Die wahren Kosten von Sicherheitslücken auf Hardware-Ebene: Geld, Leistung und Vertrauen
Schwachstellen auf Hardware-Ebene sind ein Alptraum in der IT-Welt, der Fachleute und Unternehmen gleichermaßen in Angst und Schrecken versetzt. Von frühen Beispielen bis hin zu jüngsten Entdeckungen haben diese Probleme die Branche geplagt und eine Spur von Geldverschwendung und Leistungseinbußen hinterlassen.
Eine kurze Geschichte
Der berüchtigte Intel Pentium F00F-Fehler aus den späten 90er Jahren (von seinen Freunden als "Ungültiger Operand mit gesperrtem CMPXCHG8B-Befehl" bezeichnet) dient als erschreckende Erinnerung daran, wie sich ein Hardwarefehler auf eine ganze Branche auswirken kann. Die bahnbrechenden Funktionen des Pentium wurden durch Sicherheitslücken wie diese und den FDIV-Fehlerund führten zu Misstrauen und Skepsis.
Mit Beginn des neuen Jahrtausends stießen wir auf den AMD Phenom "TLB"-Fehlerauf, der die Funktion des Translation Lookaside Buffer betraf. Dies wirkte sich auf die erste massiv verfügbare 4-Kern-CPU aus und verlangsamte die Leistung um fast 20 %.
Und damit ist die Geschichte noch nicht zu Ende.
Eine neue Ära der Komplexität
In den letzten zehn Jahren hat die Komplexität der Hardware zugenommen und damit auch die Zahl der Sicherheitslücken. Die Spectre/Meltdown Schwachstellen, die 2018 eingeführt wurden, öffneten neue Türen für Sicherheitsprobleme durch spekulative Ausführung.
Jüngste Beispiele wie Intels "Untergang", AMDs "Inception," "Zenbleed" und die Divide-by-Zero-Datenexfiltration in AMDs Zen 1-Architektur zeigen, dass das Problem noch lange nicht gelöst ist. Tatsächlich war der Divide-by-Zero-Fehler so nett, dass er zweimal behoben wurde. Vielleicht bleibt es dieses Mal dabei.
Die wirtschaftlichen Auswirkungen
Die eigentliche Frage lautet: Warum sind Sicherheitslücken auf Hardwareebene so viel wichtiger als typische Bugs? Die Antwort ist einfach: die finanziellen Auswirkungen.
Verschwendetes Geld und neue Hardware
Betrachten Sie die Entwicklung von AMDs Zen-1- zu Zen-2-Architektur. Die tatsächliche Leistungsverbesserung ist zwar umstritten, aber eine grobe Schätzung liegt sie bei 13 %. (AMDs eigene Zahlen deuten auf 29 % hin bei einigen Workloads). Vergleichen Sie dies nun mit der Leistungsauswirkungen der Korrektur für AMDs Inception, die 54 % erreicht.
Bei diesen Fehlern auf Hardwareebene handelt es sich nicht nur um Softwarepannen, sondern sie sind im Silizium selbst vorhanden. Um sie zu beheben, müssen häufig bestimmte Funktionen durch Mikrocode-Updates deaktiviert werden, was unweigerlich zu Leistungseinbußen führt.
Eine Prämie für alte Leistungen zahlen
Das eigentliche Problem sind die Kosten. Wenn Sie einen Aufpreis für die neueste Hardware-Generation zahlen, erwarten Sie eine erstklassige Leistung. Wenn jedoch eine Korrektur auf Hardwareebene vorgenommen wird, erhalten Sie im Wesentlichen Leistung der vorherigen Generation zu Preisen der neuen Generation.
Der RetBleed-Fix ist ein Beispiel dafür und bringt einen Leistungsabfall von 14% bis 39%. Sie erhalten ein Gerät, das die gleiche Leistung wie seine Vorgänger erbringt, aber den neuesten und besten Preis hat.
Abschließende Anmerkungen
Schwachstellen auf Hardwareebene sind nicht nur technische Probleme. Sie sind eine finanzielle Belastung und brechen das Vertrauen. Da immer wieder neue Schwachstellen auftauchen, steht die Branche vor der gewaltigen Herausforderung, Sicherheit, Leistung und Kosten in Einklang zu bringen.
Der wahre Grund, warum die Menschen besorgt und verärgert sind und zögern, sofort Abhilfemaßnahmen zu ergreifen, ist nicht nur der Leistungsverlust, sondern auch das Geld. Wenn das Vertrauen in die Spitzentechnologie durch unvorhergesehene Schwachstellen erschüttert wird, wirkt sich das auf Kunden, Hersteller und die Wirtschaft insgesamt aus.
Und in diesem speziellen Fall geht es nicht nur um den Sicherheitsaspekt mit seinen manchmal schwer zu erfassenden finanziellen Auswirkungen. Die Kosten für jede Schwachstelle, die sich auf das Silizium auswirkt, schlagen direkt auf den Gewinn durch. Sie brauchten mehr Leistung, um Ihre Produktionsziele zu erreichen? Sie wollten Berechnungsaufgaben rationalisieren? Jetzt müssen Sie erneut für mehr Hardware bezahlen, um wieder auf den alten Stand zu kommen.
Oder um es ganz offen zu sagen: Es ist die Wirtschaft, Dummerchen.