Beiträge

Frage: Wie groß war bisher der finanzielle Aufwand im Zusammenhang mit der Behebung der Hardware-Sicherheitslücken Meltdown und Spectre (z. B. durch Neuanschaffungen zum Austausch von Hardware oder Hardwarekomponenten, Entwicklung und Einsatz von Lösungen zur Risikomitigierung und sonstige Maßnahmen wie beispielsweise externe Beratungsleistungen im Zuständigkeitsbereich des Bundes (bitte Eigenleistung als Personenstunden angeben)) und wie hoch ist der Anteil (absolut und prozentual) potenziell angreifbarer Rechner, bei denen wirksame Maßnahmen ergriffen wurden, um nicht mehr durch Spectre und Meltdown angreifbar zu sein (bitte nach Bundesministerien einschließlich nachgeordnete Behörden aufschlüsseln)?

Antwort des Staatssekretärs Klaus Vitt (BMI) vom 6. August 2019:

Grundsätzlich gilt: Sämtliche im Zusammenhang mit Spectre und Meltdown bekannten Schwachstellen auf allen potenziell gefährdeten IT-Systemen wurden durch die von den Herstellern kostenlos bereitgestellten Patches im Rahmen des regulären Patchmanagements mitigiert. Die konsequente Umsetzung der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlenen IT-Sicherheitsbausteine und -Maßnahmen sowie eine vielschichtige/mehrstufige Sicherheitsarchitektur gewährleisten grundsätzlich schon standardmäßig ein sehr hohes Maß an IT-Sicherheit unabhängig von einzelnen konkreten Angriffsvektoren wie Spectre oder Meltdown.

Die Tätigkeit der Administratoren und des Personals der Informationssicherheitsorga¬ nisation in den Ressorts und deren Geschäftsbereichen umfasst regelmäßig als Dau¬ eraufgabe eine Bewertung von Sicherheitslücken und das Ergreifen von geeigneten organisatorischen und/oder technischen Maßnahmen. Der finanzielle oder personelle Aufwand im Zusammenhang mit der Behebung einzelner Schwachstellen wird nicht erfasst. Daher kann der Aufwand in Zusammenhang mit der Hardware-Sicherheitslücke Meltdown und Spectre nicht spezifisch nach Behörden aufgeschlüsselt beziffert werden.

Das BSI hatte im Rahmen seiner gesetzlichen Aufgaben zum Schutz der Informati¬ onssicherheit in diesem Zusammenhang Aufwände in technischer Hinsicht i. H. v. 114.787,50 Euro (externe Leistungen) und 2.876 Personenstunden (interner Aufwand). Der Anteil potenziell angreifbarer Rechner im BSI, bei denen wirksame Maßnahmen ergriffen wurden, um nicht mehr durch Spectre und Meltdown angreifbarzu sein, liegt aus Sicht des BSI daher bei 100 Prozent.

Im Januar 2018 veröffentlichten Forscher zwei Arten von Hardware-Sicherheitslücken in einer Vielzahl moderner Prozessoren, die es ermöglichen, Informationen auch ohne die nötigen Rechte auszulesen. Sie wurden unter dem Namen „Spectre“ und „Meltdown“ bekannt. Um gegen Angriffe, die diese Arten Sicherheitslücken ausnützen, geschützt zu sein, ist ein Zusammenspiel von Software- wie Hardwareherstellern nötig. Intel, deren nahezu komplette Prozessorenproduktpalette bis zurück in die späten 90er-Jahre betroffen ist, stellte Patches zumindest für neuere Prozessoren bereit, Microsoft zumindest für die Betriebssysteme, die noch aktiv gepflegt werden.
Besondere Aufmerksamkeit erhielten Spectre und Meltdown weniger wegen der besonderen Gefährlichkeit der Lücken, sondern weil sich die öffentliche Diskussion bisher besonders auf Schwachstellen in Software konzentrierte. Sicherheitslücken in Hardware können möglicherweise länger unentdeckt bleiben, ihre Behebung stellt sich schwieriger dar, als dies bei reinen Softwarefehlern der Fall ist.

Weiterlesen