Cold Boot gefährdet Firmenlaptops

Datenverlust trotz Verschlüsselung möglich


27. September 2018, von in IT-Sicherheit

Für Unternehmen gibt es wohl kaum eine schlimmere Vorstellung: Ein Firmenrechner wird geklaut oder verloren und Hacker können dank einer Sicherheitslücke in der Firmware, Cold Boot genannt, sämtliche Passwörter und Unternehmensdaten aus dem Arbeitsspeicher des Geräts auslesen – trotz Verschlüsselung des Geräts. 

Eigentlich ist der Cold-Boot-Angriff bereits zehn Jahre alt. Forscher des Virenschutz-Herstellers F-Secure haben nun jedoch herausgefunden, dass der Schutzmechanismus moderner Notebooks umgangen werden kann. Wie das geht und wie Sie sich am besten schützen, lesen Sie hier.

Verschlüsselung - Cold Boot - Datenverlust - Firmware - Firmenlaptop

Selbst die Verschlüsselung von Firmenlaptops schützt bei Diebstahl nicht vor einem Ausnutzen von Cold Boot. (Bild: pixabay,com/typographyimages)

Cold Boot: Schwachstelle in Notebook-Firmware

Bereits im Jahr 2008 entdeckten Sicherheitsforscher Cold Boot – eine Angriffsmöglichkeit, bei der Hacker den Arbeitsspeicher (RAM) auslesen können. Normalerweise speichert der Arbeitsspeicher Informationen nur, solange er mit Strom versorgt wird. Da die einzelnen Speicherbereiche des RAM mehrmals pro Sekunde neu geschrieben werden, ist der Arbeitsspeicher eigentlich gut gegen Angriffe geschützt.

Wird ein Rechner jedoch unter extremen Bedingungen wie extremer Kälte betrieben, verzögert sich das Neuschreiben des Arbeitsspeicherinhalts deutlich. So kann dieser sogar mehrere Minuten erhalten bleiben. Genau das nutzt Cold Boot aus und ermöglicht es Angreifern, den Inhalt des Arbeitsspeichers mit einem anderen Betriebssystem auszulesen, erklärt Moritz Tremmel.

Eigentlich ist der Arbeitsspeicher neuer Notebooks mit einem Schutzmechanismus gegen die Cold-Boot-Attacke geschützt. Allerdings, so zeigen die Forscher von F-Secure, können Angreifer, die physischen Zugriff auf das Gerät haben, diesen Schutz leicht umgehen. Besonders problematisch: Selbst Geräte, die mit einer Verschlüsselung vor Zugriffen geschützt sind, sind von der Schwachstelle in der Firmware betroffen.

Lesen Sie auch: Verschlüsselungsverfahren – mehr Sicherheit in der Cloud

Auch Verschlüsselung schützt nicht vor Cold Boot

Um einen Angriff erfolgreich durchzuführen, müssen Angreifer physischen Zugriff auf das Gerät haben. Dann ist auch ein modernes Notebook nicht mehr gegen den Cold-Boot-Angriff geschützt, erklärten die F-Secure-Forscher in einem Blogpost. Hacker bräuchten nur rund fünf Minuten, um die Schwachstelle in der Firmware der Geräte auszunutzen. Sie können so leicht an sensible Firmendaten gelangen – selbst wenn die Festplatte mit einer Verschlüsselung geschützt ist.

Haben Angreifer erstmal physischen Zugriff auf einen Firmenlaptop können sie mit einem einfachen Hardware-Tool den Speicherchip überschreiben. Anschließend können die Angreifer ein externes Gerät booten, von dem aus der Cold-Boot-Angriff gestartet und Daten ausgelesen werden können. Die Schwachstelle ist tief in der Firmware moderner Notebooks verwurzelt, sodass es effektiv keinen Schutz davor gibt. Wie ein Angriff genau funktioniert, zeigt das folgende Video:

Selbst mit Verschlüsselung des Rechners droht Datenverlust

Bedenkt man, wie viele Geräte jährlich gestohlen oder verloren werden, ist Cold Boot wieder zu einer großen Gefahrenquelle geworden. Besonders beim Diebstahl bzw. dem Verlust von Firmenlaptops droht den betroffenen Unternehmen Datenverlust. Das Problem dabei: Nur wenige Unternehmen sind auf Angriffe vorbereitet, bei denen sich die Hacker physischen Zugriff auf Firmenlaptops verschafft haben.

Auch fehlende Kommunikation, dass eine solche Schwachstelle in der Notebook-Firmware verbreiteter Gerätemarken besteht, kritisieren die Sicherheitsforscher von F-Secure laut eines Artikels von Peter Schmitz. So seien zahlreiche Unternehmen gegenüber Datenverlust verwundbar, heißt es im genannten Artikel weiter.

Auch interessant: Datensicherung – Worauf Sie beim Backup-Management achten sollten

Grund dafür ist einerseits, dass sich auf nahezu jedem Firmenlaptop Zugangsdaten zum Unternehmensnetz befinden. Andererseits gibt es keine softwareseitige Lösung des Problems, d.h. selbst ein bestehendes Patch-Management oder eine Verschlüsselung der Festplatte sind keine Garantie, dass das Gerät nicht trotzdem einem Cold-Boot-Angriff zum Opfer fällt.

Schutz vor Cold Boot – das können Sie tun

Da die Schwachstelle tief in der Firmware moderner Notebooks steckt, gibt es kaum einen effektiven Schutz. Die Hersteller sind zwar über die Schwachstelle informiert, spielen das Risiko laut des oben genannten Artikels von Schmitz aber herunter. Dennoch können Sie in Ihrem Unternehmen einige grundsätzliche Vorkehrungen treffen, um sich vor Angriffen per Cold Boot zu schützen.

Besonders wichtig ist dabei ein entsprechender Reaktionsplan, wenn Firmengeräte gestohlen oder verloren werden. Ein Device-Management hilft Ihnen dabei, alle Firmenrechner und mobile Geräte in Ihrem Unternehmen zu erfassen und wenn nötig auch aus der Ferne löschen oder sperren zu können.

Lesen Sie auch: Mobilgeräte sicher verwalten

Notebook-Konfiguration anpassen

Außerdem können Sie die Konfiguration Ihrer Firmenlaptops anpassen, sodass diese sich automatisch ausschalten oder in den Schlafmodus versetzt werden. Bei jedem Hochfahren oder Wiederherstellen wird anschließend die Bitlocker-PIN abgefragt. Und natürlich ist Aufklärung wichtig. Insbesondere Führungskräfte und Außendienstmitarbeiter sollten über die Gefahr durch Cold Boot unterrichtet werden und entsprechende Sicherheitsvorkehrungen treffen.

Sie benötigen Unterstützung bei der Einführung geeigneter Sicherheitsmaßnahmen für Ihre IT-Sicherheit? Dann helfen Ihnen die Dienstleister des IT-SERVICE.NETWORKS gern weiter. Viele hilfreiche Informationen und einen IT-Sicherheitsschnellcheck finden Sie auch in unseren Whitepapern zum Thema IT-Sicherheit.

border_color

IT-SERVICE.NETWORK – Nehmen Sie Kontakt zu uns auf!

Sie haben Fragen zur IT-Sicherheit, Cloud-Lösungen oder IT-Infrastruktur? Wir kümmern uns für Sie um alle Fragen und Probleme mit Ihrer IT.

Jetzt Kontakt aufnehmen!

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.