Umgang mit hardwarebasierten Sicherheitslücken Meltdown und Spectre

Nach unserer ersten Stellungnahme möchten wir uns heute erneut zu den hardwarebasierenden Sicherheitslücken Meltdown und Spectre melden. Es sei direkt gesagt und unterstrichen, dass wir uns bei DomainFactory, wie auch im gesamten Mutterkonzern GoDaddy, um alles kümmern. Die Sicherheit Ihrer Daten hat bei uns absoluten Vorrang und Eingriffe durch Sie sind nicht erforderlich.

Direkt nach dem Bekanntwerden der Sicherheitslücken haben wir alle unsere Systeme nach Verwundbarkeit geprüft und entsprechende Pläne für Updates erstellt. Hierbei ist es wichtig zu wissen, dass wir die jeweiligen Server in Gruppen organisieren wie Beispielsweise Mailserver, Cloud oder Webserver. Die Software auf den einzelnen Systemen innerhalb der Gruppen ist weitestgehend gleich. Sie unterscheiden sich aber nach genutztem Kernel und Versionen von Distributionen. Einzelne Gruppen sind jeweils zuständigen Experten in der Technik zugeordnet. Erscheinen Patches, können sie direkt tätig werden und nach sorgfältigen Vorabtests auf Probleme und Seiteneffekte eine Einspielung vornehmen. Stehen keine Patches zur Verfügung und sind auch nicht zeitnah absehbar, erfolgt eine Prüfung nach anderen Möglichkeiten der Absicherung, wie beispielsweise durch Upgrades auf andere Versionen. Diese Prüfung und deren Umsetzung benötigt Zeit, wir versichern aber, mit größter Sorgfalt und der gebotenen Schnelligkeit vorzugehen. Gleichwohl möchten wir erwähnen, dass wir auf die Bereitstellung von Patches der jeweiligen Hersteller angewiesen sind. Hier arbeiten wie intensiv mit diesen konzernweit zusammen.

Wenn durch Aktualisierungen Beeinträchtigungen zu erwarten sind, informieren wir selbstverständlich wie gewohnt auf unsere Statusseite, ggf. gesondert in unserem Kundenforum oder hier im Blog. In besonders gravierenden Fällen direkt per E-Mail an Sie als unsere Kunden. Natürlich fassen wir bestmöglich Maßnahmen zusammen, um die Beeinträchtigungen so klein wie möglich für Sie zu halten. Für die Unannehmlichkeiten diesbezüglich bitten wir um Entschuldigung, hoffen aber auf Ihr Verständnis.

Wir bitten ebenfalls um Verständnis, dass wir vorwiegend aus Gründen der Sicherheit keine Details über Distributionen, einzelnen Gruppen, spezielle Systeme und genauen Stand von Updates herausgeben.

Für unser Cloudangebot JiffyBox, stellen wir aktualisierte PV-Kernel bereit, die Sie nutzen können. Details dazu finden Sie in unserem Forum.

Für weitere technische Details zu den Sicherheitslücken gibt es zahlreiche Informationsseiten im Internet. Hervorheben möchten wir die FAQ des Computermagazins c’t und die ständig aktualisierten Seiten der Wikipedia mit vielen weiteren Verlinkungen zu Meltdown und Spectre.

Wir möchten abschließend hervorheben, dass uns keinerlei Ausnutzung der Sicherheitslücken bei DomainFactory bekannt sind und wir uns der Überwachung ebenfalls mit größter Aufmerksamkeit widmen.