|
Sehr geehrte Leserinnen und Leser,
das Jahr beginnt mit schwerwiegenden Sicherheitslücken. In unserem Thema im Fokus fassen wir zusammen, was wir bisher über die Sicherheitslücken Meltdown und Spectre wissen. In den Kurzmitteilungen geht es um aktuelle Fragen der Netzpolitik, Datenschutz und unser digitales Erbe. Das Fundstück beschäftigt sich mit Büroklammern.
Wir wünschen Ihnen viel Spaß bei der Lektüre!
auf gi-radar.de weiterlesen
Satire oder Hetzrede + elektronisches Anwaltspostfach unsicher + DSGVO + digitales Erbe + Meltdown und Spectre + GI-Beitragsmitteilung abrufbar + GI-Präsident in den Tagesthemen + Arbeitswelten der Zukunft + Universal Paperclips
KURZMITTEILUNGEN
Satire oder Hetzrede 1 (Spiegel). Die Schwierigkeit, das eine vom anderen zu unterscheiden, wird beim gerade in Kraft getretenen Netzwerkdurchsetzungsgesetz deutlich. Die bisherige Bilanz fällt aus wie erwartet: Wegen drohender Strafen löschen die Anbieter lieber zu viel als zu wenig. weiterlesen
Satire oder Hetzrede 2 (ZEIT). Ein Kommentar, warum das NetzDG trotz aller Schwächen einen Beitrag zur Debattenkultur leistet. weiterlesen
Neues elektronisches Anwaltspostfach unsicher (Golem, 7 min). Kurz vor der Inbetriebnahme stellte sich heraus, dass die Plattform, über die Anwälte in Zukunft sensible Dokumente austauschen sollen, gravierende Sicherheitslücken aufwies. Die übereilte Reaktion des Herstellers belegt dessen Unkenntnis und wirft Fragen auf. weiterlesen
Die Datenschutzgrundverordnung kommt (SZ). So sperrig der Name, so sperrig der Inhalt. Bis Ende Mai müssen alle Institutionen akribisch dokumentieren, wie sie mit personenbezogenen Daten umgehen. Bei Nichtbeachtung der Verordnung drohen drakonische Strafen. weiterlesen
Geschichte aus Stein, Holz und Öl – was bleibt von unserer Kultur (FAZ)? Der Erhalt digitaler Kunstwerke stellt Fachleute aus Museen vor große Herausforderungen: wie schafft man es, die Gegenwart für spätere Generationen zu erhalten. Bei einer Skulptur von Michelangelo ist das kein Problem, aber was ist mit einer Videoinstallation? weiterlesen
THEMEN IM FOKUS
Prozessor-Bugs. Zwischen den Jahren wurden die Schwachstellen Meltdown und Spectre veröffentlicht (Homepage mit Paper). Von den Schwachstellen ist ein Großteil der Prozessoren betroffen, die in den letzten Jahren hergestellt wurden. Marktführer Intel versucht sich indes in Schadensbegrenzung. In einer als irreführend kritisierten Pressemitteilung werden die Sicherheitslücken zuerst kleingeredet, danach wird erklärt, dass keine Rede davon sein könne, dass es ein Fehler in Intel-Chips sei; schließlich seien ja auch die Chips anderer Hersteller betroffen (The Verge). Die Äußerungen der für IT-Sicherheit zuständigen Behörden lassen ebenfalls zu wünschen übrig. Constanze Kurz kritisiert in einem Kommentar die Pressemitteilung des Bundesamts für Sicherheit in der Informationstechnik (FAZ).
Technischer Hintergrund. Neben der wissenschaftlichen Veröffentlichung gibt es inzwischen einige leicht verständliche Erklärungen (etwa bei Cloudflare, 7 min) sowie eine Liste mit Antworten auf häufig gestellte Fragen (heise).
Schadsoftware kann durch Meltdown bzw. Spectre sensible Informationen wie Passwörter und Schlüsselmaterial aus dem Speicher anderer Programme oder des Kernels auslesen (Erklärung der Unterschiede zwischen den Angriffen). Dazu wird ausgenutzt, dass moderne Prozessoren bei der Ausführung von Programmcode bei Verzweigungen nicht darauf warten, bis feststeht, wie es weitergeht. Stattdessen verfolgen sie auf Verdacht sofort einen der Zweige weiter (sog. „branch prediction“). Stellt sich kurz darauf heraus, dass es sich um den richtigen Zweig handelt, hat der Prozessor Zeit gespart, andernfalls wird der vorherige Zustand wiederhergestellt. Die Ausführung wird dann im anderen Zweig fortgesetzt. Das Sicherheitsproblem besteht nun darin, dass es modernen Prozessoren nicht zuverlässig gelingt, alle Spuren zu beseitigen, die die Ausführung des verworfenen Zweigs hinterlassen hat (anschauliche Erklärung des Meltdown-Angriffs, 11 min).
Nutzer müssen Updates einspielen. Inzwischen existieren erste Proof-of-Concepts (z.B. für Meltdown), mit denen sich die Lücken demonstrieren lassen. Zum jetzigen Zeitpunkt ist aber noch nicht absehbar, welche Angriffe praxisrelevant werden. Inzwischen gibt es Sicherheitsupdates für die gängigen Betriebssysteme und Browser. Diese sollte man zeitnah einspielen.
Es ist zu erwarten, dass es auch in einigen Jahren noch Systeme geben wird, die nicht gegen die Schwachstelle geschützt sind, entweder weil die Hersteller gar keine Updates herausbringen oder weil sie nicht eingespielt werden. Schon jetzt zeichnen sich Hürden ab, die manche Nutzer überfordern könnten. Setzt man etwa einen Virenscanner unter Windows ein, wird das relevante Sicherheitsupdate nicht automatisch installiert, da einige Virenscanner damit nicht zurechtkommen und der PC danach nicht mehr starten würde. Microsoft installiert Updates daher erst wieder wenn der Hersteller des Virenscanners dies explizit erlaubt (windowspro.de). Auch bei einigen Linux-Distributionen gibt es Probleme. Benutzer von Ubuntu 16.04 berichten, dass ihr PC nach dem Update nicht mehr hochfährt (bleepingcomputer.com). Die größte Hürde dürfte aber darin bestehen, auf allen Rechnern das erforderliche BIOS-Update einzuspielen. Nur dieses Update, das vom jeweiligen Mainboard-Hersteller zur Verfügung gestellt wird, kann den Microcode der Prozessoren aktualisieren. Im Gegensatz zu Betriebssystem-Updates werden BIOS-Updates auf den meisten Rechnern jedoch nicht automatisch installiert.
Die aktuell verfügbaren Updates sind zudem unbefriedigend. Der Schutz vor den Angriffen wird auf Kosten der Geschwindigkeit erreicht. Auf Servern kann es zu spürbaren Leistungseinbußen kommen. Darüber hinaus können die Updates die Angriffe nicht zuverlässig verhindern. Sie senken lediglich die Erfolgswahrscheinlichkeit. Eine vollständige Lösung des Problems erfordert Anpassungen an der Prozessorarchitektur, die erst in zukünftigen Produkten enthalten sein wird.
GI-MELDUNGEN
GI-Beitragsmitteilungen online verfügbar. Nach dem Einloggen im GI-Mitgliederbereich können Sie sich Ihre Beitragsmitteilung 2018 herunterladen, ansehen, gegebenenfalls korrigieren und auch Ihre Daten kontrollieren. weiterlesen
GI-Präsident Federrath zu Lücken in Computerchips. Der neu gewählte GI-Präsident Hannes Federrath erklärt im Tagesthemen-Interview, was es mit den Sicherheitslücken in Computerchips auf sich hat. weiterlesen
Arbeitswelten der Zukunft. Bei einem Symposium am 29. Januar in Berlin beleuchten Fachleute, wie sich die Arbeitswelt verändert und welche Rolle die Informatik dabei spielt. weiterlesen
FUNDSTÜCK
Universal Paperclips. Der Markt für Browser-Spiele ist groß. Viele Menschen verbringen einen erheblichen Teil ihrer Zeit damit, hübsch animierte Ackerfelder zu bestellen, mittelalterliche Stämme aufzubauen oder virtuelle Städte in die Höhe zu ziehen. Universal Paperclips zeigt, dass ein Spiel auch ohne aufwändige Grafik süchtig machen kann. Das Ziel des Spiels mutet zunächst profan an: möglichst viele Büroklammern herzustellen. Anfangs von Hand, aber schon bald hilft einem eine künstliche Intelligenz dabei. Ein- und Ausgabe konzentrieren sich ganz auf das Wesentliche, aber das Spielkonzept ist gut austariert und die KI hat humorvolle Züge, sodass das Belohnungszentrum im Gehirn optimal stimuliert wird. Artikel mit Link zum Spiel (Golem, 4 min)
Welches Fundstück hat Sie zuletzt inspiriert? Senden Sie uns Ihre Vorschläge!
Dies war Ausgabe 205 des GI-Radars. Aufbereitet wurden die Texte von GI-Junior-Fellow Dominik Herrmann. Unterstützt wurde er dabei von Claas Lorenz. GI-Geschäftsführerin Cornelia Winter hat die GI-Mitteilungen zusammengetragen. Das nächste GI-Radar erscheint am 24. Januar 2018.
Im GI-Radar berichten wir alle zwei Wochen über ausgewählte Informatik-Themen. Wir sind sehr an Ihrer Meinung interessiert. Für Anregungen und Kritik haben wir ein offenes Ohr, entweder per E-Mail (redaktion@gi-radar.de) oder über das Feedback-Formular bei SurveyMonkey. Links und Texte können Sie uns auch über Twitter (@informatikradar) oder Facebook zukommen lassen.
|
