Im Januar 2018 veröffentlichten Forscher zwei Arten von Hardware-Sicherheitslücken in einer Vielzahl moderner Prozessoren, die es ermöglichen, Informationen auch ohne die nötigen Rechte auszulesen. Sie wurden unter dem Namen „Spectre“ und „Meltdown“ bekannt. Um gegen Angriffe, die diese Arten Sicherheitslücken ausnützen, geschützt zu sein, ist ein Zusammenspiel von Software- wie Hardwareherstellern nötig. Intel, deren nahezu komplette Prozessorenproduktpalette bis zurück in die späten 90er-Jahre betroffen ist, stellte Patches zumindest für neuere Prozessoren bereit, Microsoft zumindest für die Betriebssysteme, die noch aktiv gepflegt werden.
Besondere Aufmerksamkeit erhielten Spectre und Meltdown weniger wegen der besonderen Gefährlichkeit der Lücken, sondern weil sich die öffentliche Diskussion bisher besonders auf Schwachstellen in Software konzentrierte. Sicherheitslücken in Hardware können möglicherweise länger unentdeckt bleiben, ihre Behebung stellt sich schwieriger dar, als dies bei reinen Softwarefehlern der Fall ist.
18 Monate später habe ich die Bundesregierung in einer Schriftlichen Frage um Auskunft ersucht, um zu erfahren, wie man diesen Typ Sicherheitslücken in den vorhandenen IT Systemen geschlossen hat, wie teuer die Behebung der Lücken für die Bundesverwaltung war und wie viele der von Spectre und Meltdown betroffenen Rechner inzwischen durch diese Sicherheitslücken nicht mehr angreifbar sind. Ich hatte auch explizit nach Aufwänden für den Austausch von Hardware gefragt. Die Antwort des Bundes-CIO, Klaus Vitt, ist auf mehrere Arten besorgniserregend:
Die Bundesregierung erklärt, dass sämtliche im Zusammenhang mit Spectre und Meltdown bekannten Schwachstellen durch die von den Herstellern kostenlos bereitgestellten Patches „mitigiert“ worden seien. Kein Wort verliert Staatssekretär Vitt darüber, dass der Bund noch eine Reihe von Servern einsetzt, die so alt sind, dass die Hersteller bereits den Support beendet haben und darum gar keine Patches mehr anbieten. Eine Auflistung des Serverzoos des Bundes hatte ich von der Bundesregierung in der Antwort auf eine Kleine Anfrage im Februar 2019 erhalten, die ich gemeinsam mit meinem Kollegen Victor Perli zum Thema digitale Monopole gestellt hatte. So setzen beispielsweise das Technische Hilfswerk und das Bundessortenamt noch Rechner mit Windows Server 2003 ein, deren bereits erweiterter Support im Jahre 2015 endete. Ebenfalls kommt laut Bundesregierung auf einigen Servern noch Debian 3.1 zum Einsatz. Hier endeten die Sicherheitsaktualisierungen im März 2008.
Auf meine Frage, wie viele der Rechner nun nicht mehr angreifbar seien, windet sich die Bundesregierung und liefert nur für das BSI eine Antwort: 100%, obwohl ich nach allen Bundesministerien und nachgeordneten Bundesbehörden gefragt hatte. Ich habe darum dem Bundesinnenministerium gegenüber Beschwerde eingelegt und um eine ordentliche Beantwortung meiner zweiten Frage ersucht.
Denn man muss sich ja schon fragen, wie sicher die gesamte IT Infrastruktur in Verantwortung des Bundes ist, und wie sicher insbesondere alle die IT-Systeme sind, für die es eindeutig keine Patches mehr gab, weil sie schon zu alt dafür sind? Dass sich die Bundesregierung gegenüber Hardware-Sicherheitslücken wie Spectre und Meltdown so naiv gibt, zeigt, dass sie das Ausmaß des Problems nicht im Geringsten erkannt hat. Wer Computer einsetzt, für die es seit über 10 Jahren keine Updates mehr gibt, hat mit hoher Wahrscheinlichkeit nicht das Nötige getan, um zukünftig besser gewappnet zu sein. Dass das kein theoretisches Risiko ist, zeigen die erst diese Woche bekannt gewordenen neuen Varianten von Spectre und Meltdown.“
Artikelbild: Christian Wiediger, gemeinfrei-ähnlich freigegeben auf unsplash.com