Seit Wochen überschlagen sich die Ereignisse in der Welt der IT. Gravierende Sicherheitslücken in nahezu allen CPUs, Meltdown, Spectre, Skyfall, Solace bedrohen die Welt! Sicherheitsupdates kommen spät bis gar nicht, haben massive Performanceeinbußen zur Folge oder lassen Rechner gleich ganz abstürzen und sichern die Lücken nicht mal vollständig ab we are doomed. So zumindest könnte man den aktuellen Hype um die Thematik verstehen.
Um hier mal ein bisschen den Puls wieder runterzunehmen möchte ich die ganze Thematik aus Sicht des Normalnutzers etwas näher betrachten und mit ein paar Hintergrundgedanken (und ein bisschen Hintergrundwissen) beleuchten wie schlimm es für uns nun wirklich ist denn um das vorwegzunehmen dass beruhigt weitergelesen werden kann: Es ist NICHT schlimm für den Otto vor dem PC. Ehrlich.
So lange man keine Serverfarm betreibt oder kritische Anwendungen hat wo diese Lücken natürlich massiv gefährlich sind und man zwingend alles tun muss um diese zu stopfen ist die Bedrohung absolut vernachlässigbar.
Zunächst muss mal grundsätzlich verstanden werden:
Kein System der Welt ist 100% sicher.
Das war es nie uns das wird es auch nie geben. Es gibt in jedem PC tausende von Sicherheitslücken die ausgenutzt werden könnten, egal ob der Öffentlichkeit bekannt oder noch unbekannt. Die jetzt aufgetauchten Lücken sind zwar von ihrer Größenordnung etwas ungewöhnlich einfach weil sie auf nahezu allen Systemen vorhanden sind und das Schadenspotential groß ist, aber das ist nichts Neues und auch kein Grund zur Panik.
Wer verstanden hat dass kein System sicher ist wird auch verstehen, dass er sich um seine Sicherheit in der Welt der Informatik ein paar Gedanken machen muss. Alleine die Tatsache, dass du, lieber Leser, gerade hier bist und diese Zeilen liest bedeutet schon, dass das Thema IT-Security nicht vollständig an dir vorbeigeht.
Glückwunsch! Damit bist du bereits viel, VIEL sicherer als der allergrößte Teil der Bevölkerung! Denn jetzt kommt der zweite Grundsatz des Themas: Ein Angreifer wird seine Erfolgschancen immer optimieren. Das funktioniert über zwei Prinzipien: Erstens möglichst viele Opfer möglichst effizient attackieren und zweitens möglichst (sicherheitstechnisch) dämliche Opfer attackieren.
Was sind also die erfolgversprechendsten Angriffe? Man verteilt über riesige e-Mailverteiler Anhänge mit Schadcode und Betreff Ihre Rechnung im Anhang. Man nutzt klaffende Sicherheitslücken aus die zwar seit Jahren gestopft sind aber kaum jemand sich wirklich darum kümmert, dass all seine Systeme zumindest Standardupdates bekommen (die alle wirklich großen Lücken ausreichend absichern). Man fragt einfach nach dem Passwort des Fremden (ja, das ist wirklich eine der erfolgreichsten Hackingattacken!). Das sind Methoden, die technisch einfach auf Millionen von Opfern automatisiert angewendet werden können und wenn nur jeder Tausendste darauf reinfällt was niedrig gegriffen ist sehr hohe Erfolgsquoten aufweisen.
Aber zurück zu den aktuellen bösen Lücken. Was müsste ein Angreifer nun tun, um beispielsweise Meltdown als größte und einfachste aktuelle Lücke auszunutzen? Er müsste erstens Schadcode auf dem Zielsystem ausführen. Das ist bereits nicht so einfach, aber schon möglich wenn das Opfer nicht vergleichsweise bewandert ist (näheres unten). Zweitens müsste er über Meltdown an Daten kommen die er haben möchte, beispielsweise ein Passwort. Dazu müsste er den RAM des Opfersystems auslesen, was bei schnellen CPUs über Meltdown mit Größenordnung 500 kb/s funktioniert bei einem System mit 8 GB RAM als Beispiel so um die 5 Stunden dauert. In dieser Zeit darf das System weder abgeschaltet noch das Passwort aus dem RAM gelöscht werden. Dann müsste er drittens die gewonnenen 8GB Daten auswerten und das Passwort das er sucht auch finden was wiederum nicht ganz so simpel ist und das Passwort müsste viertens zurück übertragen werden an den Angreifer und er müsste damit fünftens auch noch einen vergleichsweise hohen Schaden anrichten können damit es sich lohnt. Auch wenn die Punkte zwei und drei sicher noch stark optimiert werden so dass man nur gezielt Prozessdaten ausliest und damit wenige KB schnell auswerten und ein Passwort auffinden kann ist der gesamte Aufwand im Vergleich zu Standardangriffen wie oben beschrieben riesig.
Ums klar auszudrücken: Kein Hacker der noch alle Latten am Zaun hat würde eine solche Attacke auf einen Normalsterblichen durchführen wollen.
So lange man also keine sehr wertvollen Daten hat und/oder persönliche Feinde die einen gezielten Angriff ausführen wollen ist die Bedrohung durch Meltdown und Konsorten für grundsätzlich sicherheitstechnisch aufgeklärte Personen entsprechend ziemlich genau Null. Niemand von uns muss sich daher irgendwelche BIOS-Updates draufschieben die Leistung kosten und Systeme zum Absturz bringen um Angriffe abzuwehren, die mit an Sicherheit grenzender Wahrscheinlichkeit niemals auf das System angewendet werden. Wenn ein Angreifer aus anderer sehr hoher Motivation zwingend in ein System will dann schafft er das egal welche BIOS-Version, welches Update und welche sonstigen Vorkehrungen getroffen werden, notfalls über nicht öffentlich bekannte Sicherheitslücken. Und für Angreifer die sich in der großen Masse weiche Ziele suchen kann man sich sehr einfach und schnell uninteressant machen. Wie das geht folgt jetzt.
Um vergleichsweise sehr sicher unterwegs zu sein muss man kein IT-Genie sein und auch keine großen Kosten oder Zeit aufwenden. 99+% aller Angriffe werden schon ins Leere laufen wenn man denkt bevor man klickt aber der Reihe nach.
Ein schnelles und einfaches Sicherheitskonzept braucht zwei grundlegende Dinge:
1.) Ausführen von fremdem Code möglichst schwierig gestalten
2.) Backups für den Ernstfall bereithalten
Der erste Punkt ist schwer bis unmöglich umzusetzen wenn man sich gegen einen sehr gezielten und guten Angriff wehren will aber leicht umzusetzen um alle Standardangriffe schnell und sicher auszuschalten. So blöd es klingt, es sind die Standardfloskeln die einen uninteressant machen.
Öffne keine Mails /Anhänge von unbekannten Absendern.
Benutze Skriptblocker wenn du im Netz unterwegs bist (NoScript beispielsweise).
Installiere keine dubiosen Programme/Tools/Apps/Toolbars/Bloadware/
Stecke keine unbekannten USB-Sticks in deinen PC.
Verschlüssele dein WLAN falls vorhanden mit WPA2.
Benutze starke (=lange, nicht komplizierte ) Passwörter und verrate sie niemandem.
Speichere sie auch nicht digital auf dem PC ab.
Halte deine Programme und das Betriebssystem aktuell.
Nutze eine aktuelle Antivirensoftware.
Wer all diese Punkte befolgt und das ist wirklich kein Aufwand wird in aller Regel niemals ein Problem mit Schadcode haben. Und wenns doch mal passiert und man höchstwahrscheinlich wegen Missachtung eines oben genannten Punktes auf einmal vor einer verschlüsselten Festplatte und einer Bitcoinforderung steht, greift eben die Nummer zwei (der ist für Meltdown/Spectre usw. nicht mal relevant weil man mit diesen Lücken nur lesen aber nicht schreiben kann, dennoch der Vollständigkeit halber).
Zweiter Punkt ist das Backup. Sichere alle wichtigen Daten. Mache das regelmäßig, mache es auf dafür geeigneten Datenträgern (nein, keine CDs/DVDs!) und verstaue das Backup OFFLINE. Eine einfache USB-Festplatte oder ein Stick der alle 2 oder 4 Wochen (oder beliebigen andren passenden Zeiträumen) aktualisiert wird und in die Schublade wandert ist für einen Normalnutzer ausreichend (paranoidere Naturen speichern häufiger auf mehreren getrennten Datenträgern und lagern die auch örtlich verschieden um gegen Brand/Diebstahl usw. abgesichert zu sein und verschlüsseln natürlich die Backups).
Das reicht aus, um einer Bitcoinforderung müde entgegenzulächeln. Formatieren, OS neu aufspielen, Backup zurück, fertig. Es ist wirklich erschreckend, wie viele User noch immer ohne jegliche Backups unterwegs sind und nicht nur bei Angriffen sondern auch bei Hardwaredefekten der Familiensegen schief hängt wenn die Babyfotos von vor 7 Jahren unwiederbringlich weg sind weil man die 15 für nen Stick oder die 5 Minuten Arbeit pro Monat sparen wollte.
Was sagt einem das nun über die aktuellen Lücken und deren Relevanz aus?
Zunächst damit es nicht heruntergespielt wird: Die Lücken sind vergleichsweise scheunentorweit offen und leicht auszunutzen. Das ist ein Riesenproblem für Systemadministratoren, deren Systeme lohnende Ziele sind und die alles in Kauf nehmen müssen um ein größtmögliches Level an Sicherheit garantieren zu können.
Aber, und das ist der Punkt für uns, der normale Heimanwender ist nicht bedroht weil es weitaus einfachere Methoden gibt als Meltdown, um jemandem sein amazon-Passwort zu stehlen oder Lösegeld für verschlüsselte Daten zu erpressen. Entsprechend muss auch niemand, der keinen echten sicherheitsrelevanten Grund hat, sein System mit instabilen/langsamen Updates quälen, auch wenn die allgemeine Panikmache das suggeriert und man im Netz lieber darüber streitet ob ein Update jetzt 3 oder 5% Leistung kostet statt auch nur einen Gedanken daran zu verschwenden ob es überhaupt im persönlichen Fall sinnvoll ist das Update überhaupt durchzuführen denn für die allerallermeisten Nutzer da draußen ist es - man verzeihe mir die Platte Sprache - einfach wurscht.
Standardabschlusstext bla bla danke fürs lesen bla Kommentarfunktion unten yalla yalla ihr kennt das.
Um hier mal ein bisschen den Puls wieder runterzunehmen möchte ich die ganze Thematik aus Sicht des Normalnutzers etwas näher betrachten und mit ein paar Hintergrundgedanken (und ein bisschen Hintergrundwissen) beleuchten wie schlimm es für uns nun wirklich ist denn um das vorwegzunehmen dass beruhigt weitergelesen werden kann: Es ist NICHT schlimm für den Otto vor dem PC. Ehrlich.
So lange man keine Serverfarm betreibt oder kritische Anwendungen hat wo diese Lücken natürlich massiv gefährlich sind und man zwingend alles tun muss um diese zu stopfen ist die Bedrohung absolut vernachlässigbar.
Zunächst muss mal grundsätzlich verstanden werden:
Kein System der Welt ist 100% sicher.
Das war es nie uns das wird es auch nie geben. Es gibt in jedem PC tausende von Sicherheitslücken die ausgenutzt werden könnten, egal ob der Öffentlichkeit bekannt oder noch unbekannt. Die jetzt aufgetauchten Lücken sind zwar von ihrer Größenordnung etwas ungewöhnlich einfach weil sie auf nahezu allen Systemen vorhanden sind und das Schadenspotential groß ist, aber das ist nichts Neues und auch kein Grund zur Panik.
Wer verstanden hat dass kein System sicher ist wird auch verstehen, dass er sich um seine Sicherheit in der Welt der Informatik ein paar Gedanken machen muss. Alleine die Tatsache, dass du, lieber Leser, gerade hier bist und diese Zeilen liest bedeutet schon, dass das Thema IT-Security nicht vollständig an dir vorbeigeht.
Glückwunsch! Damit bist du bereits viel, VIEL sicherer als der allergrößte Teil der Bevölkerung! Denn jetzt kommt der zweite Grundsatz des Themas: Ein Angreifer wird seine Erfolgschancen immer optimieren. Das funktioniert über zwei Prinzipien: Erstens möglichst viele Opfer möglichst effizient attackieren und zweitens möglichst (sicherheitstechnisch) dämliche Opfer attackieren.
Was sind also die erfolgversprechendsten Angriffe? Man verteilt über riesige e-Mailverteiler Anhänge mit Schadcode und Betreff Ihre Rechnung im Anhang. Man nutzt klaffende Sicherheitslücken aus die zwar seit Jahren gestopft sind aber kaum jemand sich wirklich darum kümmert, dass all seine Systeme zumindest Standardupdates bekommen (die alle wirklich großen Lücken ausreichend absichern). Man fragt einfach nach dem Passwort des Fremden (ja, das ist wirklich eine der erfolgreichsten Hackingattacken!). Das sind Methoden, die technisch einfach auf Millionen von Opfern automatisiert angewendet werden können und wenn nur jeder Tausendste darauf reinfällt was niedrig gegriffen ist sehr hohe Erfolgsquoten aufweisen.
Aber zurück zu den aktuellen bösen Lücken. Was müsste ein Angreifer nun tun, um beispielsweise Meltdown als größte und einfachste aktuelle Lücke auszunutzen? Er müsste erstens Schadcode auf dem Zielsystem ausführen. Das ist bereits nicht so einfach, aber schon möglich wenn das Opfer nicht vergleichsweise bewandert ist (näheres unten). Zweitens müsste er über Meltdown an Daten kommen die er haben möchte, beispielsweise ein Passwort. Dazu müsste er den RAM des Opfersystems auslesen, was bei schnellen CPUs über Meltdown mit Größenordnung 500 kb/s funktioniert bei einem System mit 8 GB RAM als Beispiel so um die 5 Stunden dauert. In dieser Zeit darf das System weder abgeschaltet noch das Passwort aus dem RAM gelöscht werden. Dann müsste er drittens die gewonnenen 8GB Daten auswerten und das Passwort das er sucht auch finden was wiederum nicht ganz so simpel ist und das Passwort müsste viertens zurück übertragen werden an den Angreifer und er müsste damit fünftens auch noch einen vergleichsweise hohen Schaden anrichten können damit es sich lohnt. Auch wenn die Punkte zwei und drei sicher noch stark optimiert werden so dass man nur gezielt Prozessdaten ausliest und damit wenige KB schnell auswerten und ein Passwort auffinden kann ist der gesamte Aufwand im Vergleich zu Standardangriffen wie oben beschrieben riesig.
Ums klar auszudrücken: Kein Hacker der noch alle Latten am Zaun hat würde eine solche Attacke auf einen Normalsterblichen durchführen wollen.
So lange man also keine sehr wertvollen Daten hat und/oder persönliche Feinde die einen gezielten Angriff ausführen wollen ist die Bedrohung durch Meltdown und Konsorten für grundsätzlich sicherheitstechnisch aufgeklärte Personen entsprechend ziemlich genau Null. Niemand von uns muss sich daher irgendwelche BIOS-Updates draufschieben die Leistung kosten und Systeme zum Absturz bringen um Angriffe abzuwehren, die mit an Sicherheit grenzender Wahrscheinlichkeit niemals auf das System angewendet werden. Wenn ein Angreifer aus anderer sehr hoher Motivation zwingend in ein System will dann schafft er das egal welche BIOS-Version, welches Update und welche sonstigen Vorkehrungen getroffen werden, notfalls über nicht öffentlich bekannte Sicherheitslücken. Und für Angreifer die sich in der großen Masse weiche Ziele suchen kann man sich sehr einfach und schnell uninteressant machen. Wie das geht folgt jetzt.
Um vergleichsweise sehr sicher unterwegs zu sein muss man kein IT-Genie sein und auch keine großen Kosten oder Zeit aufwenden. 99+% aller Angriffe werden schon ins Leere laufen wenn man denkt bevor man klickt aber der Reihe nach.
Ein schnelles und einfaches Sicherheitskonzept braucht zwei grundlegende Dinge:
1.) Ausführen von fremdem Code möglichst schwierig gestalten
2.) Backups für den Ernstfall bereithalten
Der erste Punkt ist schwer bis unmöglich umzusetzen wenn man sich gegen einen sehr gezielten und guten Angriff wehren will aber leicht umzusetzen um alle Standardangriffe schnell und sicher auszuschalten. So blöd es klingt, es sind die Standardfloskeln die einen uninteressant machen.
Öffne keine Mails /Anhänge von unbekannten Absendern.
Benutze Skriptblocker wenn du im Netz unterwegs bist (NoScript beispielsweise).
Installiere keine dubiosen Programme/Tools/Apps/Toolbars/Bloadware/
Stecke keine unbekannten USB-Sticks in deinen PC.
Verschlüssele dein WLAN falls vorhanden mit WPA2.
Benutze starke (=lange, nicht komplizierte ) Passwörter und verrate sie niemandem.
Speichere sie auch nicht digital auf dem PC ab.
Halte deine Programme und das Betriebssystem aktuell.
Nutze eine aktuelle Antivirensoftware.
Wer all diese Punkte befolgt und das ist wirklich kein Aufwand wird in aller Regel niemals ein Problem mit Schadcode haben. Und wenns doch mal passiert und man höchstwahrscheinlich wegen Missachtung eines oben genannten Punktes auf einmal vor einer verschlüsselten Festplatte und einer Bitcoinforderung steht, greift eben die Nummer zwei (der ist für Meltdown/Spectre usw. nicht mal relevant weil man mit diesen Lücken nur lesen aber nicht schreiben kann, dennoch der Vollständigkeit halber).
Zweiter Punkt ist das Backup. Sichere alle wichtigen Daten. Mache das regelmäßig, mache es auf dafür geeigneten Datenträgern (nein, keine CDs/DVDs!) und verstaue das Backup OFFLINE. Eine einfache USB-Festplatte oder ein Stick der alle 2 oder 4 Wochen (oder beliebigen andren passenden Zeiträumen) aktualisiert wird und in die Schublade wandert ist für einen Normalnutzer ausreichend (paranoidere Naturen speichern häufiger auf mehreren getrennten Datenträgern und lagern die auch örtlich verschieden um gegen Brand/Diebstahl usw. abgesichert zu sein und verschlüsseln natürlich die Backups).
Das reicht aus, um einer Bitcoinforderung müde entgegenzulächeln. Formatieren, OS neu aufspielen, Backup zurück, fertig. Es ist wirklich erschreckend, wie viele User noch immer ohne jegliche Backups unterwegs sind und nicht nur bei Angriffen sondern auch bei Hardwaredefekten der Familiensegen schief hängt wenn die Babyfotos von vor 7 Jahren unwiederbringlich weg sind weil man die 15 für nen Stick oder die 5 Minuten Arbeit pro Monat sparen wollte.
Was sagt einem das nun über die aktuellen Lücken und deren Relevanz aus?
Zunächst damit es nicht heruntergespielt wird: Die Lücken sind vergleichsweise scheunentorweit offen und leicht auszunutzen. Das ist ein Riesenproblem für Systemadministratoren, deren Systeme lohnende Ziele sind und die alles in Kauf nehmen müssen um ein größtmögliches Level an Sicherheit garantieren zu können.
Aber, und das ist der Punkt für uns, der normale Heimanwender ist nicht bedroht weil es weitaus einfachere Methoden gibt als Meltdown, um jemandem sein amazon-Passwort zu stehlen oder Lösegeld für verschlüsselte Daten zu erpressen. Entsprechend muss auch niemand, der keinen echten sicherheitsrelevanten Grund hat, sein System mit instabilen/langsamen Updates quälen, auch wenn die allgemeine Panikmache das suggeriert und man im Netz lieber darüber streitet ob ein Update jetzt 3 oder 5% Leistung kostet statt auch nur einen Gedanken daran zu verschwenden ob es überhaupt im persönlichen Fall sinnvoll ist das Update überhaupt durchzuführen denn für die allerallermeisten Nutzer da draußen ist es - man verzeihe mir die Platte Sprache - einfach wurscht.
Standardabschlusstext bla bla danke fürs lesen bla Kommentarfunktion unten yalla yalla ihr kennt das.
