Erschienen am: 08.02.2018, Ausgabe SPS-MAGAZIN 1+2 2018

Reine Spekulation?

Menschen spekulieren viel: Ob auf steigende Aktienkurse beim Geldanlegen oder auf schönes Wetter beim Wochenendausflug. Doch auch Computer spekulieren ständig im Rahmen ihrer Rechenprozesse. Das wirkt sich überaus positiv auf die Leistung aus, bringt aber - wie sich jetzt herausgestellt hat - in puncto Sicherheit ein pikantes Problem mit sich.


Das Problem trägt den Namen Meltdown bzw. Spectre und lässt sich wie folgt zusammenfassen: Mit der Funktion 'Speculative Execution' berechnen Prozessoren im Voraus wahrscheinliche Ergebnisse - sie spekulieren also auf den zukünftigen Programmfluss. Erreicht das Programm eine Stelle, an der es in der Tat diese Ergebnisse benötigt, stehen sie ad hoc schon zur Verfügung. Kurzum: Bei geringerer Auslastung nutzen Computer die eigene Rechenleistung, um sich bei hoher Auslastung ein Stück weit den Rücken frei zu halten.

Solche spekulierende Chips sind seit über 20 Jahren Standard und moderne Computer wären ohne sie nicht ansatzweise so leistungsfähig. Die Schattenseite wurde erst im letzten Jahr aufgedeckt: Weil die vorausberechneten Ergebnisse vorweg im Speicher abgelegt sind, tun sich Sicherheitslücken auf, über die sich sensible Daten wie Zugangsrechte oder Passwörter auslesen lassen. Betroffen ist annähernd jeder Prozessortyp von Intel, AMD oder ARM seit Mitte der 1990er-Jahre und viele andere mehr. Egal ob Desktop-PC, Tablet, Server oder Industrierechner: Fast alle Computer sind also durch Meltdown oder Spectre angreifbar und erfolgte Angriffe letztlich nicht nachvollziehbar.

Patches können das grundlegende Problem nicht beheben, denn die Schwachstellen wurden ja in das Silizium der Prozessoren vergossen. Einzig ein neuartiges Design der Chips könnte wirklich Abhilfe schaffen. Die Myriaden bereits verbauter Prozessoren nachträglich auszutauschen ist jedoch keine realistische Option. Eine technische Gegenmaßnahme wäre die Herabsetzung der Zeitauflösung: Die Mechanismen benötigen für das Abgreifen von Daten eine genaue Zeitmessung, sodass Experten das Einbringen eines künstlichen Jitters als wirksam erachten. Für die Produktion ist aber auch das in Anbetracht der hohen Zykluszeiten keine sinnvolle Option.

Was also tun in der Industrie? Eine schnelle Lösung ist nicht in Sicht, zumal Meltdown und Spectre erst zu Beginn des Jahres öffentlich gemacht wurden. Es bleiben letztlich nur neu entwickelte Softwaremechanismen, um die Sicherheitslücken einigermaßen zu schließen. Die verfügbaren, eilig entwickelten Patches bergen aber die Gefahr, dass Computer und Programme nicht mehr einwandfrei laufen - auch in der Automatisierung. So will z.B. Siemens noch keine finale Aussage über die Kompatibilität zu seinen Steuerungen treffen und empfiehlt, die Updates aktuell nicht einzuspielen.

Stand heute lässt sich nicht voraussagen, inwieweit sich Meltdown und Spectre in Zukunft auf die Sicherheit von computergesteuerten (Industrie-)Anwendungen auswirken werden. Bisher sind nur Probleme durch die besagten Sicherheits-Patches bekannt, eine kriminelle Ausnutzung der Schwachstellen hingegen nicht. Aber weder Anbieter noch Anwender sollten die Augen ver-schließen, denn die Sicherheitslücken sind

Anzeige