Meltdown und Spectre – Warum sich Boxcryptor Nutzer keine (großen) Sorgen machen müssen

Die kürzlich publik gewordenen Sicherheitslücken in Prozessoren haben uns allen einen gehörigen Schrecken eingejagt. Auch bei uns im Büro gab es in der Mittagspause kein anderes Gesprächsthema mehr als Meltdown und Spectre. Grund genug, ein paar Gedanken zu Boxcryptor und Meltdown bzw. Spectre für unsere Nutzer aufzuschreiben.

Was sind Meltdown und Spectre?

Die beiden Sicherheitslücken haben zwar jeweils eine andere Funktionsweise, sie nutzen aber das gleiche Leck aus. Deshalb werden sie stets in einem Atemzug genannt, wenn es um die Perspektive der Betroffenen geht.

Doch was ist das für ein Leck? Bisher waren alle davon ausgegangen, dass die Trennung der Prozesse, die zu verschiedenen Programmen gehören, im Arbeitsspeicher zuverlässig umgesetzt wird. Niemand hätte diese Grenze, die eigentlich im Betriebssystem verankert ist, für durchlässig gehalten. Doch nun wurden wir, Dank der Entdeckung von drei Sicherheitsteams, eines Besseren belehrt: Seit etwa 20 Jahren besteht die Möglichkeit, mit Malware den Arbeitsspeicher anderer Programme auszulesen. Dieses Problem betrifft sowohl PCs, Tablets und Smartphones auf der Ebene des individuellen Betroffenen, als auch virtuelle Umgebungen, wie sie meist von Cloud Services eingesetzt werden.

Das Ergebnis dieser fehlenden Grenze: Es ist möglich, den Datenverkehr anderer Anwendungen mitzuschneiden. Und damit sind alle Informationen gemeint, inklusive Passwörter und Datenbankeinträge. Eben alles, was versendet, ausgetauscht oder anderweitig vom Prozessor verarbeitet wird.

Meltdown

Meltdown zielt auf die sogenannte spekulative Ausführung von Prozessoren ab. Dabei werden die wahrscheinlichsten Befehle bereits vorab berechnet, um die Prozessorleistung zu optimieren. Dabei kann, wie jetzt entdeckt wurde, prozessübergreifend Speicher ausgelesen und zwischengespeichert werden. Dieser ist dann offen zugänglich, unabhängig davon, ob der vorhergesagte Befehl schlussendlich ausgeführt wird oder nicht.

Spectre

Spectre beschreibt eine Schwachstelle, die es möglich macht, den aktuell laufenden Vorgang auszulesen. Dabei wird die Abschottung zwischen den Programmen umgangen. Theoretisch können so beliebige Daten aus dem Speicher ausgelesen werden, da Programme auch dazu gebracht werden können, Passwörter herauszugeben. Die Voraussetzungen für das Ausnutzen von Spectre sind jedoch so speziell, dass Fachleute einen Datenverlust aufgrund von Spectre für unwahrscheinlicher halten als einen Datenverlust durch Meltdown.

Meltdown und Spectre

Ob diese Fehler in den Prozessoren in den letzten Jahrzehnten ausgenutzt wurden, weiß niemand. Beteuerungen, dass bisher kein erfolgreicher Angriff bekannt wurde, zählen nicht viel. Denn nicht jeder Hacker lässt sich auch erwischen. Spätestens seit dem Bekanntwerden von Meltdown und Spectre ist es nur noch eine Frage von Tagen oder Wochen, bis Malware existiert, die versucht, gezielt die beiden Schwachstellen auszunutzen.

Mit einem Dienst wie der Suchmaschine Shodan lassen sich gezielt Systeme finden, die noch nicht gepatched wurden, so dass sich Angriffe effizient und automatisiert steuern lassen. Und mal ehrlich: Keiner will sich darauf verlassen, dass alle Prozessoren, die mit den eigenen Daten in Kontakt kommen, zuverlässig gepatched werden.

Meltdown, Spectre und die Cloud-Speicherdienste

Es ist davon auszugehen, dass Daten, die bei Cloud-Speicherdiensten verarbeitet werden, in Gefahr sein können bzw. sein konnten. Cloud-Speicherdienste nutzen oft selbst die Cloud um ihre Dienstleistungen bereitzustellen. Und ein großer Vorteil der Cloud, nämlich die Flexibilität bei der Rechenleistung, ist das Problem. Diese Flexibilität wird durch die Virtualisierung von Servern erreicht, die es ermöglicht mehrere virtuelle Server auf derselben physischen Hardware zu betreiben. Als Nutzer erfährt man nicht, wo sich der physikalische Server wirklich befindet und welche anderen Nutzer diesen zusätzlich nutzen. Und deshalb ist eben auch völlig unklar, welcher potentielle Server-Nachbar Daten ausgespäht haben könnte.

Diese Unsicherheit lässt sich nur mit einer einzigen Sache aus der Welt schaffen, mit Ende-zu-Ende-Verschlüsselung. Einem Datenklau kann man, wie wir nun wissen (und auch vor Bekanntwerden von Meltdown und Spectre geahnt haben) nie hundertprozentig vorbeugen. Man kann aber sehr wohl dafür sorgen, dass der Angreifer mit den gestohlenen Daten nichts anfangen kann.

Boxcryptor-Konten nicht vom Datenleck betroffen!

Zuerst einmal das Wichtigste: Ihr Boxcryptor-Konto ist nicht von Meltdown, bzw. Spectre betroffen.

Warum das so ist, erklären wir gerne: Zunächst einmal haben wir unsere eigene Server Hardware, auf der Daten gespeichert und verarbeitet werden. Und das war auch schon immer so. Wir teilen also unsere Server mit niemandem. Was ein Auslesen für Dritte quer durch den Arbeitsspeicher unmöglich macht. Zudem verwenden wir keine Cloud Services wie AWS oder Azure, bei denen unsere Daten physikalisch neben den Daten anderer Kunden liegen. Das versteht sich für uns von selbst, denn wir arbeiten nach dem Prinzip Security by Design. Noch mal zur Erinnerung: Bei Meltdown besteht das Leck ja genau daraus, dass Informationen vom Server-Nachbarn abgegriffen werden können.

Doch selbst wenn wir solche gemeinschaftlich genutzten Server verwenden würden, wären die Auswirkungen von Meltdown (und natürlich auch nicht von eventuellen zukünftigen solchen Sicherheitslücken) minimal. Der Grund dafür ist, dass wir niemals sensible Daten an unsere Server senden. Wir verarbeiten und erhalten ausschließlich verschlüsselte Schlüssel. Das bedeutet: Selbst für den Fall, dass jemand Daten mitschneiden würde, hätte der Angreifer nur verschlüsselte Daten. Und mit denen kann er bekanntlich nichts anfangen.

Aktualisieren Sie Ihre Geräte

Auf der Client Seite sieht es ein wenig anders aus, denn auf dem PC, Smartphone oder Tablet sind die verschlüsselten Dateien, während sie in Verwendung sind, eben nicht verschlüsselt. Und das ist genau der Zeitpunkt, an dem ein Ausspähen möglich ist.

Um sich gegen Meltdown und Spectre zu schützen, ist es deshalb dringend notwendig, schnell die bereitgestellten Updates einzuspielen. Die großen Softwarehäuser bieten für die gängigen Betriebssysteme bereits entsprechende Updates an. Hier muss man jedoch darauf achten, dass alte Betriebssysteme unter Umständen nicht mehr unterstützt werden. Das betrifft auch alte Smartphones und kostenfreie Dienste. Wieder einmal ist also jeder einzelne dazu aufgerufen, sich mit seiner IT-Infrastruktur zu befassen.

Sobald jemand via Malware in das eigene System eingedrungen ist, ist eigentlich alles zu spät. Denn Passwörter können dann bereits bekannt sein – wer weiß wie lange. Erfahren wird man das leider nicht, denn so ein Schadprogramm kann nahezu unsichtbar agieren.

Fazit

Zusammenfassend kann man sagen, dass man sich um seine verschlüsselten Daten in der Cloud aktuell keine Sorgen machen muss. Leider muss man sich aber sehr wohl um seine persönlichen Arbeitsgeräte sorgen. Wir empfehlen daher – falls noch nicht erfolgt – die jeweiligen Updates einzuspielen und die Passwörter zu ändern (in dieser Reihenfolge!).

Allerdings: Hundertprozentigen Schutz kann es nie geben. Aber mit Verschlüsselung ist der Nutzer bereits gegen viele Eventualitäten abgesichert.