Spectre, Meltdown

am 06.01.2018 in News gepostet.

Die Mutter aller Lücken?

Mit Spectre/Meltdown haben wir diese Woche Nachrichten über einen IT-Sicherheits-GAU lesen dürfen. Das ganze führte zum Absturz der Intel Aktie von 7%, und wahrscheinlich dazu, dass das Internet nicht nur komplett neu gestartet werden muss, sondern auch um 5% langsamer wird…

Für Meltdown ist so gut wie jeder Intel-Chip seit 1995 anfällig, wahrscheinlich auch die Prozessoren von AMD und ARM. Spectre betrifft nahezu alles, darunter Rechner, Smartphones und Cloud-Server, unabhängig vom Betriebssystem.

Worum geht es?

Kurz: bisher glaubten wir, der Speicher in einem Rechner sei sicher, dass jede Anwendung nur das sieht, was sie sehen soll. Diese Sicherheit ist tief in den Prozessoren und im Betriebssystem verankert.

Nun, die Prozessoren bauen aber, wie jetzt bekannt wurde, ziemlich viel Mist - und das schon seit rund 25 Jahren… Der Speicher ist sehr einfach auslesbar. Natürlich auch Kennwörter und andere sensible Daten. Das kann auf dem eigenem Rechner, auf dem Handy, aber natürlich auch auf dem angemietetem Rechner (Cloud) passieren - und somit klopft diese Lücke direkt an unserer Tür bei Lemniscus.

Es sind unterschiedliche Fehler, die verschiedene Angriffe ermöglichen, daher werden Spectre und Meltdown meistens gemeinsam genannt - unterschiedliche Angriffe, dennoch gleiche Ursache.

Auf der Nachrichtenseite zeit.de haben wir einen schönen Artikel gefunden. Wer es gerne etwas technischer haben will, wird mit einer kurzen Suche zum Thema Spectre/ Meltdown in Google fündig werden.

Was bedeutet das für Lemniscus?

Lemniscus ist ein komplexes System und besteht aus mehreren Servern, die unterschiedliche Aufgaben verteilt auf zwei physisch getrennten Rechenzentren übernehmen. Daher muss die gesamte Infrastruktur - also alle beteiligte Systeme - auf den aktuellen Stand gebracht werden.

Die großen Anbieter von IaaS - also Infrastrutkur as a Service wie Google, Amazon, Microsoft - wurden wie immer, sobald ein solcher GAU entdeckt wird, sofort informiert. Dies geschieht immer Monate, bevor die Öffentlichkeit davon in Kenntnis gesetzt wird. Dadurch können Lücken geschlossen werden, bevor in breiter Front Angriffe gestartet werden können aufgrund der Veröffentlichungen.

Diesen Vorlauf hatten die “Großen” diesmal nur bedingt, da die Lücke geleaked wurde und deshalb vor dem Termin zu früh bekannt wurde. Trotzdem waren die großen IaaS-Anbieter bereits mit der Aktualisierung ihrer Systeme fertig.

Ich verwende hier gezielt den Begriff IaaS für diese besondere Form der Cloud - denn dieser Begriff ist inzwischen inflationär verwendet worden und nur die wenigsten können zwischen den verschiedenen Ausprägungen unterscheiden. Wir bei Lemniscus nutzen IaaS, wir mieten uns also die notwendige Infrastruktur für den Betrieb von Lemniscus an. Teilweise wird von uns auch PaaS eingesetzt - also Platform as a Service - eine besondere Form eines Cloud-Angebots, in dem eine aufeinander abgestimmte Zusammensetzung von Software und Infrastruktur angeboten wird.

Die von uns eingesetzte Infrastruktur wurde bereits vor dem Bekanntwerden der Lück(en) von unserem Anbieter AWS gepatcht.

Die von Lemniscus selbst verwalteten Systeme wurden entweder aktualisiert oder durch Instanzen mit aktuellem Betriebssystem ausgetauscht (das machen wir sowieso für unsere Front-End-Server regelmäßig, also mindestens 1x die Woche).

Allerdings ist damit nur ein Teil der Arbeit getan: bitte denkt daran eure Systeme, also eure Rechner, Handys, Rooter, Tablets, Kühlschränke und Waschmanschinen - sobald Updates verfügbar sind - zu aktualisieren. Dazu gehören auch eure Browser: die waren auch durch den Fehler angreifbar.

Wir finden, dass eine professionelle, sichere, und datenschutzbewusste Praxisverwaltung kein Luxus größerer Praxen sein muss.

Wir sind der Meinung, das alltägliche Verwaltungsaufgaben rund um Terminvergabe und Rechnungsstellung nicht nervenaufreibend sein müssen.

Deshalb haben wir LEMNISCUS aus der Praxis und für die Praxis entwickelt.

Mit LEMNISCUS sind Sie gut in der Zeit.

Papick G. Taboada, Geschäftsführer

Perfektion ist nicht dann erreicht,
wenn man nichts mehr hinzufügen,
sondern nichts mehr weglassen kann

— Antoine de Saint-Exupéry

Neugierig? Sofort Ausprobieren  

pgt technology scouting GmbH