Schlagwort: Security

Spekulative Aushorchung

„Kernschmelze“ und „Gespenst“ sind wahrlich nicht zu niedrig gegriffene Schlagworte für das möglicherweise größte anzunehmende Unbehagen der Informationswirtschaft. Wir wissen nicht einmal, wie viele Milliarden Prozessoren mit den jetzt vorgefundenen Sicherheitslücken weltweit im Einsatz sind. Die Chipproduktion seit 1995 – also seit mehr als 20 Jahren – ist sozusagen kontaminiert.

Das Einfallstor, durch das nach Ansicht der Sicherheitsforscher bislang noch kein Angriffsversuch unternommen wurde, ist eine im Grunde äußerst wünschenswerte Einrichtung: „Speculative Execution“ – zu deutsch: „Spekulative Ausführung“ – ist eigentlich ein Klassiker der Prozessorbeschleunigung. Der Chip mutmaßt, welche Daten als nächstes benötigt werden, und lädt sie schon mal runter. Dabei sind dann auch verschlüsselte oder geschützte Daten auf der Hardwareebene unverschlüsselt verfügbar. Meltdown macht sich das zunutze, indem der Prozessor aufgefordert wird, die eigenen Daten sozusagen spekulativ auszuhorchen. Durch Software kann dieser Prozess weder bemerkt noch unterbunden werden.

Eigentlich. Doch seit Monaten arbeiten die großen Anbieter von Betriebssystemen und Geräten an einer softwareseitigen Lösung. Sie sollte eigentlich am 9. Januar – also am Dienstag – weltweit als Update bereitgestellt und in den Data Centern der größten Cloud-Anbieter installiert werden. Doch eine derart weltumspannende Reparatur ließ sich wohl nicht mehr länger verheimlichen. In den USA tauchten erste Berichte von hektischen Update-Aktivitäten auf, die Spekulationen über ein anstehendes IT-Großereignis schürten. Dass es so groß und so niederschmetternd für eine ganze Industrie, ja für unsere komplette Art zu leben, zu arbeiten, zu kommunizieren sein würde – das hatte wohl niemand ahnen können.

Außer jenen Anbietern – darunter Microsoft, Google und Amazon –, deren IT-Ökosphäre durch die Sicherheitslücke in größte Gefahr geraten würde. Seit Juni letzten Jahres – heißt es – arbeiten die Hersteller an einem Software-Update, dass diese Lücke zwar nicht endgültig schließt, aber doch wenigstens schwerer nutzbar macht. Endgültige Sicherheit wird wohl nur ein kompletter Austausch der Hardware bringen. Aber wie soll das gelingen?

Wer jetzt an Dieselgate denkt, ist kein Schelm. Ohne die Möglichkeit der schnellen Hilfe durch ein Software-Update stünde die Welt an einem Abgrund – denn Milliarden Prozessoren kann man nicht einfach mal so eben austauschen. Allein sie zu produzieren, würde die Produktionskapazitäten aller Chiphersteller aufbrauchen. Sie auszutauschen ist in vielen Fällen ebenfalls nicht möglich – wer weiß schon, wo er welchen Chip im Einsatz und am Netz hat.

Da ist es fast ein Segen, dass die Dematerialisierung unserer Produktwelten so weit fortgeschritten ist, dass die notwendigen ersten Sicherheitsmaßnahmen über ein Software-Update erfolgen können. Und es ist zugleich ein Segen, dass inzwischen Hunderttausende Unternehmen ihre Anwendungen nicht mehr im betriebseigenen Rechenzentrum, sondern in der Cloud haben. Dort – und das ist durchaus ein Wettbewerbsvorteil – haben die großen Anbieter wie Microsoft, Google und Amazon längst die Nase vorn. Sie wurden bereits früh durch die Hackerforscher informiert – denn nur sie können es sich leisten, diese extrem aufwändigen Forschungsarbeiten auch zu finanzieren.

Wie komplex das Software-Update ist, zeigt sich daran, dass beispielsweise Microsoft davor warnt, das Update erst auszuführen, wenn auch die Antivirus-Hersteller wiederum ihre Updates bereitgestellt haben. Denn die bestehenden Schutzsoftware-Versionen werden aktiv, wenn nicht unterstützte Aufrufe in den Speicher des Kernels getätigt werden. Erste Antivirus-Anbieter haben allerdings schon reagiert und ebenfalls Updates zur Verfügung gestellt.

Andere Anbieter ziehen jetzt in einem zweiten Schritt nach. Und Millionen von Unternehmen, die ihre Lösungen unverändert im eigenen Betrieb hosten, werden in den kommenden Wochen folgen. Oder nichts tun. So unfassbar das erscheinen mag, aber die Zahl der Menschen, die auch nach Bekanntwerden einer Sicherheitslücke nur schulterzuckend beiseite gehen, ist immer noch erschreckend hoch.

Oh, dabei fällt mir ein: Ich sollte jetzt meinen PC runterfahren und dann das neue Sicherheitsupdate hochladen. Oder gleich alle Daten und Anwendungen einem seriösen Cloud-Anbieter anvertrauen. Und morgen kaufe ich einen neuen Computer – mit bugfreien Prozessoren gegen spekulatives Aushorchen.

Aber erst morgen…

 

Triple A für Sicherheit

CDU und SPD beschäftigen nach Recherchen der Wochenzeitung „Die Zeit“ jeweils lediglich drei Mitarbeiter, um die parteiinternen IT-Systeme, die naturgemäß hochgradig dezentral strukturiert sind, vor Cyber-Attacken zu schützen. Beim Bundesamt für Sicherheit in der Informationstechnik wurde die Zahl der Mitarbeiter immerhin auf 600 aufgestockt. Doch was ist das schon angesichts von 3700 Fällen, die „in die tägliche Lagebesprechung eingebracht“ wurden.

Ganz anders hört sich die Planzahl von Bundesverteidigungsministerin Ursula von der Leyen an, die neben Marine, Luftwaffe und Heer nun eine vierte Säule „Cyber“ aufstellt, in der 13500 Soldaten Deutschland vor Angriffen aus dem Web-All schützen sollen. Wie schwer es übrigens ist, Fachkräfte im Kampf gegen Cyber-Crime und Cyber-War zu bekommen, beweist die Tatsache, dass die Bundeswehr auf ihre traditionellen Einstellungskriterien verzichtet: Gegen Hacker dürfen auch übergewichtige Couch-Potatoes antreten…

Zehntausende Verteidiger, die von ein paar Dutzend Angreifern in Atem gehalten werden: das klingt nach asynchroner Kriegsführung, nach Guerilla-Taktik und – ein naheliegendes Wort in diesen Tagen – Terror! Dabei entwickelt sich diese kriegerische Auseinandersetzung zwischen Hackern und Hütern zu einem Hochgeschwindigkeits-Gefecht, das ohnehin kaum noch von Menschenhand geführt werden kann. Es geht immer nur um größtmögliche Reaktionsschnelle, mit der das Zeitfenster zwischen Entdeckung eines Sicherheitslochs und Schließung der Lücke so klein wie möglich gehalten werden soll. Deshalb werden immer mehr computerisierte Abwehrmethoden entwickelt, die die Angriffe nicht nur verteidigen sollen, sondern bereits vorhersagen und vorzeitig Maßnahmen ergreifen werden. Schon 2017 wird „Triple A Security“ zu einem der ganz großen Dinger auf der Agenda der IT-Verantwortlichen. Die drei As stehen dabei für Automation, Analytics und Artificial Intelligence.

Bereits heutige Virenscanner erledigen die Abwehr bekannter Viren weitgehend selbständig. Es bedarf jedoch zumeist immer noch des menschlichen Eingriffs, wenn es darum geht, neue Sicherheitsupdates auch tatsächlich zu aktivieren. Bei dem Angriff auf die rund 900.000 WLan-Router der Deutschen Telekom war zu erkennen, dass zu viel Zeit vergeht, bis erstens die neue Software verfügbar war und zweitens auch von den Privatkunden genutzt wurde. Automatisierung soll dieses Zeitfenster nun so klein halten wie möglich, um Hackern nur eine kurze Zeitspanne zu überlassen, in der sie die neuen Lücken nutzen können.

Aber besser noch ist gar keine Zeitspanne zwischen Entdeckung und Bereinigung. Dazu werden mehr und mehr Analysewerkzeuge angeboten, die den Verkehr im Netzwerk und zwischen Endgeräten beobachten und auf Anomalien hin untersuchen. So kann frühzeitig festgestellt werden, dass Abweichungen im Netzverkehr auf das Wirken von Schadsoftware und den Eingriff von außen hindeuten. Gegenmaßnahmen werden also noch schneller ergriffen.

Mit Hilfe lernender Systeme ist es im nächsten Schritt möglich, nicht nur das Verhalten des Netzwerkes, sondern das individuelle Verhalten von Anwendern zu beobachten. Weicht das von der normalen Nutzung ab, schlägt das System Alarm. Lernende Systeme sind dabei in der Lage festzustellen, was ein User üblicherweise tut, und lernen mit jedem Klick dazu. Gleichzeitig sind sie in der Lage, auf der Basis von Nachrichten über neue Angriffe Muster für den eigenen Schutz zu erkennen.

IBMs Watson beispielsweise ist inzwischen auch in der Cyberabwehr aktiv. Das System beobachtet den Verkehr im Netz auf der Suche nach Schadsoftware, „abonniert“ NewsFeeds zu aktuellen Angriffen und entwickelt auf dieser Basis Abwehrstrategien. Dazu gehört auch die automatische Fortschreibung von „weißen Listen“, also die Festlegung, welcher Anwender auf welche Daten und Systemfeatures zugreifen darf.

Mehr Schutz bedeutet freilich immer auch mehr Verlust an Freiheit. Wenn Watson oder andere KI-Systeme das Anwenderverhalten beobachten, könnte man auch sicherstellen, dass nicht im Büro privat gesurft wird, dass keine auffällig großen Dateien versendet werden oder der Zugriff auf nicht freigegebene Anwendungen ersucht wird. Triple A Security bedeutet eben auch Triple A Kontrolle: Ausspähen, Aussperren und Ausmustern.