Herrmann - Computer und Internet Service
Computer und Internet Service

Empfehlungen zu Meltdown und Spectre

Seit Januar machen Meltdown und Spectre Schlagzeilen: Die Angriffswege gelten als "Security-Supergau"[1], als größter anzunehmender Sicherheitsunfall für Computersysteme. Komplizierte technische Erklärungen und Panikmache in den Medien verunsichern die Öffentlichkeit. Was muss man als Laie wissen und beachten?


Anfälligkeit bauartbedingt


Die Einschätzung von Meltdown und Spectre als Supergau ist insofern nicht übertrieben, als sie (von wenigen Ausnahmen abgesehen) sämtliche Computer betreffen, die in den letzten 20 Jahren auf den Markt gekommen sind. Ob PC oder Notebook – die Wahrscheinlichkeit, dass der heimische Rechner betroffen ist, ist fast 100 %.


Der Grund: Meltdown und Spectre zielen auf Standardfunktion der Prozessoren (CPUs), also der Hardware. Diese Funktionen sind von den Herstellern wie Intel und AMD bewusst angelegt, weil sie die Rechengeschwindigkeit wesentlich erhöhen. Stark vereinfacht gesagt stellen CPUs zwischen zwei Berechnungen Spekulationen darüber an, welche Daten in naher Zukunft gebraucht werden und berechnen sie vorsorglich. Zutreffende Spekulationen sparen summiert enorm viel Rechenzeit ein, nicht zutreffende führen zu keinen Verzögerungen, die Ergebnisse werden einfach verworfen.


Bei einem Angriff auf den nun aufgedeckten Wegen lesen Schadprogramme diese Daten – auch wenn sie dafür eigentlich nicht die Rechte besitzen. So können Kriminelle zwar nichts löschen, verändern oder den PC verschlüsseln. Sie können aber in den Besitz von Passwörtern, Bankverbindungen und anderen persönlichen Daten gelangen.


Neue Hardware kaufen?


Es bringt aktuell und leider auch mittelfristig nichts, neue Hardware zu kaufen. Die Funktionen, die Meltdown und Spectre ausnutzen, sind in allen leistungsfähigen Chips implementiert. Konkret betroffen sind Intel-CPUs sowohl von Meltdown als auch von Spectre in den Varianten 1 und 2, bei AMD entfällt dem aktuellen Kenntnisstand nach Meltdown. Einige Gegenmaßnahmen verringern das Risiko eines Datendiebstahls aber erheblich.


Windows und Browser aktualisieren


Ein aktuelles Windows mit allen Updates ist die Grundvoraussetzung. Microsoft hat bereits Updates herausgegeben, die auf einigen Systemen zu Instabilitäten und Reboots führten und deswegen nicht auf allen Rechnern installiert sind. Mittlerweile wurden diese Probleme aber behoben. Achtung für Nutzer von Windows 7, die keinen Virenscanner eines Drittherstellers nutzen: Hier lässt sich aufgrund eines fehlenden Eintrags in der Registry der aktuelle Update-Stand nicht erreichen.[2] Man kann den Eintrag selbst vornehmen oder einen Virenscanner installieren, um die Kompatibilität herzustellen. Unerfahrene Nutzer sind aber zur Vorsicht angehalten: Wer nicht genau weiß, was er tut, sollte nicht selbst die Registry manipulieren. Fehlerhafte Einstellungen können den gesamten Computer lahmlegen. Herrmann CIS übernimmt die fachgerechte Einstellung der Registry in kurzer Zeit und garantiert fehlerfrei.


Zweite Maßnahme zur Gefahrenabwehr ist die Aktualisierung des Browsers. Firefox liegt in der Version 58.0.2 vor, Edge wird mit dem Betriebssystem aktuell gehalten. Nutzer von Chrome sollten bei Version 64 angekommen sein. Speziell für Chrome empfiehlt sich die manuelle Aktivierung der Funktion Strict Site Isolation, die standardmäßig (noch) deaktiviert ist und die auch Laien einfach einschalten können. Dazu geben Nutzer in die Adresszeile chrome://flags ein und drücken Enter. Es erscheint ein Menü, in dem der Eintrag Strict Site Isolation von Disabled auf Enabled umzustellen ist. Ein Klick auf die Schaltfläche rechts öffnet die Auswahlmöglichkeit. Anschließend muss der Browser nur noch neu gestartet werden.


BIOS flashen – nur für Experten


Gegen Spectre hilft ein Patch des Betriebssystems allein nicht. Zusätzlich muss die Firmware der CPU gepatcht werden in Form eines sogenannten Microcode-Updates. Für die Erstellung der neuen Microcodes sind die Chiphersteller verantwortlich, die sie an die Hersteller der Mainboards (Hauptplatinen in PCs und Notebooks) ausliefern. Von dort können sie die Verbrauer als aktualisierte BIOS-Versionen herunterladen.


Dabei gibt es drei Probleme: Es ist noch nicht klar, für welche CPUs Microcode-Updates kommen. Je älter die CPU, desto geringer ist die Wahrscheinlichkeit, dass sie noch unterstützt wird. In ersten Stellungnahmen von Intel war die Rede von fünf Jahre alten CPUs, von denen 90 % bis Ende Januar neuen Microcode erhalten sollten. Das Ziel wurde bereits verfehlt. Außerdem müssen die Mainboardhersteller neue BIOS-Versionen herausgeben. Es kann also sein, dass es zwar ein Microcode-Update von Intel gibt, der Mainboardhersteller aber keine neue BIOS-Version herausgibt. In diesem Fall kann man als Verbraucher nichts tun.


Letztlich ist das Updaten des BIOS – man nennt es das "Flashen" – aber auch nichts, das jedermann durchführen kann. Ein Fehler bei diesem Vorgang kann noch drastischere Folgen haben als ein falscher Eintrag in der Registry. Denn die Registry berührt nur Windows, das man im Notfall neu aufsetzen kann. Ein Fehler beim Flashen des BIOS kann aber die Hauptplatine dauerhaft unbrauchbar machen – dann ist das Mainboard ein Totalschaden und lässt sich nicht reparieren. Wer sich nicht absolut sicher bei seinem Tun ist, sollte das Flashen folglich dem Fachmann überlassen. Herrmann CIS überprüft, ob es ein passendes Microcode-Update gibt, und flasht das BIOS fachgerecht.


Seit 1. März macht eine Meldung die Runde, das Microsoft für ausgewählte Systeme ebenfalls neuen Microcode verteilt, allerdings nicht über das normale Windowsupdate, sondern nur aus dem Update Catalog.[3] Auch hier sollten nur diejenigen zugreifen, die sich sicher sind, was sie tun, und ansonsten den Fachmann um Rat fragen.


Weiterführende Quellen
[1] https://www.heise.de/thema/Meltdown-und-Spectre
[2] https://www.heise.de/ct/artikel/Windows-7-Keine-aktuellen-Updates-ohne-Virenscanner-3978274.html
[3] https://www.golem.de/news/windows-catalog-microsoft-verteilt-kuenftig-selbst-spectre-patches-1803-133093.html