Nachrichten

Vor allem SSD-Performance leidet

Meltdown und Spectre: Intel und Microsoft sprechen über Leistungseinbußen nach Updates

Prozessoren | HT4U.net
Meltdown und Spectre haben mit ihren Sicherheitslücken in Prozessoren für erhebliches Aufsehen gesorgt, und die Nachrichten der letzten Tage waren überfüllt mit Informationen hierzu. Erstmals haben nun Microsoft und Intel über mögliche Leistungseinbußen gesprochen. Intel hat zudem damit begonnen, Microcode-Updates für Mainboard-Hersteller auszuliefern, damit diese ihre BIOS-Versionen auf den neuesten Stand bringen können. Dabei bleibt es aber höchst fraglich, ob und in welchem Umfang die Mainboard-Hersteller solche Updates für ihre Vielfalt an Produkten anbieten werden.

Glücklicherweise versuchen die Betroffenen die Situation nicht herunterzuspielen. Meltdown und Spectre dürfen durchaus als ein Super-GAU im Bereich Sicherheit von Prozessoren verstanden werden, auch wenn diese vielerorts heruntergespielt wird. Nicht umsonst hat heise speziell dafür auch eine FAQ aufgelegt, welche die wichtigsten Fragen beantworten soll. Zwischenzeitlich wird nun auch klar, dass nicht nur Software-Updates benötigt werden, auch Microcode-Updates – hier allen voran seitens Intel – werden benötigt, um wieder Sicherheit zu schaffen. Immer wieder schießt die Frage nach den Leistungseinbußen durch das Web. Microsoft und Intel beziehen nun erstmals Stellung zu den Fragen.

Microsoft zu Microcode-Updates und Leistungsverlusten

Windows-Chef Terry Myerson hat sich zum Thema "Meltdown" und "Spectre" geäußert und dabei auch Microsofts Vorgehen bei Windows näher beleuchtet. Seinem Cloud-Blog-Beitrag lässt sich entnehmen, dass zum Abdichten der zweiten Spectre-Variante (CVE-2017-5715) Microcode-Updates benötigt werden. Und diese sind zugleich der große Leistungskiller für Intel-Prozessoren der Generation Haswell und älter.

Die Sicherheitslücken und ihre Lösungen

Die erste Spectre-Variante (CVE-2017-5753 betrifft Intel, AMD, NVIDIA und ARM) konnte Microsoft durch Änderungen im Compiler umschiffen. Die umfangreichen Patches, die derzeit über "Windows Update" ausgeliefert werden, enthalten bereits die neu kompilierten Teile von Windows. Zusätzlich wurden Änderungen an den JavaScript-Engines der beiden Webbrowser Edge und Internet Explorer 11 vorgenommen, um Angriffe auf CVE-2017-5753 zu erschweren. Dieser Fix funktioniert ohne Microcode-Updates.

Die zweite Spectre-Variante (CVE-2017-5715 betrifft Intel, NVIDIA und ARM), welche auf die Sprungvorhersage abzielt, benötigt neue CPU-Befehle, die per Microcode-Update nachgerüstet werden müssen. Üblicherweise werden Microcode-Updates über ein UEFI-Update (BIOS) eingespielt, doch dies setzt voraus, dass der PC- oder Mainboard-Hersteller ein solches anbietet. Bei Produkten, die älter als drei Jahre sind, dürfte dies nur selten der Fall sein. Alternativ bieten auch einige Linux-Distributionen die Möglichkeit, Microcode-Updates durchzuführen.

Die Meltdown-Schwachstelle (CVE-2017-5754 betrifft Intel und ARM), die neben Prozessoren von Intel nun auch einige Modelle von ARM betrifft, wurde hingegen vollständig geschlossen. Windows sorgt hier mit seinen aktuellen Patches für eine bessere Isolierung der Seitentabellen von Kernel- und Programmspeicher, was diesen Angriffsvektor auch ohne Microcode-Update unterbindet.

CVE-2017-5715 ist der Leistungskiller

Laut Myerson hat CVE-2017-5715 die größten Auswirkungen auf die Leistung, da die Microcode-Updates bisher genutzte Optimierungen lahmlegen. Eine Beurteilung der Leistungseinbußen ist folglich erst möglich, wenn neben dem Betriebssystem auch der Prozessor aktualisiert wurde:
  • Bei der Kombination aus Windows 10 mit einer Intel-CPU der Generation Skylake, Kaby Lake oder Coffee Lake bewegen sich die Einbrüche im einstelligen Prozentbereich und machen sich in der Praxis kaum bemerkbar.
  • Trifft Windows 10 auf einen Intel-Prozessor der Haswell-Baureihe oder älter, kommt es teilweise zu signifikanten Performance-Einbußen, die man im Alltagsbetrieb durchaus bemerken kann.
  • Läuft ein Haswell oder älter unter Windows 8.1 oder Windows 7, lässt sich die Bremswirkung der Sicherheitsflicken nur schwer übersehen. Dies liegt daran, dass hier mehr Aufgaben im Kontext des Kernels ausgeführt werden.
  • Bei Windows Server ist – ganz unabhängig vom eingesetzten Prozessor – besondere Vorsicht geboten, denn I/O-intensive Aufgaben reagieren besonders heftig auf die Sicherheits-Updates. Hier muss man zwischen optimaler Sicherheit und unbedingt benötigter Leistung abwägen.


Terry Myerson merkt zudem an, dass die gesamte IT-Branche bei der Bekämpfung dieser Schwachstellen noch am Anfang stehe. Microsoft werde versuchen, die Auswirkungen durch weitere Optimierungen so gering wie möglich zu halten. Dennoch wird die Bekämpfung von Spectre ältere Systeme dauerhaft ausbremsen. Intel zieht dagegen nun ins Feld und versucht anhand eigener Überprüfungen aufzuzeigen, wo mit Leistungseinbußen zu rechnen ist.

Intel zu Leistungseinbußen

Während es kaum negative Auswirkungen auf die reine Rechen- oder Grafikleistung gibt, werden SSDs spürbar ausgebremst, und auch bei Web-Applikationen lassen sich die Auswirkungen mitunter wahrnehmen. Allerdings hat Intel nur die CPU-Generationen Coffee Lake, Kaby Lake und Skylake betrachtet, bei denen die Einbrüche noch am harmlosesten sind.

SYSmark2014 SE: SSDs werden gebremst

Die deutlichsten Ausschläge zeigen sich bei SYSmark2014 SE im Durchlauf "Responsiveness", wenn Windows 10 verwendet wird und im System eine SSD steckt. Hier liefert der Coffee Lake nur noch 88 Prozent seiner bisherigen Leistung, Kaby Lake rutscht auf 86 Prozent ab, und Skylake fällt bis auf 79 Prozent zurück. In Verbindung mit Windows 7 erreicht der Skylake überraschenderweise 89 Prozent, und in Kombination mit Windows 7 und einer Festplatte legt der Skylake sogar um einen Prozentpunkt zu. Die übrigen SYSmark2014-Disziplinen liefern Werte zwischen 90 und 98 Prozent, die sich im Alltag kaum bemerkbar machen.

PCMark 10: Nur geringe Einbußen

Auch bei PCMark 10 bewegen sich die Ergebnisse zwischen 93 und 99 Prozent. Klare Unterschiede zwischen den CPU-Generationen lassen sich dabei nicht erkennen, und auch Windows 7 reagiert nicht anders als Windows 10. Diese Zahlen belegen zwar einen Leistungseinbruch, doch dieser ist so gering, dass man ihn bei der täglichen Arbeit nicht bemerken wird.

3DMark Sky Diver: Keine Auswirkung auf DX11-Spiele

3DMark Sky Diver liefert Werte zwischen 97 und 101 Prozent, welche sich allesamt im Bereich der Messtoleranz bewegen. Am ehesten ist noch bei den Physikberechnungen ein minimaler Einbruch zu erkennen, doch merken wird man davon nichts. Die Unterschiede zwischen den CPU-Generationen sind marginal, Gleiches gilt für die beiden Windows-Versionen.

WebXPRT 2015: Das Web leidet

Auf Web-Applikationen haben die Korrekturen eine größere Auswirkung, die sich zumindest messtechnisch eindeutig belegen lässt. Beim Coffee Lake sinkt die Leistung unter Windows 10 auf 92 Prozent, während Kaby Lake und Skylake bis auf 90 Prozent absacken. Unter Windows 7 schlägt sich der Skylake mit 95 Prozent deutlich besser, und selbst nach dem Tausch der SSD gegen eine herkömmliche Festplatte erreicht der Skylake hier noch 92 Prozent. Man muss allerdings festhalten, dass Intel hier den modernen Webbrowser Edge (Windows 10) mit dem betagten Internet Explorer 11 (Windows 7) und somit Äpfel mit Birnen vergleicht!

BIOS-Updates kommen schleppend, wenn überhaupt

Halten wir aber fest, dass es zwingend Microcode-Updates und damit neue BIOS-Versionen für Hauptplatinen braucht, will man die Sicherheit herstellen. Das wird aber kaum schnell gehen, und nicht alle betroffenen Anwender dürften versorgt werden. Wer auf Intel-Core-Prozessoren der dritten Generation oder früher arbeitet, muss sich im Klaren sein, dass er vermutlich nicht mit solchen Updates bedient werden wird. Ab der vierten CPU-Generation von Intel-Core-Modellen sieht die Sache durchaus besser aus, aber bis tatsächlich all die Vielfalt an Mainboards im Markt ein Update erhält, dürfte lange Zeit in Anspruch nehmen. Ob überhaupt die gesammelte Fraktion an Notebook- und Desktop-Herstellern darauf drängen wird, für die günstigen Laptops und Desktops im Markt von den Board-Herstellern ein Update zu erhalten, bleibt zudem die Frage. Die Ressourcen an Arbeitskräften auf der einen oder anderen Seite sind mit Sicherheit nicht vorhanden.

Und so bleibt die Frage, ob all die Anwender da draußen mit ihrer betroffenen Hardware diese nun abschalten, bis die Sicherheit gewährleistet wird. Wohl kaum. Und spätestens nun, nach all dem Wirbel um Meltdown und Spectre, dürfen wir uns darauf einstellen, dass es genügend Kriminelle geben wird, welche Energie darauf setzen werden, dass diese Schwachstellen eben nicht geschlossen und ausgenutzt werden können. Nein, wir dürfen durchaus von einem Super-GAU sprechen.

Autor: mid
[]