundsätzlich lässt sich die Problematik, wie folgt zusammenfassen: Prozesse können auf Daten zugreifen, auf die sie sonst keinen Zugriff haben. Dass sich dieser Fehler bereits in der Hardware findet, macht die Lücken so gravierend. Nahezu jeder Rechner ist davon betroffen, der über eine halbwegs aktuelle CPU verfügt. Aber um diese Lücke wirklich auszunutzen, bedarf es der lokalen Ausführung von Code. Dafür bestehen diverse Angriffsvektoren:

Die meisten Anwender verwenden Webbrowser, diese führen Javascript aus. Verschiedene Proof-of-Concepts  nutzen diesen Sachverhalt aus, um mehr über das System zu erfahren und so möglicherweise auch weiteren Schadcode zu platzieren. Auch wenn derzeit keine weiteren Exploits in diesem Zusammenhang bekannt sind, haben die Browserhersteller bereits reagiert und erste Fehlerbehebungen eingebaut, die Angreifern den Zugriff erschweren.
Weiterhin ist es möglich, dass bereits die eingesetzte Software Lücken aufweist. Werden diese nicht gepatched, kann es für Cyberkriminelle zum Kinderspiel werden, diese auszunutzen und an Informationen zu kommen, die er nicht haben sollte.

Der Fehler wiegt auch für virtuelle Umgebungen schwer: Hier kann es dazu kommen, dass sich aus einer VM Daten aus einer anderen VM auslesen lassen. Das ist vor allem in Public Clouds, wie z.B. AWS, Google Cloud oder Microsoft Azure der Fall. Dort stehen zwar kompetente Mitarbeiter und Systeme zur Verfügung, aber die eigene Software läuft weiterhin auf der gleichen Hardware, mit der auch andere Kunden unterwegs sind. Ausgelesene Informationen können z.B. Passwörter, SSH- oder Private Keys sein. Mit diesen Informationen lassen sich dann weitere Attacken fahren.

Updates, Testumgebungen und Backups

In diesem speziellen Fall wird wohl nur der Austausch der Hardware eine vollständige Lösung des Problems bewirken. Da es auf dem Markt nicht so schnell Alternativen geben und sich der Austausch noch mehrere Jahre hinziehen wird, ist es wichtig die angebotenen Software Updates einzuspielen.

Mit diesen Updates versuchen die Betriebssystemhersteller die Folgen der Lücke weitestgehend in den Griff zu bekommen. Microsoft, Apple und diverse Linuxdistributoren haben bereits erste Updates dazu herausgegeben. Diese sind allerdings nur ein erster Schritt auf einem langen Weg.

Auch wenn die Lücke bereits seit einiger Zeit bekannt ist, hat die Kommunikation zwischen Intel und den Betriebssystemherstellern hier definitiv nicht reibungslos funktioniert. Es lässt sich also mutmaßen, dass wir in den kommenden Wochen noch mit diversen weiteren Updates rechnen können.

In der Praxis werden für das Einspielen dieser notwendigen Updates oft nicht genügend Ressourcen freigegeben. Auf lange Sicht betrachtet, kann sich diese Vorgehensweise natürlich irgendwann rächen.
Um diesem Problem entgegen zu wirken, sollte man sich an folgende Stichpunkte im Umgang mit der Lücke halten:

  • Updates sollten regelmäßig gemacht werden
    Nur wer Updates regelmäßig und häufig einspielt, kann sich sicher sein, dass er vor schlimmeren Konsequenzen gewappnet ist. Werden Updates häufiger eingespielt, kommen weniger verschiedene Updates zusammen und die Gefahr, dass ein Update grundlegende Funktionen beeinträchtigt ist geringer. Regelmäßige, geplante Updates lassen Administratoren notwendige Wartungsarbeiten durchführen und Anwender können sich auf eventuelle kurze Ausfälle einstellen.
      
  • Tools nutzen zur Updateverwaltung
    Um Updates übersichtlich zu verwalten, eignet sich die Nutzung eines entsprechenden Tools. Im optimalen Fall unterstützen die Tools zusätzlich beim Einspielen der Updates. Im Windowsbereich eignet sich hier der Einsatz von WSUS oder Kaspersky Systems Managemt. Im RedHat Umfeld lässt sich hier auch der RedHat Satellite nennen. Diese Tools kümmern sich um das Herunterladen und die Verteilung der Updates auf den Systemen. Sie zeigen eine Übersicht der Systeme und der jeweiligen Update Stände. Manchmal kann es auch nützlich sein bestimmte Updates zurückzuhalten, um bekannte Kompatibilitätsprobleme zu vermeiden. Wenn Systeme ihre Updates direkt beim Hersteller holen, ist das natürlich nicht mehr möglich. Für bestimmte Systeme kann es zudem hilfreich sein den Update Stand mit in das Monitoring aufzunehmen. Auf diese Weise wird man benachrichtigt, sollten neue Updates verfügbar sein. Für sicherheitsrelevante Systeme, wie z.B. Firewalls kann das erhebliche Vorteile bringen.
       
  • Aufbau einer Testumgebung
    Testumgebungen eignen sich, um die grundsätzlichen Funktionen von wichtigen Systemen zu testen. Spezielle Fälle lassen sich meist nur in der Produktionsumgebung testen. Hier hilft es bei Problemen einen Weg zu haben, um auf ältere Versionen zurückrollen zu können. Sicherheitsupdates können also zuerst nur auf den Testsystemen installiert werden und wenn die grundsätzliche Funktionalität dort gegeben ist, auch auf der Produktionsumgebung. So schwindet die Gefahr, dass es zu unbekannten Problemen kommt.
       
  • Backups machen und Restores testen
    Auch im Jahr 2018 gibt es Unternehmen, die kein oder nur ein unvollständiges Backup durchführen. Von einem Backup erwartet sich der Anwender einen funktionierenden Restore. Wird ein Backup gemacht, werden nur in seltenen Fällen auch die Restores getestet. Oft stellt man erst im Ernstfall fest, dass das Backup sich nicht zurückspielen lässt, da die Daten korrupt sind oder Teile fehlen. Regelmäßige Tests helfen dabei so etwas im Vorfeld zu erkennen und gegebenenfalls Korrekturen vorzunehmen.

Individuelle Lösungen gegen Sicherheitsprobleme

Die hier aufgeführten Punkte sind nur der Anfang, um Sicherheit gewährleisten zu können. Es gibt in diesem Fall kein Pauschalrezept oder Zertifikat, das einem Sicherheit garantieren kann. Jedes Unternehmen benötigt individuelle Lösungen, um die jeweiligen Anforderungen sinnvoll abzudecken. Sicherheit sollte aber nicht nur in diesen Zeiten im Fokus von Unternehmen liegen. Nur wenn sie ständig präsent in allen Köpfen ist, kann man auf lange Sicht vor schwerwiegenden Sicherheitsproblemen verschont bleiben.

Gerne unterstützen wir Sie nicht nur bei der Entwicklung und Umsetzung eines ganzheitlichen Sicherheitskonzepts, sondern beraten Sie auch in vielen weiteren Fragen der IT-Sicherheit. Sprechen Sie uns einfach an!


Über die Autoren:

Marie-Christin Flöhl

Marie-Christin Flöhl

Marie-Christin Flöhl unterstützt das Marketing Team der bitbone AG seit Mai 2016. Ihre Themenschwerpunkte umfassen redaktionelles Marketing, Content Marketing, PR und Social Media. Sie hat an der Julius-Maximilians-Universität in Würzburg Germanistik und Philosophie & Religion studiert.

Christof Musik

Christof Musik

Christof Musik begann 2007 als Software-Entwickler bei der bitbone AG und arbeitet mittlerweile als IT-Consultant. Seine Augabenschwerpunkte liegen unter anderem in den Bereichen Monitoring (Nagios/Icinga, CheckMK), Konfigurationsmanagement (Puppet, Ansible) und Kommunikation (Kopano, Postfix, Exim).


Noch Fragen?

Wir helfen Ihnen gerne zu allen Fragen rund um dieses Thema weiter:

*
*
*
*
*

Kontaktieren Sie mich bitte

← zurück