22.02.2018
Thesen zur IT-Sicherheit von Prozessoren

  1. Die aktuell identifizierten Sicherheitslücken Meltdown und Spectre lassen Angriffe auf alle Geräte (PCs, Server, Gateways, Router etc. zu, die mit Prozessoren auf Basis der x86-Architektur ausgerüstet sind. Damit können alle Computerdaten weltweit von Unberechtigten ausgelesen und auch manipuliert werden. Fachleute sprechen darüber hinaus von weiteren (noch unveröffentlichten) schwerwiegenden Sicherheitslücken in Prozessoren.
  2. Betroffen sind alle Branchen. Insbesondere Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation, Gesundheit, Staat und Verwaltung (Bund, Länder und Kommunen), Transport und Verkehr, Finanz- und Versicherungswesen sowie Medien und Kultur.
  3. Im Falle der aktuell diskutierten Sicherheitslücken liegen verdeckte Kanäle (covert channels) vor, die mit Security Engineering - speziell mit Security Testing hätten vermieden oder zumindest methodisch identifiziert und behoben werden können. Diese Verfahren und die zugrunde liegenden Methoden werden in Deutschland und auch international von Entwicklern und Herstellern aus Wirtschaftlichkeitsgründen allerdings nicht oder zumindest nicht hinreichend eingesetzt.
  4. Es ist derzeit nicht nachweisbar, ob die hier relevanten Sicherheitslücken fahrlässig oder auch absichtlich eingebaut wurden. Allerdings ist bekannt, dass neben den (auch europäischen) Sicherheitsbehörden insbesondere die Organisierte Kriminalität Software und Hardware (Geräte) manipuliert – auch schon im Entwicklungsstadium oder im Normungsverfahren.
  5. Bei Hardware und Software hängen alle Unternehmen, Behörden und Private (auch) von ausländischen IT-Unternehmen ab, die Sicherheitslücke in Ihren Produkten weniger Beachtung schenken. Daher ist hier die Bundesregierung gefordert, die im aktuellen und auch schon im Koalitionsvertrag der vergangenen Legislaturperiode eine gesetzliche Regelung der Haftung der Hardware- und Software-Hersteller für Sicherheitslücken vereinbart hat. Die Identifizierung immer neuer Sicherheitslücken legt darüber hinaus die Frage nahe, ob nicht eine deutsche (europäische?) Eigenentwicklung sichererer Prozessoren (und Betriebssysteme etc.) geprüft werden muss.
  6. Generell kann die Erkennung dieser Sicherheitslücken nicht hoch genug bewertet werden. Jedes Herunterspielen der Risiken wie z.B. „theoretische Angriffe‘, ‚hoher Aufwand bei der Angriffsentwicklung‘ sind falsch bzw. gelten nur solange bis ein standardisierter Angriff in einem Tool-Baukasten bereitgestellt wird. Wir müssen davon ausgehen, dass die Organisierte Kriminalität die Brisanz dieser Sicherheitslücken noch im Juni 2017 erkannt und bewertet hat und folgerichtig Angriffe (Exploits) entwickelt hat und die Angriffe unerkannt seit September 2017 einsetzt.

 


Bewertung:

schlecht
gut

Bewertung abgeben: