Riesige Sicherheitslücken aufgedeckt – und Technologieunternehmen können kaum mithalten

Einige Unternehmen zögern mit der Installation des Fixes für einen massiven Sicherheitsfehler in Mikrochips, der fast jeden Computer und jedes Smartphone Hacking aussetzt, aus Angst, dass die Lösung schlimmer ist als das Problem. (Reuters)

Sicherheitsexperten versuchten am Freitag, Computerbenutzern weltweit zu versichern, dass eine neu entdeckte Art von Sicherheitslücke durch die einfache Aktualisierung von Software mit Patches, die Technologieunternehmen seit Monaten hektisch entwickeln, gehandhabt – wenn auch nicht beseitigt – werden kann.

WpHolen Sie sich die volle Erfahrung.Wählen Sie Ihren PlanPfeilRechts

Aber diese relativ beruhigende Nachricht kommt vor dem Hintergrund der Besorgnis in der Technologiebranche, die erstaunt war, als sie entdeckte, dass die Mikrochips, die fast jeden Computer und jedes Smartphone antreiben, seit Jahren grundlegende Fehler aufweisen, die von Hackern ausgenutzt und dennoch nicht vollständig behoben werden können.

Die Mängel, die diese Woche angekündigt und als Meltdown und Spectre bezeichnet wurden, resultieren aus Designs, die es Computern ermöglichten, schneller und effizienter zu arbeiten. Obwohl nicht klar ist, ob Hacker diese Schwachstellen ausgenutzt haben, sagen Sicherheitsexperten, dass Angriffe relativ einfach zu entwickeln wären und den Diebstahl privater Informationen wie Passwörter, Kreditkartennummern, private Unternehmensdaten und andere auf Computern oder Smartphones gespeicherte Informationen ermöglichen könnten. Solche Angriffe, fügen die Experten hinzu, würden wahrscheinlich keine Spuren hinterlassen, die entdeckt werden könnten.

Die Werbegeschichte wird unter der Werbung fortgesetzt

'Dies sind die bedeutendsten Sicherheitsnachrichten, die wir in den letzten 10 Jahren erhalten haben', sagte Avi Rubin, ein Informatikprofessor an der Johns Hopkins University, der sich auf Sicherheit im Gesundheitswesen spezialisiert hat. „Einige der Abschwächungen werden extrem teuer sein. Ich denke, das ist das einzig Wahre.'

Obwohl die in den letzten Tagen und Wochen veröffentlichten Patches die Benutzer weitgehend vor Meltdown schützen sollten – das einen Fehler hauptsächlich in Intel-Mikrochips ausnutzt – haben Unternehmen lange Mühe gehabt, solche Fixes erfolgreich an alle ihre Benutzer zu verteilen. Die Patches dürften unterdessen dazu führen, dass Computer, Smartphones und andere Geräte von Apple, Dell und anderen PC-Herstellern langsamer arbeiten, obwohl nicht klar ist, ob der Unterschied für die Benutzer spürbar ist.



Experten halten Spectre – das AMD-, Arm- und Intel-Chips betrifft – für Hacker schwieriger auszunutzen, aber auch schwieriger durch Software-Patches zu beheben.

Die Werbegeschichte wird unter der Werbung fortgesetzt

Bei beiden Fehlern erfordert eine vollständige Behebung die Neugestaltung, Produktion und den Vertrieb neuer Computerchips – ein Prozess, von dem Experten sagen, dass er viele Jahre dauern wird.

Sicherheitsexperten sagten, es sei unmöglich festzustellen, ob Hacker die beiden Softwarefehler zum Diebstahl von Daten genutzt hätten, obwohl es möglich sei, da Gerüchte über die Fehler in der Sicherheitsgemeinschaft seit mehreren Monaten kursierten.

'Es gab vielen Leuten Zeit, Dinge damit zu tun', sagte Jake Williams, Präsident von Rendition InfoSec und ehemaliger Mitarbeiter der National Security Agency. »Ich mache mir keine Sorgen wegen der NSA. Ich mache mir Sorgen um alle anderen.'

Aktuelle und ehemalige US-Beamte sagten auch, dass die NSA nichts von Meltdown oder Spectre wusste oder sie nutzte, um eine elektronische Überwachung von Zielen im Ausland zu ermöglichen. Die Behörde nutzt häufig Computerfehler, um in gezielte Maschinen einzubrechen, hat aber auch den Auftrag, Unternehmen vor besonders gefährlichen oder weit verbreiteten Fehlern zu warnen, damit diese behoben werden können.

Die Werbegeschichte wird unter der Werbung fortgesetzt

Rob Joyce, Cybersicherheitskoordinator des Weißen Hauses, sagte: „Die NSA wusste nichts von dem Fehler, hat ihn nicht ausgenutzt und sicherlich würde die US-Regierung ein großes Unternehmen wie Intel niemals in eine solche Risikoposition bringen, um zu versuchen, eine Schwachstelle offen zu halten.“ .'

Joyce, die früher die Elite-Hacking-Abteilung der NSA leitete, hat kürzlich die Regeln veröffentlicht, nach denen die Regierung beschließt, Software- und Hardwarefehler offenzulegen oder geheim zu halten, die von Hackern, einschließlich NSA-Mitarbeitern, ausgenutzt werden können. Er sagte, der Prozess für Sicherheitslücken, bekannt als VEP, sei 'sehr verantwortungsbewusst'.

Das größere Risiko können kriminelle Hacker sein. Der Cybersicherheitsforscher Matt Tait sagte, er habe letzte Woche zum ersten Mal von Meltdown erfahren. Mit etwa einem Arbeitstag konnte er ein funktionierendes Beispiel entwickeln, wie die Schwachstelle funktionieren könnte. Er sagte, es sei unmöglich zu wissen, ob böswillige Hacker Meltdown eingesetzt haben, da der Fehler keine Aufzeichnung des Eindringens erstelle.

Die Werbegeschichte wird unter der Werbung fortgesetzt

'Die Realität ist, dass wir es nicht wissen', sagte Tait, Senior Cybersecurity Fellow am Robert S. Strauss Center der University of Texas in Austin. 'Nachdem die Sicherheitsanfälligkeit bekannt wurde, sollten wir in den nächsten Tagen damit rechnen, dass sie in freier Wildbahn ausgenutzt wird.'

Es ist üblich, dass Forscher die öffentliche Offenlegung einer Sicherheitslücke zurückhalten, bis Unternehmen Patches zum Schutz der Benutzer erstellen können. Die Verzögerung für Meltdown und Spectre war jedoch ungewöhnlich lang, da es schwierig war, Hardwareprobleme zu beheben, und die Arbeit in den betroffenen Unternehmen komplex war.

„Es war ärgerlich, denn die Änderungen, die dies alles für die Systemsoftware verursacht, sind wirklich schlecht zu schreiben und zu testen. . . Es gibt also viele Gründe, warum es nicht die 'lustige' Herausforderung ist', sagte Linus Torvalds, der Schöpfer des Linux-Betriebssystems, in einer E-Mail-Antwort auf Fragen der Washington Post.

Die Werbegeschichte wird unter der Werbung fortgesetzt

Er fügte hinzu: 'Für die meisten Leute, holen Sie sich Ihre Systemaktualisierungen und machen Sie keine dummen Dinge ('führen Sie keine zufällige Software von Leuten aus, denen Sie nicht vertrauen') und es geht Ihnen gut.'

Besonders besorgniserregend sind jedoch die Risiken für Cloud-Server, die oft die Informationen mehrerer Kunden auf einem einzigen Computer übertragen und sie potenziell anfällig für Angriffe wie Meltdown machen.

Dutzende großer Unternehmen haben Datenmengen aus unternehmenseigenen Rechenzentren auf Remote-Computer übertragen, die Amazon.com, Microsoft, Google und anderen Technologieunternehmen gehören und von diesen verwaltet werden. Amazon ist der größte Player in der Cloud-Computing-Branche. (Der Besitzer von Amazon, Jeffrey P. Bezos, besitzt die Washington Post.)

Die Geschichte geht unter der Werbung weiter

Allein im letzten Jahr gehören Costco, Hulu, General Electric, Kohl's und PayPal zu den Unternehmen, die sich bei großen Cloud-Anbietern angemeldet haben. Google-Chef Sundar Pichai sagte, der Ausbau des Cloud-Computing-Dienstes seines Unternehmens sei eine seiner obersten Prioritäten.

Werbung

Während Unternehmen, insbesondere Banken und Gesundheitseinrichtungen, seit langem Bedenken geäußert haben, ihre sensibelsten Daten anderen Unternehmen zu überlassen, haben sich viele für die Idee erwärmt. Einige haben gesagt, dass Technologieunternehmen tatsächlich besser gerüstet sind, um größere Investitionen in Sicherheit und in die Verbesserung der Leistung von Datenverarbeitungssoftware zu tätigen, aber Nachrichten über größere Sicherheitslücken drohen Unternehmen zum Umdenken zu bewegen.

Experten sagen, dass es für normale Computer- und Smartphone-Benutzer die Hauptpriorität sein sollte, ihre Software auf dem neuesten Stand zu halten.

Die Geschichte geht unter der Werbung weiter

Der Kauf neuer Computer ohne Hardwarefehler ist unpraktisch und teuer, selbst für Unternehmen und Regierungsbehörden mit großen Taschen.

'Allein die Kosten sind der Wahnsinn', sagte Tony Cole, Vice President und Global Government Chief Technology Officer bei FireEye. Er schätzte, dass eine globale Überholung neue Ausgaben in Höhe von Billionen Dollar verursachen würde. 'Es wäre überwältigend, wenn jeder es versuchen würde.'

Folgen Sie dem Tech-Blog von The Post, The Switch, wo Technologie und Richtlinien miteinander verbunden sind.

Kommentar Kommentare GiftOutline Geschenkartikel Loading...