Mittwoch, 10. Januar 2018

Meltdown & Spectre: Sicherheitslücken in Mikroprozessoren tangieren die Einführung der Telematikinfrastruktur


Telematik im Gesundheitswesen bezeichnet die Verbindung von Telekommunikation und Informatik mit der Zielsetzung, den Akteuren im Gesundheitswesen (Ärzten, Kran- kenhäusern, Apotheken, weiteren Leistungserbringern und Kostenträgern) relevante Informationen umfänglicher, schneller und für den jeweiligen Nutzungskontext aufbereitet zur Verfügung zu stellen. Zunehmende Spezialisierung ärztlicher Tätigkeit und damit einhergehende auch sektorenübergreifende Behandlungswege führen zu mehr ärztlicher „Arbeitsteilung“ und zu mehr dezentraler Datenhaltung am jeweiligen Behandlungsort. Eine in den letzten Jahren schnell anwachsende Ausdifferenzierung von Versorgungsverträgen zwischen Ärzten oder Gruppen von Ärzten und Krankenkassen sowie spezifische Vertragsformen hinsichtlich der Versorgung von Versicherten der jeweiligen Krankenkassen erhöhen die zu verarbeitende Informationsmenge und Komplexität ärztlichen Handelns. 
mehr:
- Telematik im Gesundheitswesen (Bundesärztekammer) 
Linkliste auf der Internetpräsenz der Bundesärztekammer
- E-Health-Gesetz (Bundesärztekammer)
- E-Health (Wikipedia)

==========
Meltdown ist eine Hardware-Sicherheitslücke in Mikroprozessoren, über die ein unautorisierter Zugriff auf den Speicher fremder Prozesse möglich ist.[1][2][3] Die Anfälligkeit für diese Sicherheitslücke wurde für eine Reihe von Prozessoren der Herstellers Intel[4] und des Cortex-A75-Prozessor-Designs (im Jan. 2018 noch nicht in Mobiltelefonen eingesetzt) von ARM[5] bestätigt, wohingegen AMD-Prozessoren derzeit nicht betroffen sind.[6][7] Die Meltdown-Sicherheitslücke wird unter der CVE-Nummer CVE-2017-5754 geführt.
Die Sicherheitslücke besteht konkret darin, dass im Rahmen der Out-of-order execution der Prozessor vorläufig den Inhalt einer Speicherzelle ausliest und weiterverarbeitet, obwohl der aufrufende Prozess für diesen Speicherabschnitt keine Rechte hat. Dies verändert das Laufzeitverhalten bei Zugriff auf den Cache und erlaubt mittels einer genauen Zeitmessung unter bestimmten Bedingungen einen eindeutigen Rückschluss auf den Dateninhalt, auch nachdem das Ergebnis der spekulativen Ausführungverworfen wurde. Im Prinzip stellt dieses Verfahren eine in der Kryptoanalyse als Seitenkanalattacke bekanntes Verfahren dar. [Meltdown (Sicherheitslücke), Wikipedia, abgerufen am 14.01.2018)
==========
Spectre beschreibt ein Angriffs-Szenario, bei dem Prozesse durch Sicherheitslücken in Mikroprozessoren mit Out-of-order execution Informationen des virtuellen Speichers anderer Prozesse, auf den sie normalerweise keinen Zugriff haben, auslesen können.[1][2][3] Die zu Spectre gehörenden Sicherheitslücken werden unter den CVE-Nummern CVE-2017-5715 (Branch Target Injection) und CVE-2017-5753 (Bounds Check Bypass) geführt.
Die Sicherheitslücken umgehen implementierte Sicherheitsmechanismen wie Sandboxing oder die Trennung zwischen Programmcode und vom Benutzer bereitgestelltem Code (z. B. Interpreter vs. Skript). Während der Out-of-order execution des Prozessors wird vorläufig der Inhalt einer Speicherzelle aus dem eigenen Adressraum ausgelesen, auf die der aufrufende Prozess normalerweise nicht zugreifen könnte. Dieses „vorläufige Auslesen“ hinterlässt im Cache eine von außen bemerkbare Spur, auch nachdem das Ergebnis der spekulativen Ausführung verworfen wurde. [Spectre (Sicherheitslücke), Wikipedia, abgerufen am 14.01.2018)
==========

Hamburg (ots) - Die Freie Ärzteschaft (FÄ) fordert den Stopp des Onlineanschlusses der Arztpraxen und Kliniken an das zentrale IT-System im Gesundheitswesen. "Möglicherweise ist die Sicherheit der Patientendaten gefährdet", sagte FÄ-Vizevorsitzende Dr. Silke Lüder am Mittwoch in Hamburg. "Derzeit ist unklar, ob die für den Onlineanschluss benötigten sogenannten Konnektoren jene Prozessoren enthalten, die von den soeben bekanntgewordenen Sicherheitslücken Meltdown und Spectre betroffen sind." Das Bundesamt für Sicherheit in der Informationstechnik (BSI), die Einführungsorganisation Gematik und das Bundesgesundheitsministerium müssten dies umgehend aufklären.
mehr:
Neue Sicherheitslücken bei elektronischer Gesundheitskarte? - Freie Ärzteschaft fordert Stopp der Onlineanbindung (Freie Ärzteschaft, Presseportal, 10.01.2018)

siehe auch:
- Meltdown und Spectre (heise online, Linksammlung mit Artikeln ab 05.01.2018)
- Apple bestätigt: Alle Mac- und iOS-Geräte sind von Meltdown und Spectre betroffen (t3n, 05.01.2018)

nachgehakt: Meltdown und Spectre - Was steckt hinter den Prozessorlücken? {14:16}

am 08.01.2018 veröffentlicht
heise online  
Die Sicherheitslücken Meltdown und Spectre treffen die Prozessorhersteller ins Mark – vor allem Intel. Aus den Lücken ergeben sich mehr als ein Dutzend Angriffsmöglichkeiten – ein Security-Supergau. Alle Infos zu Meltdown & Spectre: 

https://www.heise.de/thema/meltdown

aktualisiert am 14.01.2018

Keine Kommentare:

Kommentar veröffentlichen