idgard® von Prozessor-Sicherheitslücke nicht betroffen
Nach den Medienberichten über Sicherheitslücken in einer Vielzahl von Prozessoren sind viele Nutzer von Cloud-Diensten verständlicherweise verunsichert, ob ihre Daten dort wirklich sicher sind. Wir wollen Sie im Folgenden kurz über die technischen Zusammenhänge informieren. Außerdem erläutern wir, warum Sie als idgard®-Nutzer von dieser Prozessor-Sicherheitslücke nicht betroffen sind.
Prozessor-Sicherheitslücke ist eine Frage der Architektur
Die diskutierte Sicherheitslücke liegt in der Architektur der meisten modernen Mikroprozessoren begründet. Dabei handelt es sich um eine Schwachstelle, die auf eine möglichst effiziente Nutzung von Prozessor-Ressourcen zurückzuführen ist. Diese Schwachstelle ist weder neu, noch wurde sie gerade erst entdeckt; vielmehr sind im Prinzip alle Hochleistungs-Mikroprozessoren betroffen, die bestimmte Funktionseinheiten zur Optimierung der Leistungsfähigkeit enthalten, und das bereits seit vielen Jahren.
Vereinfacht ausgedrückt rührt die Schwachstelle daher, dass vorgezogene Operationen im Progamm-Ablauf eines Prozessors vorgenommen werden. Das heißt, dass beispielsweise Codebereiche „im Voraus“ bearbeitet werden, die sich hinter Programm-Verzweigungsstellen befinden. Dies geschieht in der Annahme, dass der Code nach der Verzweigung in der einen oder anderen Richtung zu bearbeiten sein wird (Branch Prediction, Speculative Execution). Dies ist beispielsweise sinnvoll, um die Speicher- und Verarbeitungseinheiten des Prozessors möglichst gut zu synchronisieren und Leerlaufzeiten zu vermeiden.
Da sichergestellt ist, dass die vorab generierten Daten entweder verwendet (Verzweigung richtig vorhergesagt) oder bei falscher Voraussage verworfen werden, ist diese Vorgehensweise sicherheitstechnisch an sich eigentlich unbedenklich.
Wo liegt das Problem?
Zu einem Datenschutz-Risiko wird dieses Verfahren erst in Szenarien, in denen sich mehrere Nutzer die gleiche Prozessorhardware teilen. Dies ist etwa bei „Virtual Server“-Diensten der Fall ist, zu denen auch viele Cloud-Anwendungen gehören. Normalerweise werden den Nutzern exklusive Speicherbereiche für Code und Daten zugewiesen und diese überwacht. So ist ausgeschlossen, dass ein Nutzer auf Daten eines anderen Nutzers zugreifen kann. Dieser Mechanismus lässt sich jedoch überlisten, indem man bewusst spekulative Operationen provoziert, die in Programmbereichen eines anderen Nutzers liegen (beispielsweise durch falsche Voraussage der Branch-Prediction-Einheit). So lassen sich durch die Auswertung der Art der Nutzung des Zwischenspeichers indirekt Rückschlüsse auf die spekulativ durchgeführten Operationen ableiten.
Diese Informationen sind zwar zunächst nicht sehr aussagekräftig. Allerdings lassen sich durch millionenfaches Wiederholen mit jeweils leicht veränderten Parametern unter bestimmten Voraussetzungen relevante Informationen über Code und/oder Daten außerhalb des eigenen Speicherbereiches erlangen. Detaillierte Informationen zu derartigen Angriffen finden Sie in diesem Paper.
Diese altbekannte Schwachstelle haben die Hersteller bisher bewusst in Kauf genommen. So lässt sich die Lücke durch geeignete Maßnahmen im Betriebssystem weitgehend „zudecken“. Darüber hinaus ist es nicht sehr wahrscheinlich, dass sich durch „planloses“ Angreifen auf fremde Bereiche kritische Daten gewinnen lassen. Vor allem, weil die angreifbaren Bereiche relativ klein sind und ohne zusätzliche Kenntnisse über Struktur und Verwendung des angegriffenen Bereiches nur schwer sinnvolle Aussagen möglich sind.
Allerdings haben die in den letzten Monaten bekannt gewordenen, immer ausgefeilteren Angriffsszenarien (z.B. Meltdown-Attacken) dazu geführt, dass das Risiko inzwischen deutlich höher bewertet wird. So fordert auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) Dienstanbieter dazu auf, ihre Anwendungen schnellstmöglich abzusichern und Sicherheitspatches für Betriebssysteme und Browser unmittelbar einzuspielen, sobald sie erhältlich sind.
idgard®: Sicher dank Privacy by Design
idgard®-Nutzer hingegen können aufatmen: Die Vertraulichkeit ihrer Daten ist auch im Hinblick auf die beschriebene Prozessor-Sicherheitslücke nicht gefährdet. Denn die Sicherheitslücke kann immer nur dann kritisch werden, wenn sich Programme verschiedener Nutzer eine gemeinsame Prozessor-Ressource teilen.
Dies ist bei idgard® nicht der Fall, da im System ausschließlich Software ausgeführt wird, die von Uniscon selbst erstellt bzw. verifiziert und freigegeben wurde. Das Einbringen von im System ablauffähigem Code durch Nutzer ist nicht vorgesehen und daher technisch ausgeschlossen. Aus diesem Grund ist es nicht möglich, „bösartige“ Software in das System einzuschleusen, die Nutzerdaten ausspähen könnte.
Möchten Sie idgard® und die Sealed Cloud selbst ausprobieren?
Eine automatische Verlängerung findet nicht statt.
Wir freuen uns auf Ihr Feedback zu idgard®. Teilen Sie uns Ihre Meinung mit uns schreiben Sie uns an: support@idgard.de.
Sie fanden diesen Beitrag hilfreich und wollen auf dem Laufenden bleiben? Dann melden Sie sich jetzt kostenlos zu unserem Newsletter an und erhalten Sie jeden Monat die neuesten Artikel, Blogbeiträge und Tutorials per Mail.