Kommentar zu Meltdown und Spectre Wo die wirkliche Gefahr liegt

Joachim Kroll, Stv. Chefredakteur Elektronik
Joachim Kroll, Stv. Chefredakteur Elektronik

Sind wir Journalisten Panikmacher? – Natürlich greifen wir alles, was nach »Skandal« riecht oder sich zum »Super-GAU« hochstilisieren lässt, gerne auf. Aber bisher ist noch keine kriminelle Nutzung von Meltdown oder Spectre bekannt geworden. Also alles nicht so dramatisch?

Sofort nach Bekanntwerden der neuen Prozessor-Sicherheitslücke haben die Hersteller betont, dass ja alles nicht so schlimm sei und dass es noch keine bekannten Fälle von Missbrauch dieser Lücke gäbe. Allerdings ist es zum Beispiel möglich, aus einer virtuellen Maschine heraus Speicherbereiche des Kernels auszulesen. Cloud-Dienste und die Webserver vieler kleinerer Unternehmen laufen auf solchen virtuellen Maschinen. Ein Angreifer kann also aus dieser Umgebung heraus auf die zentrale Instanz aller Kunden zugreifen, deren Infrastuktur auf der gleichen Hardware betrieben wird. Wenn das keine schwere Sicherheitslücke ist, was müsste dann noch passieren?

Warum sich die Hersteller so sicher sind, dass die bekannt gewordenen Lücken noch nicht ausgenutzt wurden, erschließt sich mir nicht ganz. Immerhin hinterlassen die Angriffe keine Spuren in Log-Dateien, verfälschen keinen Code, ändern keine Daten. Es könnte also sein, dass jemand vorerst nur heimlich Daten gesammelt hat, um sie später in irgendeiner Weise auszuschlachten. Das Kennzeichen wirksamer Angriffe ist, dass sie unerkannt bleiben.

Was ebenfalls Skepsis weckt, ist die Tatsache, dass die Lücke schon im Juni bekannt wurde, aber erst jetzt an die Öffentlichkeit kam. Klar, man will keine schlafenden Hunde wecken, aber warum dauert es mit den Patches so lange? Müssen sich Apple und Microsoft für ihre Patches erst die Genehmigung der NSA holen?

Da liegt das wirkliche Risiko dieser Sicherheitslücken. Es heißt zwar, dass die Ausnutzung von Spectre sehr hohen Aufwand und viel Know-how erfordern würde. Das mag für kleinkriminelle Hacker zutreffen, aber Geheimdienste lassen sich davon nicht abschrecken. Wenn man bedenkt, wieviel ein Aufklärungsflugzeug kostet, dann kann man mit einer geschickt gemachten Spectre-Malware quasi zum Schnäppchenpreis an noch viel interessantere Informationen gelangen, als es aus 10 km Höhe möglich wäre.