Das sind die Folgen von Meltdown und Spectre

Die Rolle des Kunden

Cloud- und Rechenzentrumsbetreiber stehen in der Pflicht, ihre Infrastruktur so weit wie möglich zu schützen. «Die grossen Cloud-Provider Amazon, Google und Microsoft haben be­reits bekannt gegeben, dass ihre Umgebungen vor Spectre und Meltdown sicher sind», erklärt Bechtle-Consultant Kionga. «Bei anderen Cloud- und RZ-Betreibern sollten sich die Kunden aktiv über den Stand der Sicherheitsmassnahmen in­formieren.»
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit dem Standard C5 einen Anforderungskatalog entwickelt, der ganz grundsätzlich aufzeigt, über welche Sicherheitseigenschaften ein Cloud-Dienst verfügen sollte. «Die Nutzung von Cloud-Diensten ist mit Risiken und Vorteilen verbunden, die vom jeweiligen Kunden geeignet gewichtet werden müssen», erklärt ein Sprecher des BSI gegenüber Computerworld, «er muss dazu eine entsprechende Risikoanalyse durchführen.»
Manfred Kessler
“„Die eingespielten Fixes der Hersteller führten … zu einem erhöhten personellen Aufwand unserer IT-Abteilung und zu einer Zunahme der Prozessorbelastung um zirka sieben Prozent.“ „
Manfred Kessler
CEO der Global Access Internet Services GmbH
Da die Infrastrukturanbieter jedoch nur Angriffe zwischen virtuellen Maschinen absichern können, sind laut Kionga weitere Massnahmen nötig: «Kunden müssen nach wie vor Hersteller-Patches bei ihren virtuellen Maschinen aufspielen, um Angriffe innerhalb der VM wirksam zu unterbinden.» AWS empfiehlt Nutzern ausserdem, von paravirtualisierten Instanzen (PV) auf HVMs (Hardware Virtual Machine) umzusteigen, um auch Prozesse, die innerhalb derselben Instanz laufen, wirkungsvoll gegeneinander absichern zu können. «Auch wenn unsere Hypervisor-Patches dafür sorgen, dass kein Speicher zwischen virtuellen Maschinen ausgelesen werden kann, sollten Kunden ihre Betriebssysteme patchen, um Angriffsszenarien abzudecken, bei denen Speicher zwischen Prozessen oder dem Kernel innerhalb ihrer Instanzen betroffen sein könnte», rät der Cloud-Anbieter weiter.

Fazit

Die eigentlich bewährte Sicherheitsstrategie, Patches möglichst zeitnah einzuspielen, hat bei den Updates gegen Meltdown- und Spectre-Angriffe zum Teil zu erheblichen Problemen geführt. Dennoch bleibt Administratoren und IT-Verantwortlichen in Rechenzentren wohl gar nichts anderes übrig, als ihre Systeme immer auf dem neuesten Stand zu halten. Eine zweigleisige Strategie mit einem Failover-Konzept, bei dem zunächst nur ein Teil der Server gepatcht wird, kann die Folgen fehlerhafter Patches begrenzen.
Rechenzentrumsbetreiber sollten ihre Systeme ausserdem lückenlos und in Echtzeit überwachen, um auf Probleme so schnell wie möglich reagieren zu können. Abwarten ist dagegen keine wirkliche Alternative. «Ein Ausfall von ein paar Systemen wiegt nicht so schwer, wie die Übernahme der gesamten IT Infrastruktur durch dritte unbefugte Personen», so die Einschätzung von Thilo Langenhorst von Axians IT Solutions.



Das könnte Sie auch interessieren