„Kernschmelze“ und „Gespenst“ sind wahrlich nicht zu niedrig gegriffene Schlagworte für das möglicherweise größte anzunehmende Unbehagen der Informationswirtschaft. Wir wissen nicht einmal, wie viele Milliarden Prozessoren mit den jetzt vorgefundenen Sicherheitslücken weltweit im Einsatz sind. Die Chipproduktion seit 1995 – also seit mehr als 20 Jahren – ist sozusagen kontaminiert.
Das Einfallstor, durch das nach Ansicht der Sicherheitsforscher bislang noch kein Angriffsversuch unternommen wurde, ist eine im Grunde äußerst wünschenswerte Einrichtung: „Speculative Execution“ – zu deutsch: „Spekulative Ausführung“ – ist eigentlich ein Klassiker der Prozessorbeschleunigung. Der Chip mutmaßt, welche Daten als nächstes benötigt werden, und lädt sie schon mal runter. Dabei sind dann auch verschlüsselte oder geschützte Daten auf der Hardwareebene unverschlüsselt verfügbar. Meltdown macht sich das zunutze, indem der Prozessor aufgefordert wird, die eigenen Daten sozusagen spekulativ auszuhorchen. Durch Software kann dieser Prozess weder bemerkt noch unterbunden werden.
Eigentlich. Doch seit Monaten arbeiten die großen Anbieter von Betriebssystemen und Geräten an einer softwareseitigen Lösung. Sie sollte eigentlich am 9. Januar – also am Dienstag – weltweit als Update bereitgestellt und in den Data Centern der größten Cloud-Anbieter installiert werden. Doch eine derart weltumspannende Reparatur ließ sich wohl nicht mehr länger verheimlichen. In den USA tauchten erste Berichte von hektischen Update-Aktivitäten auf, die Spekulationen über ein anstehendes IT-Großereignis schürten. Dass es so groß und so niederschmetternd für eine ganze Industrie, ja für unsere komplette Art zu leben, zu arbeiten, zu kommunizieren sein würde – das hatte wohl niemand ahnen können.
Außer jenen Anbietern – darunter Microsoft, Google und Amazon –, deren IT-Ökosphäre durch die Sicherheitslücke in größte Gefahr geraten würde. Seit Juni letzten Jahres – heißt es – arbeiten die Hersteller an einem Software-Update, dass diese Lücke zwar nicht endgültig schließt, aber doch wenigstens schwerer nutzbar macht. Endgültige Sicherheit wird wohl nur ein kompletter Austausch der Hardware bringen. Aber wie soll das gelingen?
Wer jetzt an Dieselgate denkt, ist kein Schelm. Ohne die Möglichkeit der schnellen Hilfe durch ein Software-Update stünde die Welt an einem Abgrund – denn Milliarden Prozessoren kann man nicht einfach mal so eben austauschen. Allein sie zu produzieren, würde die Produktionskapazitäten aller Chiphersteller aufbrauchen. Sie auszutauschen ist in vielen Fällen ebenfalls nicht möglich – wer weiß schon, wo er welchen Chip im Einsatz und am Netz hat.
Da ist es fast ein Segen, dass die Dematerialisierung unserer Produktwelten so weit fortgeschritten ist, dass die notwendigen ersten Sicherheitsmaßnahmen über ein Software-Update erfolgen können. Und es ist zugleich ein Segen, dass inzwischen Hunderttausende Unternehmen ihre Anwendungen nicht mehr im betriebseigenen Rechenzentrum, sondern in der Cloud haben. Dort – und das ist durchaus ein Wettbewerbsvorteil – haben die großen Anbieter wie Microsoft, Google und Amazon längst die Nase vorn. Sie wurden bereits früh durch die Hackerforscher informiert – denn nur sie können es sich leisten, diese extrem aufwändigen Forschungsarbeiten auch zu finanzieren.
Wie komplex das Software-Update ist, zeigt sich daran, dass beispielsweise Microsoft davor warnt, das Update erst auszuführen, wenn auch die Antivirus-Hersteller wiederum ihre Updates bereitgestellt haben. Denn die bestehenden Schutzsoftware-Versionen werden aktiv, wenn nicht unterstützte Aufrufe in den Speicher des Kernels getätigt werden. Erste Antivirus-Anbieter haben allerdings schon reagiert und ebenfalls Updates zur Verfügung gestellt.
Andere Anbieter ziehen jetzt in einem zweiten Schritt nach. Und Millionen von Unternehmen, die ihre Lösungen unverändert im eigenen Betrieb hosten, werden in den kommenden Wochen folgen. Oder nichts tun. So unfassbar das erscheinen mag, aber die Zahl der Menschen, die auch nach Bekanntwerden einer Sicherheitslücke nur schulterzuckend beiseite gehen, ist immer noch erschreckend hoch.
Oh, dabei fällt mir ein: Ich sollte jetzt meinen PC runterfahren und dann das neue Sicherheitsupdate hochladen. Oder gleich alle Daten und Anwendungen einem seriösen Cloud-Anbieter anvertrauen. Und morgen kaufe ich einen neuen Computer – mit bugfreien Prozessoren gegen spekulatives Aushorchen.
Aber erst morgen…