Meltdown und Spectre: Schutz auf allen Ebenen

Die IT-Branche arbeitet auf breiter Front daran, ihre Kunden gegen die Sicherheitslücken Spectre und Meltdown zu schützen. Die Schutzmaßnahmen setzen dabei auf mehreren Ebenen an. Es ist aus unserer Sicht so gut wie unmöglich, sich im Alleingang gegen diese Lücken zu schützen – Kooperation ist das Gebot der Stunde. Im Einzelnen setzen die Schutzmaßnahmen vor allem auf folgenden Ebenen an: Microcode, BIOS, Kernel und Compiler. Wir erklären, was es damit auf sich hat.

Der so genannte Microcode wird vom Hersteller des Prozessors selbst entwickelt und steuert direkt dessen Hardware. Diese erste Ebene setzt ganz nah am eigentlichen Problem an. Der Microcode kann teilweise vom Betriebssystem als spezieller Treiber eingebunden werden, meist muss jedoch auch das BIOS aktualisiert werden, um ein Sicherheits-Update in den Microcode einzubringen. Das ist aus mehreren Gründen problematisch:

1. Ist das BIOS genau auf ein bestimmtes Motherboard, also die Hauptplatine eines Rechners, abgestimmt. Es müssen also sehr viele verschiedene Versionen dieses Patches entwickelt werden.
2. Gibt es beim BIOS keine automatischen Update-Funktionen. Während Windows, Linux und Anwendungsprogramme den Benutzer auf Updates hinweisen, ist das beim BIOS nicht der Fall.
3. Sind Motherboard und BIOS Komponenten, um die sich die wenigsten Benutzer überhaupt kümmern. Ganz ehrlich: Wissen Sie, welches Motherboard in Ihrem Rechner sitzt? Haben Sie jemals ein BIOS-Update durchgeführt?
4. Sind BIOS-Updates nicht ganz ungefährlich. Geht dabei etwas schief, wird der Rechner unbrauchbar und kann nur mit Eingriffen in die Hardware repariert werden. Dennoch sind in der aktuellen Situation BIOS-Updates erforderlich.

Die ersten Hersteller von Motherboards haben schon mit deren Auslieferung begonnen. Weitere Schutzmechanismen setzen im Kernel an. Der Kernel ist das zentrale Software-Modul des Betriebssystems. Jede andere Software greift auf den Kernel zurück. Der Kernel greift über BIOS und Microcode auf den Prozessor zu. Daher muss hier die nächste Schutz-Ebene greifen. Sicherheits-Updates für Windows und Linux, die aktuell ausgeliefert werden, setzen auf dieser Ebene an. Einige Software-Hersteller haben ebenfalls schon Patches für ihre Produkte herausgebracht, darunter Mozilla.

Um Software grundsätzlich besser gegen Meltdown und Spectre zu schützen, setzt eine weitere Sicherheitsebene im Compiler an. Diesen zentralen Entwicklungswerkzeuge spielen eine Schlüsselrolle: Mit ihnen übersetzen Programmierer ihren Code von einer lesbaren Programmiersprache in einen nur für den Computer verständlichen Binärcode. Wenn der Compiler dabei automatisch Schutzmechanismen einbaut, brauchen sich die Entwickler der einzelnen Anwendungsprogramme weniger darum zu kümmern.

Insgesamt bleibt es bei der Empfehlung: Sicherheits-Updates einspielen, sobald sie verfügbar werden – und dabei auch das BIOS nicht vergessen.