Anzeige

Anzeige

VERANSTALTUNGEN

eoSearchSummit
06.02.20 - 06.02.20
In Würzburg, Congress Centrum

DSAG-Technologietage 2020
11.02.20 - 12.02.20
In Mannheim, Congress Center Rosengarten

E-commerce Berlin Expo
13.02.20 - 13.02.20
In Berlin

KI Marketing Day - Konferenz
18.02.20 - 18.02.20
In Wien

DIGITAL FUTUREcongress
18.02.20 - 18.02.20
In Frankfurt a.M.

Anzeige

Anzeige

Verschlüsselung Tablet

In einem Hintergrundartikel in seinem Blog geht Microsoft davon aus, dass die Pre-Boot-Authentifizeriung, ein anerkanntes Identifizierungsverfahren bei der Verschlüsselung von Daten, nicht mehr notwendig ist. Falsch, sagt der Security-Experte Garry McCracken, Vice President of Technology Partnerships bei WinMagic.

In einem aktuellen Hintergrundartikel zur Verschlüsselung mit BitLocker geht Microsoft davon aus, dass die Pre-Boot-Authentifizierung, ein seit langem bekanntes und von Compliance-Richtlinien anerkanntes Identifizierungsverfahren, für die Festplattenverschlüsselung nicht mehr wirklich notwendig sei – solange andere Sicherheitsmaßnahmen wie die Authentifizierung mittels TPM und Startup-Key umgesetzt werden können.

Dem widerspreche ich. Eine Verschlüsselung ohne Pre-Boot-Authentifizierung ist in keiner Form vertraulich. Ein Computer mit einem selbstverschlüsselnden Laufwerk (SED) oder softwarebasierter Festplattenverschlüsselung (FDE), die ohne Nutzer-Validierung direkt mit einem Benutzerkonto startet, legt Daten vollständig offen und setzt sie dem Risiko zahlreicher Angriffe aus, darunter auch der kürzlich wiederauferstandene Kaltstartangriff. Dabei wird die Trägheit der Hardware, beispielsweise in Laptops, ausgenutzt. Unter bestimmten Bedingungen lassen sich aus der Hardware Verschlüsselungskeys auslesen und folglich auch die Daten auf der Festplatte. Ein Versuch von Pulse Security hat unlängst gezeigt, wie einfach sich das TPM mit Hardware für weniger als 50 Dollar und ein wenig Code-Wissen hacken lässt.

Warum ist die Pre-Boot-Authentifizierung so wichtig?

Die Pre-Boot-Authentifizierung stellt eine Umgebung außerhalb des Betriebssystems als vertrauenswürdige Authentifizierungsebene zur Verfügung. Sie verhindert, dass Daten vom Laufwerk – einschließlich des Betriebssystems – ausgelesen werden, bis der Benutzer bestätigt hat, dass er die richtigen Zugangsdaten besitzt.

Ohne Pre-Boot-Authentifizierung wird zunächst das Betriebssystem hochgefahren und erst dann der Benutzer zur Authentifizierung aufgefordert. Diese Option verlässt sich auf die Betriebssystemsicherheit des Geräts, um sensible Daten zu schützen, was übrigens nicht mit einer der bekanntesten Compliance-Richtlinien, dem PCI DSS, konform ist.

Etwas plakativer formuliert: Jemand, der behauptet, die Pre-Boot-Authentifizierung wäre unnötig, behauptet, dass es sicherer ist, Daten vor der Authentifizierung offen zu legen oder zu entschlüsseln als danach.

Datenübergriffe gehen tiefer als bloß bis zur Hardware-Ebene

Auch wird behauptet, dass die Pre-Boot-Authentifizierung nur notwendig ist, um sich vor RAM Angriffen zu schützen, bei denen der Angreifer direkten Zugriff auf den RAM hat – entweder physisch oder über einen DMA-Port.

Das ist ebenso falsch. Speicherangriffe sind nicht die einzigen möglichen Angriffe. Ist Windows erst gestartet und das Laufwerk „entsperrt“, bietet die Festplattenverschlüsselung keinen kryptografischen Schutz mehr, der deutlich leistungsstärker ist als die native Betriebssystemsicherheit. Wenn man einen Computer automatisch bis zur Betriebssystem-Eingabeaufforderung booten lässt, vertraut man ganz auf die Sicherheit von Betriebssystem und Geräte-Hardware. Man muss sich darauf verlassen, dass der Anmeldebildschirm des Betriebssystems Angreifer fernhält und, dass das Gerät keine Daten über LAN, WAN oder andere Ports oder Verbindungen nach außen lässt. Und das, obwohl der Datenverschlüsselungs-Key im Klartext im Speicher vorhanden ist und alle Daten lesbar sind.

Moderne Betriebssysteme bestehen aus Millionen von Codezeilen und sind sehr komplex. Auch die Computer-Hardware entwickelt sich rasant weiter. Zusammen bilden sie eine riesige Angriffsfläche mit unzähligen potenziell unbekannten Schwachstellen. Es ist sehr schwierig, wenn nicht gar unmöglich, ein angemessenes Maß an Sicherheit zu schaffen, damit eine Authentifizierung vor der Entschlüsselung überflüssig wird.

Sicherheit versus Benutzerfreundlichkeit

Die Argumentation gegen die Pre-Boot-Authentifizierung scheint mehr auf Benutzerfreundlichkeit und hohen Gesamtbetriebskosten als auf Sicherheitsgründen zu beruhen. Kurz: Eine Authentifizierung mittels kryptischen PINs oder Startup-Keys, und das immer und immer wieder, ist sehr unkomfortabel, wenn diese von Hand eingegeben werden müssen. Die Bearbeitung von Support-Anfragen von Nutzern, die ihren PIN vergessen oder ihren Startup-Key verloren haben, würde zu viel Zeit und Mühe kosten.

Das mag stimmen. Es bedeutet aber nicht, dass die Sicherheits- und Compliance-Standards gesenkt werden sollten, um die potenziell hohen Gesamtbetriebskosten der Pre-Boot-Authentifizierung zu vermeiden. Vielmehr sollten Unternehmen darauf achten, PBA-Lösungen einzusetzen, die diese Probleme bereits gelöst haben, etwa indem die PBA im Hintergrund und automatisiert, das heißt ohne manuelle Eingabe von PINs oder Einstecken von Startup-Keys, abläuft.

Die Pre-Boot-Authentifizierung ist und bleibt ein wichtiger Bestandteil jeder Datenverschlüsselungslösung.

Garry McCrackenDer Autor Garry McCracken verantwortet den Technologie-Bereich bei WinMagic und ist anerkannter Security-Experte mit jahrzehntelanger Erfahrung in der Verschlüsselung von Daten.

www.winmagic.com/de

 

Neuste Artikel

Puzzle

Demant launcht EPOS

Sennheiser Communications A/S, das Joint Venture zwischen Demant A/S und der Sennheiser Electronic GmbH & Co. KG, hatte bereits angekündigt, dass es sich in einer neuen Konstellation weiterentwickeln wird. Im Jahr 2020 endet nun das Joint-Venture.
Strategiegipfel IT Management

Die IT als Technology Innovator

Über den Weg zur digitalen IT-Organisation und wie digitale Technologien die Struktur, die Rollen und das Verständnis der IT im Unternehmen verändern, spricht CIO Sinanudin Omerhodzic, Chief Information Officer bei der Paul Hartmann AG auf dem Strategiegipfel…
Field Service Management

Field Service Management: Flexibilität als oberstes Gebot

Field Service Management-Lösungen bieten für Unternehmen viele Vorteile – von erhöhter Produktivität bis hin zu mehr Effizienz. Die Implementierung solcher Lösungen ist allerdings auch mit Herausforderungen an Management und Belegschaft verbunden.
Puzzle Hand

FireEye übernimmt Cloudvisory

FireEye, Inc. (NASDAQ: FEYE), übernimmt Cloudvisory. Mit der Akquisition, die das Unternehmen am 17. Januar 2020 abgeschlossen hat, erweitert FireEye seine Plattform Helix um Sicherheitsfunktionen für Cloud-Workloads und bietet künftig eine integrierte…
Passwort vergessen

Vergessene Passwörter kosten Firmen viel Geld

Unternehmen würden massiv IT-Kosten sparen, wenn sie komplett auf Passwörter verzichteten. Andere Formen der Authentifizierung wie beispielsweise biometrische Scans sind wesentlich kosteneffizienter und auch sicherer als gewöhnliche Passworteingaben. Das…
Firmenübernahme

Hitachi Vantara plant die Übernahme von Waterline Data

Hitachi Vantara, eine hundertprozentige Tochtergesellschaft der Hitachi, Ltd., gab seine Absicht bekannt, das Geschäft der im Privatbesitz befindlichen Waterline Data, Inc. zu übernehmen.

Anzeige

GRID LIST
USA EU Flaggen

Datenschutz: Daten-Deal mit den USA auf dem Prüfstand

Der Europäische Gerichtshof (EuGH) prüft derzeit die Zulässigkeit des 2016 geschlossenen…
Bombe

Werden Archive durch die DSGVO zur “tickenden Zeitbombe”?

Bestehende Archivsysteme sind in vielen Fällen bewusst gegen das Löschen von Daten…