Pre-Boot-Authentifizierung: Verschlüsselung ohne PBA schützt weder ausreichend, noch ist sie Compliance-konform

Autor/Redakteur: Garry McCracken, Vice President of Technology bei WinMagic/gg

In einem aktuellen Hintergrundartikel zur Verschlüsselung mit BitLocker geht Microsoft davon aus, dass die Pre-Boot-Authentifizierung, ein seit langem bekanntes und von Compliance-Richtlinien anerkanntes Identifizierungsverfahren, für die Festplattenverschlüsselung nicht mehr wirklich notwendig sei – solange andere Sicherheitsmaßnahmen wie die Authentifizierung mittels TPM und Startup-Key umgesetzt werden können.

Der Autor Garry McCracken verantwortet den Technologie-Bereich bei WinMagic und ist anerkannter Security-Experte mit jahrzehntelanger Erfahrung in der Verschlüsselung von Daten (Bild: WinMagic)

Dem widerspreche ich. Eine Verschlüsselung ohne Pre-Boot-Authentifizierung ist in keiner Form vertraulich. Ein Computer mit einem selbstverschlüsselnden Laufwerk (SED) oder softwarebasierter Festplattenverschlüsselung (FDE), die ohne Nutzer-Validierung direkt mit einem Benutzerkonto startet, legt Daten vollständig offen und setzt sie dem Risiko zahlreicher Angriffe aus, darunter auch der kürzlich wiederauferstandene Kaltstartangriff. Dabei wird die Trägheit der Hardware, beispielsweise in Laptops, ausgenutzt. Unter bestimmten Bedingungen lassen sich aus der Hardware Verschlüsselungskeys auslesen und folglich auch die Daten auf der Festplatte. Ein Versuch von Pulse Security hat unlängst gezeigt, wie einfach sich das TPM mit Hardware für weniger als 50 Dollar und ein wenig Code-Wissen hacken lässt.

Warum ist die Pre-Boot-Authentifizierung so wichtig?
Die Pre-Boot-Authentifizierung stellt eine Umgebung außerhalb des Betriebssystems als vertrauenswürdige Authentifizierungsebene zur Verfügung. Sie verhindert, dass Daten vom Laufwerk – einschließlich des Betriebssystems – ausgelesen werden, bis der Benutzer bestätigt hat, dass er die richtigen Zugangsdaten besitzt.

Ohne Pre-Boot-Authentifizierung wird zunächst das Betriebssystem hochgefahren und erst dann der Benutzer zur Authentifizierung aufgefordert. Diese Option verlässt sich auf die Betriebssystemsicherheit des Geräts, um sensible Daten zu schützen, was übrigens nicht mit einer der bekanntesten Compliance-Richtlinien, dem PCI DSS, konform ist.

Etwas plakativer formuliert: Jemand, der behauptet, die Pre-Boot-Authentifizierung wäre unnötig, behauptet, dass es sicherer ist, Daten vor der Authentifizierung offen zu legen oder zu entschlüsseln als danach.