Auswirkungen von Spectre und Meltdown: »Gewisse Hilflosigkeit, aber keine Panik«

Die größte Sicherheitspanne in der Geschichte der IT-Industrie hat bislang kaum Auswirkungen auf den Absatz von Computern. Ohne Folgen für den Channel sind die Chip-Bugs aber nicht.

Hilflos aber nicht panisch, reagieren Kunden auf die Chip-Bugs

Spezialisten aus Forschung und der Hableiterindustrie waren durch Google angeblich schon im Juni 2017 über das informiert, was die Tagesschau am 4. Januar in einem zweiminütigen Bericht zur Primetime um 20 Uhr sendete: Ein »Konstruktionsproblem« in Computerchips, der zu einer Sicherheitslücke in Millionen Computern und Smartphones führt und die vor allem bei Cloud-Diensten liegende »Datenschutztruhe« öffnet. Sechs Wochen nachdem die Öffentlichkeit über die vermutlich größte Panne der Computergeschichte informiert wurde, sind die »Spectre« und »Meltdown« getauften Fehler nicht behoben. Neue, sichere Chiparchitekturen entstehen freilich nicht über Nacht.

Aber auch die eiligst ausgerollten Updates schaffen keine Sicherheit. Im Gegenteil: Nach einem Update booten viele Computersysteme nicht mehr, ältere Rechner sowie Cloud-Dienste büßen erheblich an Performance ein, bei manchen Computern wiederum ist nach einer Softwareeinspielung kaum ein Leistungsabfall zu merken. Hektisch ausgerollte Updates, die bereits nach ihrer Veröffentlichung wieder zurückgezogen werden, weil die mehr Schaden als Nutzen anrichten, hinterlassen - Stand heute - noch immer ratlose Experten. Oracle hat beispielsweise rund 240 Patches im Zusammenhang mit den Chipproblemen veröffentlicht. Ansonsten waren aber weder dieser Hersteller noch Microsoft oder SAP bereit, mit CRN über Kundenreaktionen zu sprechen. Naheliegende Folgen für den Fachhandel und Cloud-Anbieter?

»Der Druck zu investieren ist zu groß«, Reiner Louis Chef Computacenter Deutschland

Investitionsstopp nur in Einzelfällen
Deren besorgte Kunden legen Investitionen in IT-Infrastruktur auf Eis, stellen ins Auge gefasste Cloud-Projekte zurück - könnte man vermuten. Doch dem ist nicht so. Von CRN befragte Hard- und Softwarehersteller, Systemhäuser und die Distribution melden unisono kaum bis keine negativen Auswirkungen auf das Einkaufsverhalten ihrer Kunden. »Nur in Einzelfällen registrieren wir, dass Kaufentscheidungen zurückgestellt werden«, sagt ein Herstellervertreter, der nicht namentlich zitiert werden will. Es gäbe ja einen Grund für geplante Investitionen, und der falle nicht weg, sagt er.

Das sieht Computacenter-Chef Reiner Louis für den deutschen Markt ebenso. Er hatte eigentlich mit mehr Reaktionen seitens seiner Kunden auf die Sicherheitslücken gerechnet. Aber: »Wir spüren beim unseren Kunden keine Zurückhaltung. Der Druck zu investieren ist zu groß«. Möglicherweise hätten Unternehmen gelernt, mit Sicherheitslücken professionell umzugehen, spekuliert Louis. Sicher spielt hier der Umstand eine Rolle, dass es keine gesicherten Erkenntnisse gibt, ob Systeme mittels Spectre und Meltdown bereits erfolgreich angegriffen wurden. Die Kompromittierung nachzuweisen ist laut Sicherheitsexperten allerdings äußerst schwer bis unmöglich. Zudem kommt, dass es eine große Palette an CPU-Modellen mit unterschiedlichen Systemarchitekturen und Spezifikationen gibt. »Es ist sehr unwahrscheinlich, dass es einen universellen Angriffscode geben wird, der auf allen Plattformen läuft«, sagt Anders Fogh von G Data. Er ist einer der wenigen Spezialisten weltweit zu diesem Thema. »Um effektiven Exploit-Code zu schreiben, der auf mehreren CPU-Modellen läuft, muss sehr viel Aufwand betrieben werden. Zusätzlich müssen die Exploit-Codes an die anvisierten Betriebssysteme angepasst werden«.

Übersicht