Interview mit Prof. Hartmut Pohl Security by Obscurity ist am Ende

Professor Hartmut Pohl: »Die derzeitigen Sicherheitsstandards sind so schlecht, dass die Regierungen und die Gesetzgeber weltweit darauf endlich reagieren müssen.«

Im Interview erklärt IT-Security-Urgestein Professor Hartmut Pohl, warum mit dem derzeitigen Prozessordesign Security ein frommer Wunsch bleiben muss. Änderungen, so fürchtet er, werden nur durch Haftungsgesetze und Sammelklagen kommen.

Markt&Technik: Herr Pohl, bitte fassen Sie die technischen Hintergründe der aktuellen Sicherheitslücken Spectre und Meltdown zusammen.

Prof. Hartmut Pohl: Die Befehlsausführung in Prozessoren wird von Software, sogenannter Firmware oder Mikrocode, gesteuert. In dieser wurden immer wieder Sicherheitslücken identifiziert. Hierfür Patches und Fixes zu programmieren ist aufwendig und nicht trivial, wie die Leistungsverluste für Meltdown und Spectre gepatchter CPUs zeigen.

Spectre und Meltdown sind Sicherheitslücken – Design-Fehler – in nahezu allen aktuellen Intel-Prozessoren seit 2008 und gleichermaßen in zahlreichen Prozessoren anderer Hersteller. Die grundsätzliche Schwachstelle betrifft somit nicht nur PC und Laptops, sondern auch Smart­phones, Tablets und alle anderen Systeme, die einen solchen Prozessor verwenden.

Welche Vorteile bieten diese Mechanismen für das Prozessordesign?

Aktuelle Prozessoren nutzen u.a. zwei Funktionen zur Erhöhung der Bearbeitungsgeschwindigkeit: Branch Prediction und Speculative Execution führen vorsorglich Code bei Verzweigungen aus, bevor entschieden werden kann, dass er tatsächlich ausgeführt werden soll. Damit wird erreicht, dass für Verzweigungen die in Betracht kommenden Code-Zweige vorab berechnet werden und bei einer Entscheidung der relevante Zweig schon berechnet mit Ergebnissen vorliegt. Allerdings kann grundsätzlich auf zwischengespeicherte Daten geschlossen werden, sodass sie von Unberechtigten ausgelesen werden können. Die eigentliche Ursache der Sicherheitslücken liegt dabei also im leistungsoptimierten Design der Prozessoren mehrerer Hersteller. Mit Hilfe der Verfahren „Speculative Execution“ und „Out of Order Execution“ wird die Prozessorleistung erhöht.

Spekulative Ausführung sorgt für eine beschleunigte Reaktion auf bestimmte Benutzereingaben. Prozessoren, die aktuell wenig zu tun haben, führen somit Berechnungen aus, von denen angenommen werden kann, dass sie zeitnah benötigt werden. Mit der Speicherung solcher spekulativen Ergebnisse stehen sie bereits zur Verfügung, wenn das Programm an der relevanten Stelle angelangt und das Ergebnis tatsächlich benötigt wird. Nun werden die zwischengespeicherten Ergebnisse gelesen, passende werden ausgeführt und nicht benötigte verworfen. Somit wird in Phasen geringer Ausnutzung die vorhandene Leistungsfähigkeit der Hardware vorausschauend genutzt und der Prozessor bei einer höheren Auslastung entlastet – insgesamt massiv leistungsfähiger.

Seit wann weiß man denn um die Gefahr des Missbrauchs dieser Mechanismen?

In Prozessoren wurden im vergangenen Jahr 2017 drei bis dahin nicht veröffentlichte Sicherheitslücken – genannt Meltdown (CVE-2017-5754) und Spectre 1 und 2 (CVE-2017-5753 und -5715) – identifiziert. Betroffene Software- und Hardware-Hersteller wurden bereits am 1. Juni 2017 informiert. Unveröffentlicht ist, welchen Herstellern, Anwendern, Sicherheitsbehörden oder der organisierten Kriminalität diese Sicherheitslücken womöglich schon lange vor diesem Datum bekannt waren. Die Verifizierung dieser Sicherheitslücken ist offensichtlich derart zeitaufwendig, dass davon ausgegangen werden muss, dass die Probleme bereits seit 2016 erkannt wurden.

Informiert wurden von Intel vor allen anderen Kunden die chinesischen Suchmaschinenbetreiber Baidu und Tencent. Man sollte aber davon ausgehen, dass Intel sein Vorgehen in diesem schwerwiegenden Fall vorab mit den zuständigen US-Behörden abgestimmt hat.

Wie groß ist denn die tatsächliche Gefahr? Manche sprechen von einem sensationslüsternen Medien-Hype, der betrieben würde.

Die entdeckten Sicherheitslücken erlauben es Angreifern, Speicherbereiche des Computers auszulesen. So können Informationen wie zum Beispiel Passwörter, kryptografische Schlüssel, E-Mail-Nachrichten oder Chat-Inhalte aus den sonst nicht zugänglichen Speicherbereichen fremder Programme und aus dem sonst geschützten Speicherbereich des Betriebssystems ausgelesen werden.

Nutzt man diese Sicherheitslücken aus, wird ein verdeckter Seitenkanal aufgebaut (Side-Channel) und es können gespeicherte Daten über diesen Kanal zu einem Angreifer übertragen werden. Side-Channels sind Kommunikationskanäle, deren Ausnutzung (meist) nicht dokumentiert ist. Sie können fahrlässig oder auch absichtlich eingebaut sein.