CPU-Sicherheitslücke: Mit welchen Leistungseinbussen musst du rechnen?

Eine gravierende Sicherheitslücke in CPUs sorgt aktuell für rauchende Köpfe in der Techindustrie. Nachdem anfangs nur von Intel-Prozessoren die Rede war, haben Sicherheitsforscher von Google bekannt gegeben, dass auch AMD und ARM betroffen sei. Das heisst, alle Chips seit 1995, egal ob in PC, Smartphone, egal ob Windows oder iOS – alle sind exponiert.

Worum geht’s?

Die Sicherheitslücke gewährt unerlaubten Zugriff auf den Speicher des Betriebssystemkerns (Kernel). Und zwar durch die Art, wie CPUs Prozesse namens «Speculative Execution» handhaben. Diese Technik sagt Prozesse voraus. Wenn auf dem Computer beispielsweise die Zahlen 1,2,3 folgen, rechnet die CPU, dass als nächstes die 4 folgt. Damit beschleunigt sie Prozesse. Trifft die 4 doch nicht ein, wird der Prozess zurückgerollt. Leider erlaubt ein Exploit in diesem System das Auslesen von Systemspeicher und damit erhalten Angreifer Zugang zu Passwörtern, Verschlüsselungen und sensiblen Informationen.

Mit Meltdown und Spectre sind bereits zwei mögliche Angriffsszenarien beschrieben worden, die dieses Leck ausnutzen könnten. Die Lücke ist seit Juni 2017 bekannt und Unternehmen wie Microsoft, Google und Amazon arbeiten seither unter Hochdruck an Gegenmitteln, um insbesondere ihre Cloud-Dienste zu sichern. Denn wer Zugriff auf eine virtuelle Maschine hat, kann sich Zugriff auf alle anderen Instanzen verschaffen, die auf der physischen Maschine laufen.

Geplant war die öffentliche Bekanntgabe des Lecks am 9. Januar. Aufgrund der vorzeitigen Bekanntgabe des Sicherheitsproblems wurde das Update nun vorverlegt. Die Betriebssysteme MacOS und Linux sind genauso von der Sicherheitslücke betroffen wie Windows. Microsoft hat bereits ein Update ausgerollt, das aufgrund unterschiedlicher Antiviren-Dienste aber noch nicht auf allen Geräten ausgespielt wurde. Die Patches, um das Leck zu stopfen, haben leider einen Haken: Sie bremsen die Leistung des Prozessors.

Falls dir das hilft: Hier eine Visualisierung des Meltdown-Hacks.

Langsamer Lösungansatz

Eine Lösung ist in Sicht, und daran arbeiten die verschiedenen Betriebssystemhersteller: Die Daten werden isoliert: Die Technik heisst «kernel page-table isolation». Damit die Lücke nicht ausgenutzt werden kann, wird nicht mit dem originalen Speicherbereich gearbeitet, sondern mit einer Kopie. Somit sieht jeder laufende Prozess wieder nur denjenigen Speicherbereich, den er tatsächlich sehen darf.

Das Anlegen dieser Kopie im Speicher kostet Performance. Die Einbussen, die mit jedem Aufruf verbunden sind, gestalten sich unterschiedlich und variieren je nach Prozessorfamilie und Anwendung. Die Schwankungen dürften darauf beruhen, dass ältere Intel-Prozessoren bei jedem Seitentabellenwechsel den Translation Lookaside Buffer (TLB) – eine Art Zwischenspeicher für kürzliche referenzierte Speicheradressen – leeren. Neuere Prozessoren meistern dies dank so genannter process-context identifiers (PCIDs) besser, schreibt der Techblog Heise.

Was tun?

Warten und Updates installieren, ist das einzige, was du tun kannst – sowohl für das Betriebssystem als auch Firmware. Die Hersteller sind gefragt, die Lücken zu stopfen. Erst mit zukünftiger Hardware wird die Lücke endgültig beseitigt sein.

Auf der folgenden Intel-Webseite findest du weitere Infos.

Wer ist wie stark betroffen?

Laufend folgen neue Updates und Patches. Mit absoluter Sicherheit werden wir die Leistungseinbussen erst beurteilen können, wenn die Updates grossflächig ausgerollt worden sind. Somit geben aktuelle Benchmarks erst eine ungefähre Einschätzung. Die meisten User dürften nicht beeinträchtigt werden mit einer Ausnahme: Anwendungen, die häufiges Wechseln von Speicheradressen auslösen, namentlich etwa das Kopieren von vielen Dateien.

Games

Der Open-Source-Guru und Kopf hinter der Linux-orientierten Webseite Phoronix Michael Larabel hat in seinen Benchmarks in Linux mit diversen Steam-Games praktisch keine Veränderungen feststellen können. Die in Games benötigten Prozesse sind vom Sicherheitspatch eher nicht betroffen. Schwein gehabt.

Videorendering

Auch in diesem Bereich hat Larabel mit einer frühen Patchversion Tests durchgeführt. Sowohl bei H.264 Video Encoding als auch FFmpeg Video Conversion konnten keine negativen Auswirkungen festgestellt werden.

Verarbeitung grosser Daten

Der Youtube-Kanal Hardware Unboxed hat auf Grund von Phoronix’ Ergebnissen SSDs durch einen Testparcours geschickt, genau wie Techspot. Beide stellten besonders im 4K-Lesebereich teils heftige Einbrüche von bis zu 23 Prozent fest. Nach dem Windows-10-Patch konnten in CPU-fokussierten Benchmarks wie 7-Zip und Cinebench hingegen fast keine Veränderungen gemessen werden.

Cloud Drives

Google zufolge haben die Updates keine negativen Auswirkungen auf Cloud Computing, obwohl dort mit riesigen Datenmengen hantiert wird.

Smartphones und Tablets

Hierzu gibt es noch keine klaren Aussagen, ob es zu Beeinträchtigungen kommen wird. Betroffen sind Android-, iOS- sowie einige Chrome-OS-Geräte. Patches werden bereits ausgeliefert. Android-Geräte mit dem letzten Sicherheitsupdate vom Januar sind bereits geschützt. Dieses haben jedoch nur die wenigsten Geräte (Google Pixel etc.) erhalten. Bei Android liegt für die User daher derzeit die grösste Gefahr. Die Praxis hat gezeigt, dass Updates ihren Weg nur quälend langsam in die Abermillionen Endgeräte finden. Von Onlinebanking, Kreditkartenzahlen etc. auf einem ungepatchten Android-Gerät ist daher bis auf Weiteres abzuraten.

Fazit

Da hat sich die Techbranche mal wieder selber ein riesen Ei gelegt. Durch das Bestreben, immer schnellere Prozessoren zu fertigen, hat man eine Sicherheitslücke hinterlassen, die nur mit Kompromissen wieder zu schliessen ist. Zwar sieht es so aus, als ob die Sicherheitspatches bald ausgerollt sind. Die Kehrseite ist, dass als Folge in bestimmten Anwendungsbereichen mit nicht zu unterschätzenden Leistungseinbussen zu rechnen ist: Primär die Verarbeitungsgeschwindigkeit beim Hantieren mit vielen Dateien, wie die Phoronix-Benchmarks zeigen. Besonders wer mit grossen Datenmengen zu tun hat, dürfte sich also über die Lücke ärgern. Es bleibt uns nichts anderes übrig, als abzuwarten. Endgültig behoben sein wird die Lücke erst mit der kommenden Generation von Chips.

Wenn du dich noch mehr in den ganzen Fall einlesen möchtest, findest du hier den sehr technischen Blog-Post von Google.

Und hier ist eine weitere praktische Übersicht und ein FAQ.