spectreattack.com 
Bei „Meltdown“ (Kernschmelze) wird der Prozessor eines Rechners direkt angegriffen, dafür sind nur wenige Zeilen Code nötig. Forscher der TU Graz haben dafür eine Lösung gefunden, die weltweit genutzt wird. Die Sicherheitslücke „Spectre“ (Gespenst) bricht die Grenze zwischen einzelnen Programmen auf und zwingt somit ursprünglich gutartige Software, Daten preiszugeben.
Zum Jahreswechsel wurden mit Meltdown und Spectre neue Sicherheitslücken bekannt. Auch Medien müssen reagieren, unter anderen müssen Verträge angesichts der DSGVO überprüft werden. Experten geben Auskunft.
Dieser Artikel ist zuerst in Ausgabe Nr. 1-2/2018 des HORIZONT erschienen. Noch kein Abo? Hier klicken!
Rund um den Jahreswechsel wurden schwere neue Sicherheitslücken bekannt, deren Ausmaß bisher dagewesene Schwachstellen in den Schatten stellen. Denn die als „Meltdown“ und „Spectre“ bekannten Probleme haben ihre Ursache nicht etwa in den gängigen Betriebssystemen oder einzelnen PC-Programmen, sondern im Herzstück eines jeden Computers, dem Prozessor. Betroffen sind daher alle Geräte, die mit den gängigen Prozessoren von Intel, AMD und ARM arbeiten: Windows- ebenso wie Mac-User, Einzelrechner und vor allem Big- Data-Serverfarmen – und somit auch die Systeme rund um Programmatic Advertising.
Das technische Problem hinter den Schwachstellen: Moderne Rechner arbeiten nicht nur mit einem Prozessor, sondern mit mehreren, die Rechenleistungen parallel durchführen. Dabei werden auch Rechenleistungen durchgeführt, die nicht jetzt, aber vermutlich später benötigt werden – ist dem nicht so, wird der Prozess wieder gelöscht. Genau bei den parallel laufenden Prozessen kann aber der Hacker eindringen; die Rechner werden also schneller, zugleich aber auch unsicherer. Bei Meltdown wird der Kern direkt angegriffen, dazu sind nur vier Zeilen Code nötig; bei Spectre hingegen wird ein angegriffenes Programm dazu gebracht, Geheimnisse preiszugeben – Spectre ist komplexer als Meltdown, somit auch schwerer abzuwehren.
Die gute Nachricht ist, dass es zumindest für Meltdown eine Lösung gibt: Ein Patch namens Kaiser, der im Rahmen eines EU-Projekts von Forschern der TU Graz entwickelt und weltweit kostenlos zur Verfügung gestellt wird. Dieser Patch wird von den Marktteilnehmern bereits umgesetzt: „Die großen Cloud-Provider haben sich in den vergangenen Wochen mit Kaiser gegen Meltdown abgesichert,“ sagt Daniel Gruss, Teil des Teams an der TU Graz: Für Spectre, das ebenfalls in der Cloud Schaden anrichten kann, gebe es noch keine Lösung – hier arbeiten Unternehmen wie Google und Microsoft jedoch an Lösungen, sagt der Experte. Google, das an der Entdeckung ebenfalls beteiligt war, bietet im eigenen Security Blog ebenfalls Anweisungen, wie Techniker die Probleme zu lösen haben.
Onlinemedien rüsten sich
Die Medienbranche reagiert ebenfalls auf die Herausforderungen: „Die potenziellen Gefahren sind so massiv und weitreichend, dass es im Moment wohl weltweit keinen einzigen IT-Verantwortlichen gibt, der das Thema nicht mit höchster Priorität verfolgt und entsprechende Patch-Maßnahmen veranlasst,“ sagt etwa Christoph Tagger, Projektleitung CRM/ERP B2B & Programmatic Advertising bei derstandard.at und iab-austria-Vorstandsmitglied: „Das gilt auch für alle Marktteilnehmer im Programmatic-Umfeld.“
Markus Lauscher, Head of Ad Technology bei styria digital one, sieht das Problem auch bei Rechnern innerhalb des Unternehmens: „Egal, ob Smartphone, Apple-TV, Cloud- Server oder PC – die unlängst bekannt gewordenen Sicherheitslücken betreffen jedes internetfähige Gerät und stellen somit ein Risiko für jede Person und jede Branche dar, die solche Devices verwendet,“ sagt er: „Wir raten Usern daher, umgehend die empfohlenen Sicherheitsupdates zu machen.“ Laut Tagger sollte als erste Maßnahme der IT-Verantwortliche die Belegschaft proaktiv über das weltweite Problem – und den individuellen Umgang mit diesem – informieren: „Wer als Mitarbeiter ein solches Mail noch nicht erhalten hat, sollte dies beim Verantwortlichen besser einmal zu oft anregen, als zu riskieren, dass diese gefährliche Flanke auf die Unternehmenssicherheit offen bleibt,“ sagt er.
Die Sicherheit des Kaiser-Patches kommt jedoch zu einem hohen Preis: Denn die besagten parallelen Rechenleistungen werden dadurch eingeschränkt – bis zu 50 Prozent, wie Gruss sagt: Dass es bald eine andere Lösung gibt, bei der die Rechenleistung gleich bleibt, glaubt er nicht. Ein Problem für Onlineechtzeitmarketing? Laut Tagger sind allein wegen organisch stark schwankender Traffic-Entwicklungen die meisten Onlinewerbesysteme ohnehin stark skalierend aufgebaut und entsprechend abgesichert. „Der hier jeweils abzufedernde Flaschenhals ist aber zumeist die bereitgestellte Internetbandbreite und weniger die CPU-Auslastung am Server,“ sagt er. Trotzdem sei anzunehmen, dass die nötigen Rechenkapazitäten für die Bewältigung einer anzunehmenden Maximalbelastung entsprechend erweitert werden müssen – laut Tagger ist daher für besonders rechenintensive Webdienste mit Mehrkosten zu rechnen.
Lauscher wiederum sieht das Problem durch den Patch ohnehin noch nicht komplett gelöst: „Mit dem Software-Patch kann das Problem zwar umgangen werden, bei einem Neuaufsetzen des Devices tritt es jedoch wieder auf,“ sagt er: „Vollständig gelöst werden können die Sicherheitslücken nur durch einen Hardwareaustausch – hier sind die Anbieter am Zug.“ Ein brisantes Thema, zumal Intel wegen des Sicherheitslecks bereits mit Klagsdrohungen konfrontiert ist und zuletzt bekannt wurde, dass Intel-CEO Brian Krzanich vor Bekanntwerden des Problems Ende November ein millionenschweres Aktienpaket verkauft hatte.
Verträge prüfen
Zugleich ist die aktuelle Situation ein Weckruf an die Branche, mit Partnern Verantwortlichkeiten zu klären und Verträge darauf zu überprüfen: „Wir können zum Beispiel nur auf das Frontend zugreifen, die Wartung der Server ist Sache unserer Technologiepartner,“ sagt Georg Klauda, Managing Partner von Goldbach Austria: „In den Verträgen haben wir festgelegt, dass unsere Partner entsprechende Vorkehrungen treffen müssen.“ Von Vorteil ist hier auch, dass Goldbach mit großen Anbietern arbeitet, welche die entsprechende Infrastruktur und Ressourcen haben. Bei Goldbach werden derzeit vor allem angesichts der DSGVO diverse Verträge adaptiert – nicht nur mit Dienstleistern, sondern auch mit Kunden: In den AGB von Goldbach wird etwa künftig festgelegt, dass Cookies nur gesetzt werden dürfen, wenn dies mit den Partnern abgestimmt wurde.
Dass Verträge entsprechend überprüft und bei Bedarf adaptiert werden müssen, sagt auch Anton Jenzer, Präsident des Dialog Marketing Verbands DMVÖ: Denn im Schadensfall ist laut DSGVO der Verantwortliche in der Pflicht, also der Auftraggeber. Wenn beim Dienstleister also ein Sicherheitsproblem wie dieses auftritt, kann sich der Auftraggeber nicht schadlos halten – es sei denn, dies wird schriftlich im Vertrag fixiert. Umgekehrt sollte der Dienstleister festlegen, dass der Auftraggeber nur jene Daten zur Verfügung stellt, die er rechtmäßig erhoben hat. Meltdown und Spectre werden wohl nicht die letzten Sicherheitslecks gewesen sein – und im Schadensfall ist es gut, die Verantwortlichkeiten geklärt zu haben.