Samira N.: Hat die Sicherheitslücke bei Prozessoren auch etwas mit Cloud-Telefonie zu tun?
LT-Webteam: Die am 04.01.2018 in den Medien bekannt gemachte Sicherheitslücke bei Prozessoren besteht als eine Art Design-Fehler offenbar bereits seit Mitte der 1990er Jahre. Es handelt sich um eine theoretisch bestehende Sicherheitslücke. Sie betrifft nicht nur Intel-CPUs, sondern auch Prozessoren anderer Hersteller. Intel soll jedoch am stärksten betroffen sein, da Intel die hierbei als anfällig identifizierte Arbeitsweise bei seinen Prozessoren offenbar am umfassendsten und einheitlichsten eingesetzt hat. Die Lücke soll den Chip-Herstellern auch bereits schon etwas länger bekannt sein.
Es geht dabei darum, dass das sogenannte „speculative execution“ Verfahren die Unsicherheit darstellt. Durch dieses Verfahren bereiten Prozessoren im Hintergrund Datenzugriffe von Daten vor, von denen der Prozessor annimmt, dass diese als nächste angefordert werden.
Durch die Sicherheitslücke soll es möglich sein, dass Datenbanken oder auch Java-Script Anwendungen unzulässig auf geschützte Bereiche des Kernel-Speichers zugreifen können.
Im Falle von einer in der Public Cloud gehosteten Anwendungen bedeutet dies, dass die Trennung zwischen den Daten der einzelnen Nutzer nicht sicher gewährleistet werden kann. Es ist also theoretisch möglich, dass über Prozesse eines Nutzers auf einem Server in der Public Cloud Daten anderer Nutzer abgegriffen werden können. Somit könnte ein böswilliger Kunde A gezielt Daten der Kunden B bis Z, die sich mit ihm den gehosteten Server und damit den Prozessor teilen, abgreifen. Es handelt sich dabei um Daten anderer Firmen und dies macht die brisant.
Theoretisch betroffen sind davon alle Public-Cloud Anwendungen, sein dies gehostete Serverdienste für Office-Anwendungen oder für Cloud-Telefonie.
Man kann nur hoffen, dass die Lücke technisch schnell geschlossen wird und dass diese bislang oder auch bis dahin zu keinen solchen Datenabgriffen geführt hat beziehungsweise führt.
Bei weitergehenden Fragen helfen wir Ihnen gerne. Wenden Sie sich dazu bitte telefonisch an +49 (30) 986 003-198 oder per E-Mail an avaya-blog@lipinski-telekom.de.
