Spectre und Meltdown: Heikles Thema für Banken & Versicherer; wie die Finanz-IT schützen kann

Die neuen Schreckgespenster in der IT-Fachwelt heißen „Spectre“ und „Meltdown“. Die beiden Angriffsszenarien – zu Deutsch Gespenst und Kernschmelze – zielen auf die Prozessoren von Desktop-PCs und mobilen Endgeräten ab. Dabei nutzen Cyber-Kriminelle Schadsoftware, um über die Hardware-Schwachstellen vertrauliche Daten wie Passwörter und PINs auszulesen. Der potenzielle Schaden ist besonders für Banken und Versicherer immens, immerhin könnten die Angreifer Transaktionen über erhebliche Summen zu ihren Gunsten manipulieren. Mit der richtigen Strategie und einem geeigneten Maßnahmenplan lässt sich das Risiko für die Finanzbranche aber immerhin auf ein Minimum reduzieren.

Die schlechte Nachricht gleich zu Beginn: Spectre und Meltdown heben sich von frü­he­ren Be­dro­hun­gen wie Wan­na­Cry und Co. ab. Im Un­ter­schied zu sol­chen klas­si­schen Si­cher­heits­lü­cken auf Soft­ware-Ebe­ne schlum­mert die Ge­fahr die­ses Mal in den ver­bau­ten Pro­zes­so­ren und da­mit auf der Hard­ware-Sei­te.

Ein Software-Update bietet betroffenen Unternehmen keinen hundertprozentigen Schutz, da das Sicherheitsrisiko in Form der verwendeten Chips weiterhin bestehen bleibt.”

Doch es gibt auch ei­ne gu­te Nach­richt. Oh­ne ein­ge­schleus­te Schad­soft­ware kön­nen Kri­mi­nel­le aus Spect­re und Mel­tdown kein Ka­pi­tal schla­gen. Für Ver­si­che­rer und Ban­ken gilt es nun, ih­re IT-Land­schaft mit ent­spre­chen­den Si­cher­heits­maß­nah­men fit ge­gen die An­grei­fer zu ma­chen.

Dazu muss man zunächst verstehen, was Hacker bei Spectre und Meltdown auf technischer Ebene ausnutzen. Bisher lag der Fokus der Prozessor-Hersteller darauf, die Leistung zu optimieren. Sicherheitsaspekte traten dabei oft in den Hintergrund – mit weitreichenden Folgen, wie sich heute zeigt. Moderne Chips optimieren ihre Rechenleistung mittels der sogenannten „speculative execution“. Dabei bearbeitet der Prozessor Befehle nicht in der Reihenfolge ihres Eingangs, sondern hält zur schnelleren Bearbeitung auch Daten für Programmzweige vor, die womöglich gar nicht ausgeführt werden. Zu diesen Daten gehören unter anderem auch Passwörter. Spectre und Meltdown bezeichnen in diesem Kontext zwei Angriffsmethoden, mit denen Kriminelle sich dieses Verarbeitungsprinzip zu Nutze machen, um die sensiblen Daten direkt aus dem vermeintlich geschützten Bereich des Prozessors auszulesen …

… sofern es ihnen denn gelingt, entsprechende Schadsoftware einzuschleusen.”

Beinahe alle seit 1995 produzierten CPUs betroffen

Im Prinzip sind fast alle User von Desktop-PCs sowie mobilen Endgeräten wie Tablets und Smartphones von den Sicherheitslücken in den Prozessoren betroffen, denn: Beinahe alle seit 1995 produzierten Intel-CPUs sind sowohl für Meltdown als auch für Spectre anfällig. Prozessoren von ARM, die hauptsächlich in Smartphones verbaut werden, sind von beiden bekannten Spectre-Varianten und vereinzelt auch von Meltdown betroffen. Zudem besteht die Gefahr auch für viele AMD-Varianten. Dadurch bietet sich für Versicherer und Banken ein Gefahrenpotenzial von bisher unbekanntem Ausmaß.

Neben der Hardware, die in Unternehmenszentralen und Filialen genutzt wird, bieten natürlich auch die Geräte von Außendienstmitarbeitern und Kunden potenzielle Angriffsflächen. Hinzu kommt, dass selbst für Router, Switches, Hardware-Firewalls, NAS/SAN-Systeme und Internet of Things-Geräte ein Risiko besteht. Unter dem Strich ergibt sich für Banken und Versicherer also ein enormes Gefahrenpotenzial, das zudem durch eine große Heterogenität gekennzeichnet ist, so dass sich die tatsächliche Bedrohungslage nur schwer und mit einigem Aufwand einschätzen lässt.

Banken und Versicherer sind – wie immer – lukrative Ziele

Zudem bedroht Spectre Cloud-Dienstleister und deren User. Das stellt gerade große Banken und Versicherer vor eine enorme Herausforderung, die dezentral organisiert sind oder auf externe (Vertriebs-)Partner setzen: Auf die Plattformen solcher Unternehmen greifen potenziell hunderte Mitarbeiter sowie noch erheblich mehr Kunden zu. Dadurch können im Prinzip auf derselben Hardware auch befallene oder gar bewusst schädigende Prozesse direkt neben den eigenen laufen, so dass sensible Daten gefährdet sind.

Die Sensibilisierung für die Gefahrenlage ist dabei keinesfalls übertrieben. Gerade Banken und Versicherer bieten nicht nur aufgrund ihrer feinverästelten IT-Systemlandschaften gute Ziele, sondern sind aus Sicht der Kriminellen auch lohnenswerte Opfer.”

Denn: Sollte es Cyber-Kriminellen gelingen, Schadsoftware für Spectre und Meltdown in die Systeme einzuschleusen, wären sensible Kundendaten wie Passwörter oder auch PINs leichte Beute. Mit ihnen lassen sich Transaktionen manipulieren oder gleich ganze Konten kapern. Der Schaden kann dabei entsprechend groß ausfallen.

Hinsichtlich Meltdown besteht für Cloud-Systeme zumindest bei vollständiger Virtualisierung keine Gefahr. Aufpassen müssen User hingegen z.B. bei Containern, Sandboxes und paravirtualisierten Systemen. Dennoch sollten sie insbesondere bei kritischen Daten auch hier auf regelmäßige Updates achten. Bei Spectre kann allerdings keine Entwarnung gegeben werden: Die beiden bis heute bekannten Varianten können im schlimmsten Fall auch die Barriere zwischen verschiedenen Anwendungen unterschiedlicher User einer Cloud-Plattform überwinden. Inzwischen haben die großen Cloud-Dienstleister jedoch präventive Maßnahmen ergriffen und das Risiko somit minimiert.

So schützen sich Banken und Versicherer nachhaltig

Trotz des hohen Gefahrenpotenzials gibt es keinen Grund, in Panik zu verfallen. Da die Lücke schon Mitte des vergangenen Jahres erkannt und den wichtigsten Herstellern mitgeteilt wurde, sind vielfach bereits Updates vorhanden. Diese sollen Schadsoftware daran hindern, die vorhandene Prozessorlücke zu nutzen. Unternehmen müssen dabei aber auf die Aktualität der Updates achten: Einige Hersteller haben ihre Patches inzwischen zurückgerufen.

Da die Lage derzeit unsicher ist, empfiehlt sich ein systematisches Vorgehen. Wir empfehlen unseren Kunden beispielweise einen Maßnahmenplan aufzustellen und beraten sie zu dessen individueller Ausgestaltung sowie Umsetzung.

So ist es zum Beispiel dringend notwendig, zunächst alle betroffenen Systeme wie etwa Server, Clients, mobile Geräte, aktive Netzwerk-Komponenten und weiteres Equipment zu identifizieren.”

Wie bereits geschildert, stellt dies insbesondere Versicherer und Banken aufgrund der komplexen IT-Strukturen vor eine große Herausforderung. Doch dieser Schritt ist unumgänglich. Daran schließen sich weitere Schritte wie etwa die Kategorisierung der Systeme nach Kritikalitätsstufen an. Ebenso werden die zu erwartenden Kosten und die Dauer der Maßnahmen kalkuliert. Erst dann kann über eine sogenannte Business-Impact-Analyse das Verhältnis von Risiko und Schadenspotenzial sowie der Aufwand der Risikominderung ausgelotet werden. Dies sind in Kürze die wichtigsten Punkte, damit betroffene Unternehmen effektive Maßnahmen erarbeiten und diese umsetzen können.aj