Bereits vor einigen Wochen geriet der Chiphersteller Intel in die Schlagzeilen. Spezialisten für IT-Sicherheit aus dem Hause Google konnten zwei signifikante Sicherheitslücken (genannt Meltdown und Spectre) in einem sehr breiten Spektrum aktueller sowie älterer Intel Prozessoren nachweisen. Beide Sicherheitslücken gelten sehr äußerst kritisch, da Angreifer direkten Zugriff auf sensible Daten erhalten können.
Ob Desktop-PC, Laptop oder Server, die meisten Computer sind betroffen. Doch sowohl Intel als auch andere Unternehmen haben auf die Bugs reagiert. Nachfolgend unsere Antworten zu den häufigsten Fragen.
Was hat es mit den Meltdown und Spectre Bugs auf sich?
Der Prozessor (auch CPU genannt) ist die Recheneinheit und damit das Herzstück eines jeden Computers, Smartphones oder Tablets. Pro Sekunde werden unzählige Rechenoperationen durchgeführt, um den Betrieb des jeweiligen Geräts zu ermöglichen. Unter anderem werden auch eingegebene Daten verarbeitet, einschließlich Benutzernamen, Passwörtern etc.
Meltdown und Spectre sind Sicherheitslücken, die Zugriff auf diese Daten – die augenblicklich vom Prozessor verarbeitet werden – ermöglichen. Angreifer können die Daten abfangen und auslesen. Weil dies direkt über die CPU geschieht, werden andere Schutzmechanismen, wie z.B. eine Verschlüsselung von Dateien, umgangen. Somit besteht die Gefahr, dass die Angreifer Passwörter und andere sensible Informationen erbeuten.
Doch Angreifer haben es nicht leicht, das Auslesen der Daten auf Hardwareebene gilt als sehr komplex. Ein Angriff erfordert den Einsatz von Malware, also heimlich installierter Schadsoftware. Aber sollte deren Installation gelingen, hat der Angreifer unmittelbaren Zugriff auf sämtliche Daten, die vom Prozessor verarbeitet werden. Softwareseitige Sicherheitsmaßnahmen, wie z.B. das Ausführen von Software innerhalb einer Sandbox, greifen dann nicht mehr. Genau dieser Umstand macht Meltdown und Spectre so kritisch.
Wie ist der CPU Bug hinsichtlich des Datenschutzes zu bewerten?
Die Bewertung beider CPU Bugs aus datenschutzrechtlicher Sicht ist äußerst schwierig. Das Gesetz gibt Rahmenbedingungen vor, befasst sich jedoch nicht mit solchen Details. Deshalb kann eine individuelle Rechtsauslegung von großer Bedeutung sein.
Erschwerend kommt hinzu, dass die Bugs nicht einfach auszunutzen sind. Wie schon angedeutet, müssen Angreifer einen vergleichsweise großen technischen Aufwand betreiben, um Daten auslesen zu können. Angriffe müssen somit äußerst gezielt erfolgen.
Entscheidend für den Datenschutz in der Praxis ist vor allem das Datenschutzniveau, welches ein Unternehmen einhalten muss und welche konkreten Maßnahmen dafür erforderlich sind. Im Allgemeinen erscheint es jedoch sinnvoll, die Sicherheitslücken gezielt zu schließen und damit für eine hohe Datensicherheit zu sorgen. Schließlich ist der Einsatz von Computern inzwischen weit verbreitet und es werden oftmals vergleichsweise große Datenmengen verarbeitet, die auch Daten mit Personenbezug umfassen.
Angenommen es kommt tatsächlich zu einem gezielten Angriff und es werden personenbezogene Daten erbeutet. Ein Unternehmen könnte daraufhin in Erklärungsnot geraten, besonders wenn die Existenz der CPU Bugs Meltdown und Spectre bekannt gewesen ist. Folglich sollten Unternehmen lieber handeln und die Sicherheitslücken schließen.
Sicherheitslücken der Prozessoren schließen
Die Schließung beider Sicherheitslücken erfolgt per Software, vorrangig über das Betriebssystem. So hat unter anderem Microsoft reagiert und Anpassungen vorgenommen. Der Kernel – ein zentrales Element des Betriebssystems – von Microsoft Windows wurde dahingehend geändert, das die Sicherheitslücke nicht mehr ausnutzen ist.
Jedoch kann solch eine Sicherheitsmaßnahme dazu führen, dass die Performance der jeweiligen Computer abnimmt. D.h. die Computer arbeiten nach Einspielung des Bugfixes nicht mehr so schnell. Prozentual gesehen ist der Performance-Verlust relativ gering und macht sich in der alltäglichen Nutzung eines Bürocomputers nicht bemerkbar.
Anders ist die Situation bei Servern in Rechenzentren (z.B. für die Bereitstellung von Cloud-Services, die übrigens zunehmend häufiger angegriffen werden), hier kann sich der Verlust an Rechenleistung durchaus bemerkbar machen. Gerade in solchen Fällen ist es ratsam, sich Rat von IT-Spezialisten zu holen.
Ihre Experten für den betrieblichen Datenschutz
Die mittlerweile intensive Verflechtung von IT-Systemen und Geschäftsprozessen macht den Datenschutz zunehmend anspruchsvoller. Umso entscheidender ist ein abgestimmtes und praxisnahes Datenschutzkonzept, das ein angemessenes Datenschutzniveau sicherstellt. Gerne stehen wir auch Ihnen zur Seite. Sie erreichen uns telefonisch unter 0800 – 5600831 (gebührenfrei) sowie über unser Kontaktformular.