Gefährliche Wette: Wie Unternehmen mit Spectre umgehen
Mit Meltdown und Spectre hat das noch junge Jahr bereits echte Ausrufezeichen in Sachen IT-Sicherheit gesetzt. Die beiden Schwachstellen sind vor allem deshalb echte „Meilensteine“, da sie einerseits fast alle Nutzer weltweit betreffen, andererseits auf einer bislang eher vernachlässigten Ebene, nämlich der der Prozessoren, auftreten.
Wenn man einmal die technischen Details von Spectre beiseitelässt, ergeben sich für Unternehmen fundamental neue Herausforderungen. Dies betrifft zuallererst die Frage des IT-Sicherheitsrisikos und wie es zu messen ist. Mittlerweile spielt (Informations-)Technologie in nahezu jedem Unternehmen vom kleinen Handwerksbetrieb bis zum Weltkonzern eine wesentliche Rolle – und Spectre führt uns vor, dass es im Grunde keinen Bereich mehr gibt (sei es Hardware oder Software), der immun gegen potenziell lähmende Sicherheitslücken ist. Die meisten Sicherheitsanstrengungen konzentrieren sich zu Recht auf Software, die im Allgemeinen anfälliger für Sicherheitsrisiken ist. Spectre trifft hingegen direkt auf die grundlegende Hardware, auf der alles läuft, so dass jeder sein Risiko neu messen und quantifizieren muss.
Wie bei WannaCry & Co. ist die Folge von Spectre, dass jeder seine Systeme patchen muss. Doch in diesem Fall ist dies ein wesentlich umfangreicheres Unterfangen, da die Bedrohung auf einem deutlich niedrigeren Level als einem spezifischen Betriebssystem auftritt. Es wurde mehrmals darauf hingewiesen, dass die Spectre-Patches wesentliche Performance-Probleme nach sich ziehen. Aus diesem Grund werden etliche Unternehmen eine entsprechende Kosten-Nutzen-Analyse anstellen. Wie hoch ist der Wert von Rechenressourcen? Wie viel von meiner Rechenleistung bin ich bereit, aufzugeben, um den potenziellen Schaden durch diese Sicherheitslücke zu mildern? Sind die Kosten einer Datenpanne größer als die Kosten, die durch das Patchen entstehen?
Einige Unternehmen werden entsprechend nicht patchen und letztlich darauf wetten, dass sie geschützt bleiben. Aber nicht jedes Unternehmen wird diese Wette gewinnen: Wir werden in Zukunft erhebliche Datenschutzverstöße sehen, die daraus resultieren, dass Organisationen das potenzielle Risiko falsch kalkuliert haben. Mit der DSGVO kommt nun im Mai ein Faktor ins Spiel, der diese Kalkulationen in Richtung Sicherheit kippen lassen könnte. Bezieht man die angedrohten hohen Strafgelder mit ein und weist der Datensicherheit damit einen wirklichen Wert zu, wird nicht IT-Sicherheit zum Kostenfaktor sondern ihr Mangel. Und damit unsere Systeme und Daten (hoffentlich) sicherer.
Wenn man einmal die technischen Details von Spectre beiseitelässt, ergeben sich für Unternehmen fundamental neue Herausforderungen. Dies betrifft zuallererst die Frage des IT-Sicherheitsrisikos und wie es zu messen ist. Mittlerweile spielt (Informations-)Technologie in nahezu jedem Unternehmen vom kleinen Handwerksbetrieb bis zum Weltkonzern eine wesentliche Rolle – und Spectre führt uns vor, dass es im Grunde keinen Bereich mehr gibt (sei es Hardware oder Software), der immun gegen potenziell lähmende Sicherheitslücken ist. Die meisten Sicherheitsanstrengungen konzentrieren sich zu Recht auf Software, die im Allgemeinen anfälliger für Sicherheitsrisiken ist. Spectre trifft hingegen direkt auf die grundlegende Hardware, auf der alles läuft, so dass jeder sein Risiko neu messen und quantifizieren muss.
Kosten-Nutzen-Abwägung
Wie bei WannaCry & Co. ist die Folge von Spectre, dass jeder seine Systeme patchen muss. Doch in diesem Fall ist dies ein wesentlich umfangreicheres Unterfangen, da die Bedrohung auf einem deutlich niedrigeren Level als einem spezifischen Betriebssystem auftritt. Es wurde mehrmals darauf hingewiesen, dass die Spectre-Patches wesentliche Performance-Probleme nach sich ziehen. Aus diesem Grund werden etliche Unternehmen eine entsprechende Kosten-Nutzen-Analyse anstellen. Wie hoch ist der Wert von Rechenressourcen? Wie viel von meiner Rechenleistung bin ich bereit, aufzugeben, um den potenziellen Schaden durch diese Sicherheitslücke zu mildern? Sind die Kosten einer Datenpanne größer als die Kosten, die durch das Patchen entstehen?
Einige Unternehmen werden entsprechend nicht patchen und letztlich darauf wetten, dass sie geschützt bleiben. Aber nicht jedes Unternehmen wird diese Wette gewinnen: Wir werden in Zukunft erhebliche Datenschutzverstöße sehen, die daraus resultieren, dass Organisationen das potenzielle Risiko falsch kalkuliert haben. Mit der DSGVO kommt nun im Mai ein Faktor ins Spiel, der diese Kalkulationen in Richtung Sicherheit kippen lassen könnte. Bezieht man die angedrohten hohen Strafgelder mit ein und weist der Datensicherheit damit einen wirklichen Wert zu, wird nicht IT-Sicherheit zum Kostenfaktor sondern ihr Mangel. Und damit unsere Systeme und Daten (hoffentlich) sicherer.