Anzeige

Verschlüsselung Tablet

In einem Hintergrundartikel in seinem Blog geht Microsoft davon aus, dass die Pre-Boot-Authentifizeriung, ein anerkanntes Identifizierungsverfahren bei der Verschlüsselung von Daten, nicht mehr notwendig ist. Falsch, sagt der Security-Experte Garry McCracken, Vice President of Technology Partnerships bei WinMagic.

In einem aktuellen Hintergrundartikel zur Verschlüsselung mit BitLocker geht Microsoft davon aus, dass die Pre-Boot-Authentifizierung, ein seit langem bekanntes und von Compliance-Richtlinien anerkanntes Identifizierungsverfahren, für die Festplattenverschlüsselung nicht mehr wirklich notwendig sei – solange andere Sicherheitsmaßnahmen wie die Authentifizierung mittels TPM und Startup-Key umgesetzt werden können.

Dem widerspreche ich. Eine Verschlüsselung ohne Pre-Boot-Authentifizierung ist in keiner Form vertraulich. Ein Computer mit einem selbstverschlüsselnden Laufwerk (SED) oder softwarebasierter Festplattenverschlüsselung (FDE), die ohne Nutzer-Validierung direkt mit einem Benutzerkonto startet, legt Daten vollständig offen und setzt sie dem Risiko zahlreicher Angriffe aus, darunter auch der kürzlich wiederauferstandene Kaltstartangriff. Dabei wird die Trägheit der Hardware, beispielsweise in Laptops, ausgenutzt. Unter bestimmten Bedingungen lassen sich aus der Hardware Verschlüsselungskeys auslesen und folglich auch die Daten auf der Festplatte. Ein Versuch von Pulse Security hat unlängst gezeigt, wie einfach sich das TPM mit Hardware für weniger als 50 Dollar und ein wenig Code-Wissen hacken lässt.

Warum ist die Pre-Boot-Authentifizierung so wichtig?

Die Pre-Boot-Authentifizierung stellt eine Umgebung außerhalb des Betriebssystems als vertrauenswürdige Authentifizierungsebene zur Verfügung. Sie verhindert, dass Daten vom Laufwerk – einschließlich des Betriebssystems – ausgelesen werden, bis der Benutzer bestätigt hat, dass er die richtigen Zugangsdaten besitzt.

Ohne Pre-Boot-Authentifizierung wird zunächst das Betriebssystem hochgefahren und erst dann der Benutzer zur Authentifizierung aufgefordert. Diese Option verlässt sich auf die Betriebssystemsicherheit des Geräts, um sensible Daten zu schützen, was übrigens nicht mit einer der bekanntesten Compliance-Richtlinien, dem PCI DSS, konform ist.

Etwas plakativer formuliert: Jemand, der behauptet, die Pre-Boot-Authentifizierung wäre unnötig, behauptet, dass es sicherer ist, Daten vor der Authentifizierung offen zu legen oder zu entschlüsseln als danach.

Datenübergriffe gehen tiefer als bloß bis zur Hardware-Ebene

Auch wird behauptet, dass die Pre-Boot-Authentifizierung nur notwendig ist, um sich vor RAM Angriffen zu schützen, bei denen der Angreifer direkten Zugriff auf den RAM hat – entweder physisch oder über einen DMA-Port.

Das ist ebenso falsch. Speicherangriffe sind nicht die einzigen möglichen Angriffe. Ist Windows erst gestartet und das Laufwerk „entsperrt“, bietet die Festplattenverschlüsselung keinen kryptografischen Schutz mehr, der deutlich leistungsstärker ist als die native Betriebssystemsicherheit. Wenn man einen Computer automatisch bis zur Betriebssystem-Eingabeaufforderung booten lässt, vertraut man ganz auf die Sicherheit von Betriebssystem und Geräte-Hardware. Man muss sich darauf verlassen, dass der Anmeldebildschirm des Betriebssystems Angreifer fernhält und, dass das Gerät keine Daten über LAN, WAN oder andere Ports oder Verbindungen nach außen lässt. Und das, obwohl der Datenverschlüsselungs-Key im Klartext im Speicher vorhanden ist und alle Daten lesbar sind.

Moderne Betriebssysteme bestehen aus Millionen von Codezeilen und sind sehr komplex. Auch die Computer-Hardware entwickelt sich rasant weiter. Zusammen bilden sie eine riesige Angriffsfläche mit unzähligen potenziell unbekannten Schwachstellen. Es ist sehr schwierig, wenn nicht gar unmöglich, ein angemessenes Maß an Sicherheit zu schaffen, damit eine Authentifizierung vor der Entschlüsselung überflüssig wird.

Sicherheit versus Benutzerfreundlichkeit

Die Argumentation gegen die Pre-Boot-Authentifizierung scheint mehr auf Benutzerfreundlichkeit und hohen Gesamtbetriebskosten als auf Sicherheitsgründen zu beruhen. Kurz: Eine Authentifizierung mittels kryptischen PINs oder Startup-Keys, und das immer und immer wieder, ist sehr unkomfortabel, wenn diese von Hand eingegeben werden müssen. Die Bearbeitung von Support-Anfragen von Nutzern, die ihren PIN vergessen oder ihren Startup-Key verloren haben, würde zu viel Zeit und Mühe kosten.

Das mag stimmen. Es bedeutet aber nicht, dass die Sicherheits- und Compliance-Standards gesenkt werden sollten, um die potenziell hohen Gesamtbetriebskosten der Pre-Boot-Authentifizierung zu vermeiden. Vielmehr sollten Unternehmen darauf achten, PBA-Lösungen einzusetzen, die diese Probleme bereits gelöst haben, etwa indem die PBA im Hintergrund und automatisiert, das heißt ohne manuelle Eingabe von PINs oder Einstecken von Startup-Keys, abläuft.

Die Pre-Boot-Authentifizierung ist und bleibt ein wichtiger Bestandteil jeder Datenverschlüsselungslösung.

Garry McCrackenDer Autor Garry McCracken verantwortet den Technologie-Bereich bei WinMagic und ist anerkannter Security-Experte mit jahrzehntelanger Erfahrung in der Verschlüsselung von Daten.

www.winmagic.com/de

 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Privacy-Shield

Google, Amazon und Co. nach Schrems II – Wie geht es weiter?

Der Europäische Gerichtshof hat das Privacy-Shield Abkommen mit den USA in dem sog. Schrems II Urteil für ungültig erklärt. Auch die Anwendung der EU-Standardvertragsklauseln oder von verbindlichen Unternehmensregeln hält das european data protecion board…
Privacy

Privatsphäre und Daten im Internet schützen: Die besten Tipps

Die Evolution des Internets und der digitalen Welt ist nicht aufzuhalten und das ist gut so. Das Internet 2.0 bietet immer vielfältigere Möglichkeiten und es kann mit Spannung erwartet werden, auf welche tollen Neuerungen wir uns in Zukunft noch freuen…
Datentransfer

Datentransfer an Dritte ist die größte Sorge der deutschen Verbraucher

Inwiefern hat sich das Einkaufsverhalten von Kunden seit Beginn der Covid-19-Pandemie vom stationären auf den Onlinehandel verlagert? Welche Dinge stören deutsche Verbraucher am meisten, wenn sie ein Online-Nutzerkonto anlegen? Was sind die beliebtesten…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!