IT-Sicherheit: fnsystems Vorreiter bei Server-Security

Das Thema Sicherheit in der IT fällt immer wieder in den zentralen Fokus. Die Begriffe Sicherheitslücken, Datenklau und DOS-Attacken sind sehr häufig in den Überschriften der unterschiedlichen Newsforen und Nachrichtenportale zu lesen.  Im Bereich der (Post-)Logistik spielt die sichere Be- und Verarbeitung von Daten eine noch immanentere Rolle. Jede Lücke in einem System kann dazu führen, dass tausende Sendungen nicht oder nur verspätet ankommen, Kundendaten unfreiwillig veröffentlich werden oder Hacker durch Sperrungen von Accounts „Lösegeld“ erpressen könnten.

Ein selten öffentlich diskutierter Sektor der IT-Sicherheit ist aber die Sicherheit der Serverinfrastrukturen. Viele der durch unsere Kunden verwendeten Server laufen auf dem Betriebssystem Linux. Bisher galt das System mit dem kleinen Pinguin im Logo als gut abgesichert. Doch in den letzten Wochen haben sich gleich zwei eklatante Lücken aufgetan – oder besser, sie wurden bekannt. Die „Meltdown“ und „Spectre“ benannten Fehler finden sich nicht etwa in irgendwelchen Bereichen, sondern in den Prozessoren der Server selbst, wobei es unabhängig davon ist, ob diese dann Linux- oder Windows-Server versorgen.

Und hier nun die Erfolgsmeldung unsererseits: nach dem Einspielen der von uns und unseren Serverpartnern eruierten Sicherheitspatches läuft die Betriebsumgebung sämtlicher hybriLOG® Installationen im Rahmen der technischen Möglichkeiten sicher.

Folge der Lücken: unbemerkter Datenklau

Zuerst einmal: Diese Lücken sind absolut eklatant – denn sie erlauben das beinahe unbemerkte Auslesen jedes Speichers, sowohl in einzelnen Rechnern, als auch in großen Servern. Und das ist übergreifend bei fast allen aktuellen Prozessoren ein Problem. Sowohl „Meltdown“ als auch „Spectre“ nutzen den Drang der Ingenieure, immer das Maximum an Leistung aus Prozessoren herausholen zu wollen. Um langwierige Lade- und Arbeitszeiten zu verhindern, werden die CPUs mit sogenannten „Verdachtsabläufen“ versorgt. Dies bedeutet, dass der Computer auf Basis verschiedener Parameter Codezeilen bearbeitet, die möglicherweise genutzt werden. Arbeiten Sie beispielsweise die ganze Zeit mit dem Befehl „Zeilen kopieren“, agiert der CPU quasi in vorauseilendem Gehorsam.

Ändern Sie aber Ihr Vorgehen und kopieren in anderer Komposition oder geben per Hand ein, werden diese „Verdachtsabläufe“ verworfen. Das Problem ist, dass es keinerlei Zugriffsrechte-Prüfung für diese Abläufe gibt – jeder, der weiß, wie es geht, kann ihre Verdachtsabläufe auslesen. Durch geschickte Platzierungen von kleinen Programmeinheiten kann so der gesamte Speicher innerhalb einer überschaubaren Zeit ausgelesen werden, insbesondere derjenige Teil der Passwörter oder hochsensible Daten enthält.

Während „Meltdown“ wahrscheinlich sinnvoll und zeitnah geschlossen werden kann, wird „Spectre“ wohl noch eine Weile das Damokles-Schwert für die Sicherheitsspezialisten bleiben. Durch das Aufbrechen der isolatorischen Installationen einzelner Programme auf dem Server kann diese Schadsoftware-Lücke deutlich schwerer wiegen, da etwaige Hackerprogramm zwischen den einzelnen Programmen hin und her „springen“ könnten. Kleine Entspannung aber für die Spezialisten: Der Schadcode müsste durch einen normalen User in den Kernel geladen worden sein – das ist zumindest bei den meisten größeren Firmen mit deren restriktiven Datenrichtlinien eher unwahrscheinlich.

Was tun? Ruhe bewahren, Lösungen finden!

Das oberste Gebot, auch für unsere Sicherheitsabteilung war: Ruhe bewahren, Schaden ermitteln und Lösungen finden. Innerhalb von extrem kurzer Zeit konnten unsere Hoster 1&1 und unsere Entwickler Patches testen und auf Ihrer Tauglichkeit prüfen. Dabei spielten die besonderen IT-Anforderungen unserer Postlogistikkunden eine erhebliche Rolle. Mit der individuell abgestimmten „Patch“-Welle wurden in den Systemen quasi alle Register gezogen und die Lücken vom großen bis in den kleinsten Prozessor aufs Korn genommen.

Für unsere Partner bei der Postlogistik bedeutete das zwar, dass ein paar Minuten mal nichts geht – aber nun sind die Lücken im Rahmen der bisher bekannten technischen Möglichkeiten geschlossen. Innerhalb von wenigen Tagen sind damit enorme Sicherheitsprobleme gelöst worden. Gerade diese schnelle Reaktionszeit spricht für unser Spezialistenteam. Ziel für das Jahr 2018 ist es, noch mehr Sicherheits- und Alarmierungsfunktionen hinzuzufügen, um gerade in der IT-Serversicherheit weiterhin einen Spitzenplatz einnehmen zu können.