Meltdown und Spectre beschäftigen US-Kongress

CloudRechenzentrum

Die CEOs von Intel, AMD, ARM, Apple, Microsoft, Amazon und Google müssen erklären, warum die Sicherheitslücken so lange nicht veröffentlicht wurden.

Den Ausschuss für Energie und Wirtschaft des US-Repräsentantenhauses beschäftigt die Frage, warum nur wenige Firmen vorab von den CPU-Sicherheitslücken Meltdown und Spectre wussten, obwohl die Schwachstellen praktisch jedes Technikunternehmen betreffen. Die Abgeordneten wollen nun herausfinden, ob diese “Insider” die Folgen ihrer Geheimniskrämerei für andere Unternehmen bedacht haben.

Das geht aus einem Brief hervor, den die Abgeordneten Greg Walden, Gregg Harper, Bob Latta und Marsha Blackburn am Mittwoch an die CEOs von Intel, AMD, ARM, Apple, Microsoft, Amazon und Google verschickt haben. Sie kritisieren unter anderem, dass die ungeplante Offenlegung der Schwachstellen am 3. Januar einige Firmen “kalt erwischte”.

Ausgewähltes Whitepaper

So halten Ihre Netzwerkdaten vor Gericht stand

Angesichts der immer komplizierteren Angriffe werden die meisten großen Unternehmen mit hoher Wahrscheinlichkeit irgendwann einmal von einer Sicherheitsverletzung betroffen sein. Doch mit den richtigen Daten und dem nötigen Überblick über das Netzwerk kann sich ein Unternehmen besser auf seine Beweisführung vor Gericht vorbereiten. Dieses Whitepaper erklärt, worauf es ankommt.

Zumindest bestimmte Mitarbeiter oder gar Abteilungen der fraglichen Unternehmen wussten mindestens seit Juni 2017 von den Fehlern in Prozessoren von Intel, AMD und ARM. Etwa zu dem Zeitpunkt sollen sie sich auch auf die Geheimhaltung sowie den Zeitplan für die gemeinsame Offenlegung geeinigt haben. Viele betroffene Parteien wurden durch das Embargo jedoch erst deutlich später informiert oder erhielten zu wenige Informationen, um den Ernst der Lage richtig einschätzen zu können.

Linux-Kernel-Entwickler hatten sich Anfang der Woche bereits über die “ungewöhnliche” Offenlegung von Meltdown und Spectre beschwert. Eigentlich gebe es branchenweit gut etablierte und funktionierende Verfahren für den Umgang mit Software-Fehlern, diese seien jedoch bei den CPU-Lücken nicht angewandt worden. Die Software-Entwicklerin Jessie Frazelle, die bei Microsoft an Linux arbeitet, nannte das Embargo “ein absolutes Chaos”, das es künftig zu vermeiden gelte.

Das Sicherheitsteam von FreeBSD erfuhr beispielsweise erst Ende Dezember von den Anfälligkeiten sowie der zu dem Zeitpunkt für den 9. Januar geplanten Offenlegung. Als Folge konnte FreeBSD am 3. Januar, als Meltdown und Spectre durch einen Bericht von The Register öffentlich wurden, nicht einmal eine Schätzung für die Veröffentlichung von Patches nennen. Dem Brief zufolge soll zudem der US-Cloudanbieter DigitalOcean das angeblich von Intel initiierte Embargo scharf kritisiert haben. Es habe die Möglichkeiten des Unternehmens, die Folgen von Meltdown und Spectre einzuschätzen, stark eingeschränkt. Das US-CERT, das eigentlich dafür zuständig sei, die Branche über Sicherheitslücken zu informieren, habe ebenfalls erst am 3. Januar von Meltdown und Spectre erfahren.

Tipp der Redaktion

EU-Datenschutzgrundverordnung (DSGVO)

Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.

Von den CEOs wollen die Abgeordneten nun wissen, warum das Embargo eingesetzt wurde und wer es vorgeschlagen hat. Sie wollen auch wissen, wann US-CERT und CERT/CC informiert wurden. Die CEOs sollen außerdem erklären, ob sie die möglichen Folgen für Anbieter kritischer Infrastrukturen und anderer IT-Dienste abgewägt haben.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Prozessoren aus? Überprüfen Sie Ihr Wissen – mit dem Quiz auf silicon.de.