
Im Januar 2018 wurden unter den Bezeichnungen „Spectre“ und „Meltdown“ schwer zu behebende Sicherheitslücken in marktüblichen Prozessoren bekannt. IT-Sicherheitsforscher haben weitere Schwachstellen in diesen Prozessoren entdeckt, die auf vergleichbaren Mechanismen beruhen und ähnliche Auswirkungen haben können wie „Meltdown“ und „Spectre“. Diese neuen, mit „Spectre-Next-Generation (NG)“ bezeichneten Schwachstellen führen nach Analysen des BSI dazu, dass Angreifer Speicherbereiche auslesen und dadurch Zugriff auf vertrauliche Informationen wie Passwörter, kryptografische Schlüssel oder andere kritische Daten erlangen können, die normalerweise vor solchen Zugriffen geschützt sein sollten. Derzeit sind außerhalb von Laborbedingungen keine Angriffe bekannt, die diese neu gefundenen Schwachstellen ausnutzen. Durch das Bekanntwerden von Detailinformationen besteht jedoch das Risiko, dass Täter entsprechende Angriffsmethoden entwickeln.
Hierzu erklärt BSI-Präsident Arne Schönbohm:„Vor dem Hintergrund der täglich fortschreitenden Digitalisierung erschüttern Vorfälle und Schwachstellen wie WannaCry, NotPetya, Efail und nun Spectre-NG die Grundfesten der weltweiten IT-Sicherheitsarchitekturen und heben die Gefährdungslage im Cyber-Raum auf eine neue Ebene. Spectre-NG macht erneut deutlich, dass wir die Cyber-Sicherheit in der Digitalisierung noch stärker betrachten müssen. Deutschland muss in dieser Frage eine Vorreiterrolle einnehmen. Dazu ist es erforderlich, dass die notwendigen Sicherheitsmaßnahmen durch unabhängige Stellen überprüft werden und dass Hersteller und Anbieter Melde- und Transparenzpflichten gegenüber der nationalen Cyber-Sicherheitsbehörde BSI erfüllen. Die Bundesregierung hat sich mit den Festlegungen des Koalitionsvertrages bereits geeignet positioniert, um den künftigen Herausforderungen gerecht zu werden. Diese Maßgaben müssen jetzt konsequent umgesetzt werden.“
Grundlage möglicher Angriffe unter Ausnutzung der Spectre-, Meltdown- und Spectre-NG-Lücken ist die komplexe, leistungsoptimierende Architektur moderner Prozessoren. Bei dieser Art der Verarbeitung werden Befehle nicht linear ausgeführt, sondern vorhandene Kapazitäten möglichst vollständig ausgenutzt, um den Durchsatz an abgearbeiteten Befehlen zu erhöhen. Angreifer können sich diesen Umstand über eine Vielzahl von Angriffsvektoren zu Nutze machen, um auf eigentlich vor ihrem Zugriff geschützte Daten zuzugreifen.
Da eine kurzfristige sicherheitstechnische Überarbeitung der verwundbaren Prozessoren in der Praxis nicht realistisch ist, muss mit diesen und ähnlichen künftigen Schwachstellen geeignet umgegangen
werden: Nur mit Hilfe herstellerübergreifend abgestimmter Patches in Hardware und Software kann das mögliche Schadpotential so weit wie möglich minimiert werden. Ein Austausch von verwundbaren Prozessoren und betroffenen IT-Systemen ist erst langfristig durchführbar.
Handlungsempfehlungen des BSI
Als nationale Cyber-Sicherheitsbehörde hat das BSI Bundesverwaltung, Landesverwaltung, KRITIS-Betreiber und weitere nationale und internationale Partner über die eigenen Erkenntnisse informiert und erste Maßnahmen empfohlen. Aktuell ist keine vollständige Beseitigung der Schwachstellen möglich, das Risiko kann lediglich gemindert werden.
Das BSI fordert die Chip- und Hardwarehersteller auf, dafür zu sorgen, diese Schwachstellen im Zuge der Produktpflege zu beheben. Cloud- und Virtualisierungslösungsanbieter sind in der Verantwortung, unverzüglich zu prüfen, welche Auswirkungen die aufgedeckten Schwachstellen auf die IT-Sicherheitseigenschaften der bereitgestellten Produkte und Dienstleistungen haben. Gemeinsam mit den Herstellern der Systemkomponenten sollten festgestellte Schwachstellen schnellstmöglich minimiert werden. Die Kunden sollten über die getroffenen Maßnahmen und die verbleibenden Risiken informiert werden.
Für Endanwender besteht jenseits der raschen Installation der von den Herstellern bereitgestellten Software-Updates kein Handlungsbedarf.
Fachartikel

Kubernetes und Container im Visier: Die aktuelle Bedrohungslage im Überblick

Forscher entdecken universellen Trick zur Umgehung von Sicherheitsvorgaben bei KI-Chatbots

Phishing-Angriffe über OAuth: Russische Hacker zielen auf Microsoft 365 ab

Ransomware-Banden setzen auf professionelle Geschäftsmodelle

Zehn Dinge, die Sie gestern hätten tun müssen, um die NIS2-Vorschriften einzuhalten
Studien

DefTech-Startups: Deutschland kann sich derzeit kaum verteidigen

Gartner-Umfrage: 85 % der CEOs geben an, dass Cybersicherheit für das Unternehmenswachstum entscheidend ist

Studie: Mehrheit der beliebten Chrome-Erweiterungen mit riskanten Berechtigungen

Kubernetes etabliert sich in der Wirtschaft – Neue Studie liefert überraschende Details

Studie zu Cyberangriffen auf Versorgungsunternehmen
Whitepaper

Internet unter Beschuss: Über 1.000 bösartige Domains pro Tag

Google warnt vor zunehmender Raffinesse bei Cyberangriffen: Angreifer nutzen verstärkt Zero-Day-Exploits zur Kompromittierung von Systemen

FBI: USA verlieren 2024 Rekordbetrag von 16,6 Milliarden US-Dollar durch Cyberkriminalität

EMEA-Region im Fokus: Systemangriffe laut Verizon-Report 2025 verdoppelt

IBM X-Force Threat Index 2025: Groß angelegter Diebstahl von Zugangsdaten eskaliert, Angreifer wenden sich heimtückischeren Taktiken zu
Hamsterrad-Rebell

Cybersicherheit im Mittelstand: Kostenfreie Hilfe für Unternehmen

Anmeldeinformationen und credential-basierte Angriffe

Vermeiden Sie, dass unbekannte Apps unnötige Gefahren für Ihre Organisation verursachen

Data Security Posture Management – Warum ist DSPM wichtig?
