Sicherheitslücken Meltdown und Spectre auf Power8 und IBM i

Christian GutNews

Der Januar des neuen Jahres war geprägt von den Sicherheitslücken, die unter den Namen »Meltdown« und »Spectre« bekannt wurden. Im Prinzip betrifft das Sicherheitsproblem fast jeden Computer, der in den letzten fünf Jahren verkauft wurde. Einige wenige und besondere Ausnahmen gibt es, diese ändern jedoch das Gesamtbild kaum.

Die Sicherheitslücken stecken in der Hardware, im Prozessor der Geräte. Grob gesagt ermöglichen diese neu entdeckten Fehler, dass Programme auf Daten zugreifen dürfen, auf die sie normalerweise keinen Zugriff haben sollten. Die Konsequenz ist, dass zumindest unbekannte oder nicht vertrauenswürdige Programmteile ein großes Sicherheitsrisiko darstellen. Außerdem ist es auf Systemen, auf denen sich mehrere Nutzer eine Hardware teilen, möglich, auf Daten der anderen Benutzer zugreifen.

Die Folgen

In der Praxis erzeugt dies für zwei Fälle ein besonders hohes Risiko:

  1. Die Ausführung von unbekanntem Programmcode auf jeder modernen Webseite.
  2. Virtualisierte Umgebungen, in denen Kunden oder Benutzer eigene Programme ausführen können.

Damit hat nun die gesamte IT-Branche einen ordentlichen Zusatzaufwand: Während die Cloud-Provider seit Anfang Januar ihre Systeme aktualisieren, warten die IT-Abteilungen der Unternehmen noch zu großen Teilen auf die Korrekturen der Rechner-Hersteller. Die Software-Hersteller haben über Updates von Betriebsystemen und Browsern schon reagiert, nun muss zwingend jeder Rechner einem Bios-Update unterzogen werden, um einen endgültigen Schutz zu erreichen. Und genau diese Updates erzeugen Probleme oder warten zu großen Teilen erst noch auf Veröffentlichung.

IBM, Power System und IBM i

Unsere Wahl-Plattform ”IBM i“ ist von den Problemen genauso betroffen, wie auch der Rest der Industrie. Die Firma IBM hat mittlerweile reagiert, es gibt Updates für die Firmware von Power8-Systemen sowie den darauf laufenden Betriebssystemen IBM i und AIX. Leider sind die Detail-Informationen noch etwas dünn gesät. Es ist noch unklar, was am Betriebsystem geändert wurde, wie umfassend der Schutz ist oder welche Performance-Einbußen zu erwarten sind.

Unsere Empfehlung

Nun ist die Menge an fremden Programmcode in den uns bekannten üblichen Szenarien sehr begrenzt – Web-Browser gibt es auf der IBM i nicht – daher empfehlen wir zunächst noch Zurückhaltung beim Update der Maschinen, bis sich die Informationslage gebessert hat. Da unsere gehosteten Kunden im ASP-Betrieb davon auch betroffen sind, werden diese über unsere Maßnahmen direkt informiert.