Was Sie über die Sicherheit von Bitlocker wissen sollten

Viele Unternehmen setzen Bitlocker ein, um damit die Daten auf etwa den Notebooks ihrer Mitarbeiter zu schützen. Sicherheitsforscher haben jedoch mehrere erfolgreiche Angriffe auf die Sicherheit von Bitlocker entwickelt. Aber es gibt relativ leicht umzusetzende Gegenmaßnahmen.

 

Symbolbild Bitlocker

In diesem Sommer hat eine Veröffentlichung der amerikanischen Sicherheitsfirma Dolos Group für Aufregung bei Sicherheitsexperten gesorgt. Das Unternehmen aus Lombard in Illinois ist auf Security- und Penetration-Tests spezialisiert. So führen sie etwa Black-Box-Assessments durch, mit denen geprüft wird, wie Angreifer sich Zugang zu einem Firmennetz verschaffen können. Zuletzt haben sie sich mit Bitlocker beschäftigt.

Das von Microsoft entwickelte Verschlüsselungssystem wird in zahllosen Unternehmen weltweit eingesetzt, um geschäftliche Daten zu schützen. Die Lösung hat auch viele Vorteile. So ist sie direkt ins Betriebssystem integriert und einfach zu bedienen. Die verwendeten Schlüssel lassen sich zudem im Active Directory ablegen und verwalten.

Verschiedene Angriffsvektoren auf Bitlocker

Die große Beliebtheit hat aber einige Risse bekommen. Bereits 2008 wurden sogenannte Cold-Boot-Attacken entdeckt. Bei einem solchen „Kaltstartangriff“ kann ein Angreifer mit physischem Zugriff auf den Computer Inhalte des Arbeitsspeichers auslesen. Davon ist auch Bitlocker betroffen. 2018 fanden Sicherheitsexperten dann heraus, dass es in Kombination mit SSDs mit Hardware-Verschlüsselung von Samsung und Crucial zu Problemen kommen kann. In dieser Verschlüsselung wurden mehrere Schwachstellen gefunden. Bitlocker geht aber davon aus, dass die betroffenen Datenträger ja bereits per Hardware-Verschlüsselung gesichert sind und wird selbst nicht aktiv. Abhilfe bringt eine Änderung der Gruppenrichtlinien. Außerdem aktiviert Microsoft Bitlocker seit der Windows-10-Version 1903 nun bei neuen Installationen automatisch.

Gefahr durch gestohlene Notebooks

Aber zurück zur Dolos Group. Die Mitarbeiter des Unternehmens stellten sich die Frage, was man mit einem gestohlenen Notebook anfangen kann, das per Bitlocker gesichert wurde. Insbesondere wollten sie wissen, ob man sich damit Zugang zum internen Netzwerk einer Firma verschaffen kann? Die Antwort auf diese Frage lautet „ja, das ist möglich“. Schritt für Schritt und gut bebildert haben die Sicherheitsexperten ihr Vorgehen dokumentiert.

Die Dolos Group verwendete für ihre Tests ein Lenovo-Notebook, über das die Experten nach eigenen Angaben keine weiteren Informationen hatten. Sie wussten also nichts über die Konfiguration und hatten auch keinen Testzugang auf das Gerät. Unter anderem waren folgende Sicherheitsmaßnahmen aktiviert:

  • Das Bios war mit einem Passwort geschützt.
  • Die Boot-Reihenfolge war nicht änderbar, so dass ein Start von USB-Stick oder DVD nicht möglich war.
  • Im BIOS war VT-d aktiviert, so dass keine DMA- oder pcileech-Attacken möglich waren.
  • Secureboot war aktiviert.
  • Die Festplatte war darüber hinaus komplett mit Bitlocker und mit Hilfe eines TPM-Chips (Trusted Platform Module) verschlüsselt.

Genau über diesen letzten Punkt verschafften sich die Mitarbeiter der Dolos Group dann letztlich den Zugang zu dem Gerät. Sie nutzten dabei aus, dass die Verschlüsselungslösung selbst nicht mit einem Passwort geschützt worden war. Das Notebook bootete direkt bis zum Login-Bildschirm von Windows 10. Das bedeutet, dass der von Bitlocker verwendete Schlüssel im TPM gespeichert wurde. Microsoft empfiehlt zwar die Verwendung einer PIN oder eines Passworts zum Schutz von Bitlocker, vorgeschrieben ist das aber nicht.

Attacke via SPI-Protokoll

Da der TPM-Chip in der Regel nicht direkt angegriffen werden kann, weil er zu gut gesichert ist, konzentrierten sich die Sicherheitsforscher auf die Kommunikation des Chips mit der CPU des Notebooks. Dabei wird das SPI-Protokoll (Serial Peripheral Interface) verwendet. SPI ist ein weit verbreitetes Protokoll, das etwa häufig in IoT-Umgebungen und in Embedded-Systemen eingesetzt wird. Aus Effizienzgründen verfügt es über keine Verschlüsselung. Das bedeutet, dass der Bitlocker-Key unverschlüsselt aus dem TPM zu Windows übertragen wird.

Der Rest war relativ einfach. Die Angreifer griffen die Daten über den CMOS-Chip ab, der sich auf dem selben Bus befindet wie das TPM. Mit Hilfe des Bitlocker-SPI-Toolkits von Henri Nurmi konnten sie den Bitlocker-Schlüssel aus den aufgezeichneten Daten extrahieren. Anschließend entfernten sie die SSD aus dem Notebook und erstellten ein komplettes Image. Dieses entschlüsselten sie mit dem Tool Dislocker und dem extrahierten Key. Das entschlüsselte Image starteten sie dann in einer virtuellen Maschine, wo sie weitere Angriffe durchführten, um letztlich an die Zugangsdaten zum Firmennetz zu kommen, zu dem das Notebook gehörte.

Ein gut vorbereiteter Angreifer kann die komplette Attacke nach Angaben der Dolos Group in weniger als 30 Minuten durchführen. Ironischerweise habe das Kopieren der 256 GByte großen SSD noch am längsten gedauert. Einen weiteren Angriff auf Bitlocker hat auch der neuseeländische Sicherheitsforscher Denis Andzakovic entwickelt. Er verbindet dazu ein FPGA-Board (Field Programmable Gate Array) mit dem Rechner und liest so ebenfalls den von Bitlocker verwendeten Schlüssel aus.

Das böse Dienstmädchen

All diesen erfolgreichen Angriffen auf Bitlocker sind mehrere Punkte gemein. So erfordern sie einen physischen Zugriff zu dem Computer, dessen Verschlüsselung geknackt werden soll. Dieser könnte zum Beispiel durch Personal in einem Hotel durchgeführt werden. Sie werden daher auch Evil-Maid-Angriffe genannt, können aber auch relativ leicht bei etwa einem Grenzübertritt durchgeführt werden.

Eine weitere Gemeinsamkeit ist, dass Bitlocker selbst nicht durch ein Passwort geschützt worden war. Das ist auch die Maßnahme, die sich relativ leicht korrigieren lässt. Microsoft selbst empfiehlt Unternehmen daher die Nutzung von Richtlinien, die eine Authentifizierung vor dem Start von Bitlocker vorschreiben. Weitere Informationen dazu hat der Hersteller hier zusammengestellt.

Empfehlung für mit Bitlocker gesicherte Datenträger

Wir wir gezeigt haben, ist es also in bestimmten Fällen möglich, auf mit Bitlocker verschlüsselte Datenträger zuzugreifen. Wir empfehlen daher die revisionssichere, zertifizierte und DSGVO-konforme Datenlöschung nicht mehr von Ihnen benötigter Datenträger. Sprechen Sie uns an, wir helfen Ihnen gerne weiter.

Cookie-Einstellungen
Diese Website verwendet Cookies. Diese werden für den Betrieb der Website benötigt oder helfen uns dabei, die Website zu verbessern.
Alle Cookies zulassen
Auswahl zulassen
Individuelle Einstellungen
Individuelle Einstellungen
Dies ist eine Übersicht aller Cookies, die auf der Website verwendet werden. Sie haben die Möglichkeit, individuelle Cookie-Einstellungen vorzunehmen. Geben Sie einzelnen Cookies oder ganzen Gruppen Ihre Einwilligung. Essentielle Cookies lassen sich nicht deaktivieren.
Speichern
Abbrechen
Essenziell (1)
Essenzielle Cookies werden für die grundlegende Funktionalität der Website benötigt.
Cookies anzeigen
Statistik (1)
Statistik Cookies tracken den Nutzer und das dazugehörige Surfverhalten um die Nutzererfahrung zu verbessern.
Cookies anzeigen
Marketing (0)
Wir verwenden Marketing-Cookies um unsere digitalen Werbemaßnahmen effizient steuern zu können.
Cookies anzeigen
Funktional (1)
Cookies die uns helfen bestimmte Funktionen unserer Website bereitzustellen. Zum Beispiel einen Livechat.
Cookies anzeigen