Für Unternehmen gibt es wohl kaum eine schlimmere Vorstellung: Ein Firmenrechner wird geklaut oder verloren und Hacker können dank einer Sicherheitslücke in der Firmware, Cold Boot genannt, sämtliche Passwörter und Unternehmensdaten aus dem Arbeitsspeicher des Geräts auslesen.
Das alles trotz Verschlüsselung des Geräts.
Eigentlich ist der Cold-Boot-Angriff bereits zehn Jahre alt. Forscher des Virenschutz-Herstellers F-Secure haben nun jedoch herausgefunden, dass der Schutzmechanismus moderner Notebooks umgangen werden kann. Wie das geht und wie Sie sich am besten schützen, lesen Sie hier.
Selbst die Verschlüsselung von Firmenlaptops schützt bei Diebstahl nicht vor einem Ausnutzen von Cold Boot. (Bild: pixabay,com/typographyimages)
Cold Boot: Schwachstelle in Notebook-Firmware
Bereits im Jahr 2008 entdeckten Sicherheitsforscher Cold Boot – eine Angriffsmöglichkeit, bei der Hacker den Arbeitsspeicher (RAM) auslesen können. Normalerweise speichert der Arbeitsspeicher Informationen nur, solange er an den Strom angeschlossen ist. Da die einzelnen Speicherbereiche des RAM mehrmals pro Sekunde neu geschrieben werden, ist der Arbeitsspeicher eigentlich gut gegen Angriffe geschützt.
Wird ein Rechner jedoch unter extremen Bedingungen wie extremer Kälte betrieben, verzögert sich das Neuschreiben des Arbeitsspeicherinhalts deutlich. So kann dieser sogar mehrere Minuten erhalten bleiben. Genau das nutzt Cold Boot aus und ermöglicht es Angreifern, den Inhalt des Arbeitsspeichers mit einem anderen Betriebssystem auszulesen, erklärt Moritz Tremmel.
Eigentlich ist der Arbeitsspeicher neuer Notebooks mit einem Schutzmechanismus gegen die Cold-Boot-Attacke geschützt. Allerdings, so zeigen die Forscher von F-Secure, können Angreifer, die physischen Zugriff auf das Gerät haben, diesen Schutz leicht umgehen. Besonders problematisch: Selbst Geräte, die mit einer Verschlüsselung vor Zugriffen geschützt sind, sind von der Schwachstelle in der Firmware betroffen.
Lesen Sie auch: Verschlüsselungsverfahren – mehr Sicherheit in der Cloud
Auch Verschlüsselung schützt nicht vor Cold Boot
Um einen Angriff erfolgreich durchzuführen, müssen Angreifer physischen Zugriff auf das Gerät haben. Dann ist auch ein modernes Notebook nicht mehr gegen den Cold-Boot-Angriff geschützt, erklärten die F-Secure-Forscher in einem Blogpost. Hacker bräuchten nur rund fünf Minuten, um die Schwachstelle in der Firmware der Geräte auszunutzen. Sie können so leicht an sensible Firmendaten gelangen – selbst wenn die Festplatte mit einer Verschlüsselung geschützt ist.
Haben Angreifer erstmal physischen Zugriff auf einen Firmenlaptop können sie mit einem einfachen Hardware-Tool den Speicherchip überschreiben. Anschließend können die Angreifer ein externes Gerät booten, von dem aus der Cold-Boot-Angriff gestartet und Daten ausgelesen werden können. Die Schwachstelle ist tief in der Firmware moderner Notebooks verwurzelt, sodass es effektiv keinen Schutz davor gibt. Wie ein Angriff genau funktioniert, zeigt das folgende Video:
Sie sehen gerade einen Platzhalterinhalt von Youtube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Selbst mit Verschlüsselung des Rechners droht Datenverlust
Bedenkt man, wie viele Geräte jährlich Verlust oder Diebstahl zum Opfer werden, ist Cold Boot wieder zu einer großen Gefahrenquelle geworden. Besonders beim Diebstahl bzw. dem Verlust von Firmenlaptops droht den betroffenen Unternehmen Datenverlust. Das Problem dabei: Nur wenige Unternehmen sind auf Angriffe vorbereitet, bei denen sich die Hacker physischen Zugriff auf Firmenlaptops verschafft haben.
Auch fehlende Kommunikation, dass eine solche Schwachstelle in der Notebook-Firmware verbreiteter Gerätemarken besteht, kritisieren die Sicherheitsforscher von F-Secure. So seien zahlreiche Unternehmen gegenüber Datenverlust verwundbar, heißt es im genannten Artikel weiter.
Auch interessant: Datensicherung – Worauf Sie beim Backup-Management achten sollten
Grund dafür ist einerseits, dass sich auf nahezu jedem Firmenlaptop Zugangsdaten zum Unternehmensnetz befinden. Andererseits gibt es keine softwareseitige Lösung des Problems, d.h. selbst ein bestehendes Patch-Management oder eine Verschlüsselung der Festplatte sind keine Garantie, dass das Gerät nicht trotzdem einem Cold-Boot-Angriff zum Opfer fällt.
Schutz vor Cold Boot – das können Sie tun
Da die Schwachstelle tief in der Firmware moderner Notebooks steckt, gibt es kaum einen effektiven Schutz. Die Hersteller sind zwar über die Schwachstelle informiert, spielen das Risiko laut des oben genannten Artikels von Schmitz aber herunter. Dennoch können Sie in Ihrem Unternehmen einige grundsätzliche Vorkehrungen treffen, um sich vor Angriffen per Cold Boot zu schützen.
Besonders wichtig ist dabei ein entsprechender Reaktionsplan, wenn Firmengeräte gestohlen oder verloren werden. Ein Device-Management hilft Ihnen dabei, alle Firmenrechner und mobile Geräte in Ihrem Unternehmen zu erfassen und wenn nötig auch aus der Ferne löschen oder sperren zu können.
Lesen Sie auch: Mobilgeräte sicher verwalten
Notebook-Konfiguration anpassen
Außerdem können Sie die Konfiguration Ihrer Firmenlaptops anpassen, sodass diese sich automatisch ausschalten oder in den Schlafmodus versetzt werden. Bei jedem Hochfahren oder Wiederherstellen wird anschließend die Bitlocker-PIN abgefragt. Und natürlich ist Aufklärung wichtig. Insbesondere Führungskräfte und Außendienstmitarbeiter sollten über die Gefahr durch Cold Boot unterrichtet werden und entsprechende Sicherheitsvorkehrungen treffen.
Sie benötigen Unterstützung bei der Einführung geeigneter Sicherheitsmaßnahmen für Ihre IT-Sicherheit? Dann helfen Ihnen die Dienstleister des IT-SERVICE.NETWORKS gern weiter. Viele hilfreiche Informationen und einen IT-Sicherheitsschnellcheck finden Sie auch in unseren Whitepapern zum Thema IT-Sicherheit.
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung