Tipps für Shop-Betreiber 02.05.2018, 10:02 Uhr

So sicher muss die Shop-IT sein

Immer wieder sorgen Sicherheitslücken für Schlagzeilen, wie zu Jahresbeginn "Meltdown" und "Spectre". Das Thema ist zwar aus den Schlagzeilen, aber nicht vom Tisch: Auch Shop-Betreiber müssen handeln.
(Quelle: shutterstock.com/Welcomia)
Als Anfang des Jahres die ersten Meldungen über die flächendeckenden ­Sicherheitslücken "Meltdown" und "Spectre" bekannt wurden, war die Aufregung groß. Die Schwachstellen finden sich in nahezu jedem Hauptprozessor (Central Processing Unit, CPU) aktueller Rechner. Manche bezeichneten sie sogar als die "schlimmsten CPU-Bugs aller Zeiten". 
Genau genommen sind "Meltdown" und "Spectre" jedoch gar keine Sicherheitslücken. Es handelt sich vielmehr um Angriffsszenarien, die von der Google-Gruppe "Project Zero", dem Unternehmen Cyberus Technology und Wissenschaftlern der Technischen Universität Graz entdeckt und beschrieben wurden. Für solche Angriffe nutzen Kriminelle gängige Mechanismen, mit denen aktuelle Prozessoren die Ausführung von Programmen beschleunigen. Dazu gehört beispielsweise die sogenannte "Out of ­Order Execution", mit der sich Prozesse in einer anderen als der vom Programm vorgesehenen Reihenfolge abarbeiten lassen, oder die "Speculative Execution", die ­Daten bereits in den Hauptspeicher lädt, bevor sie tatsächlich angefordert wurden. Angreifer verwenden diese Mechanismen, um sensible Daten aus dem Hauptspeicher eines Systems auszulesen. 
"'Spectre' und 'Meltdown' sind entstanden, weil eine Entscheidung zwischen schnelleren Zugriffen und dem Schutz von besonders sensiblen Daten getroffen wurde und nicht beide Ziele gleichzeitig verfolgt wurden", erklärt Ramon Mörl, Geschäftsführer des Münchner IT-Sicherheitsspezialisten IT Watch. "Meltdown" betrifft im Wesentlichen Prozessoren der Firma Intel mit Ausnahme der Intanium-Familie. Für "Spectre"-Angriffe sind neben den Intel-Chips auch AMD-CPUs anfällig sowie Prozessoren, die auf der ARM-Architektur basieren. 

Auch über den Browser lassen sich Daten stehlen

Da bei einer der "Spectre"-Varianten der schädliche Code über interpretierte Sprachen wie Javascript untergeschoben werden kann, lässt sich ein Angriff auch über einen Browser ausführen. Ein Angreifer könnte so beispielsweise Passwörter, Kreditkartennummern oder andere sensible Informationen auslesen, die Shop-Besucher im Browser eingeben. "Auch Kunden, die sich anmelden, können über 'Spectre' und 'Meltdown' angegriffen werden. Ihre Identität kann gestohlen werden", sagt IT-Watch-Geschäftsführer Mörl.
Da nahezu alle Rechner betroffen sind, müssen sich auch Shop-Betreiber mit dem Problem auseinandersetzen. Denn nach dem "Gesetz zur Erhöhung der ­Sicherheit informationstechnischer Systeme", kurz auch IT-Sicherheitsgesetz ­genannt, sind die Betreiber von Web-Angeboten wie zum Beispiel Online-Shops verpflichtet, den aktuellen "Stand der Technik" zu gewährleisten. Das bedeutet in erster Linie, dass Unternehmen alle verfügbaren organisatorischen und technischen Maßnahmen ergreifen müssen, um eine bestmögliche Sicherheit ihrer Systeme zu erzielen. 
Die eigentlichen Ursachen für "Meltdown" und "Spectre" lassen sich allerdings erst mit einer neuen Mikroprozessor-Genera­tion beheben, die nicht vor Ende dieses Jahres zur Verfügung stehen wird. Als Soforthilfe haben Prozessor- und Betriebssystemhersteller sowie die Anbieter der gängigsten Browser daher eine Reihe von Updates und Nachbesserungen, ­sogenannte  Patches, bereitgestellt, die das Risiko minimieren sollen. Die ersten Patches hatten ­jedoch zum Teil erhebliche Nebenwirkungen wie Performance-Einbußen bis zu 50 Prozent oder ständige System-Neustarts. Einige Patches führten sogar zu ­erheblichen neuen Sicherheitsrisiken. 



Das könnte Sie auch interessieren