Sysbus
ArtikelSecurity

Pre-Boot-Authentifizierung: Verschlüsselung ohne PBA schützt weder ausreichend, noch ist sie Compliance-konform

gg

Datenübergriffe gehen tiefer als bloß bis zur Hardware-Ebene
Auch wird behauptet, dass die Pre-Boot-Authentifizierung nur notwendig ist, um sich vor RAM Angriffen zu schützen, bei denen der Angreifer direkten Zugriff auf den RAM hat – entweder physisch oder über einen DMA-Port.

Das ist ebenso falsch. Speicherangriffe sind nicht die einzigen möglichen Angriffe. Ist Windows erst gestartet und das Laufwerk „entsperrt“, bietet die Festplattenverschlüsselung keinen kryptografischen Schutz mehr, der deutlich leistungsstärker ist als die native Betriebssystemsicherheit. Wenn man einen Computer automatisch bis zur Betriebssystem-Eingabeaufforderung booten lässt, vertraut man ganz auf die Sicherheit von Betriebssystem und Geräte-Hardware. Man muss sich darauf verlassen, dass der Anmeldebildschirm des Betriebssystems Angreifer fernhält und, dass das Gerät keine Daten über LAN, WAN oder andere Ports oder Verbindungen nach außen lässt. Und das, obwohl der Datenverschlüsselungs-Key im Klartext im Speicher vorhanden ist und alle Daten lesbar sind.

Moderne Betriebssysteme bestehen aus Millionen von Codezeilen und sind sehr komplex. Auch die Computer-Hardware entwickelt sich rasant weiter. Zusammen bilden sie eine riesige Angriffsfläche mit unzähligen potenziell unbekannten Schwachstellen. Es ist sehr schwierig, wenn nicht gar unmöglich, ein angemessenes Maß an Sicherheit zu schaffen, damit eine Authentifizierung vor der Entschlüsselung überflüssig wird.

Sicherheit versus Benutzerfreundlichkeit
Die Argumentation gegen die Pre-Boot-Authentifizierung scheint mehr auf Benutzerfreundlichkeit und hohen Gesamtbetriebskosten als auf Sicherheitsgründen zu beruhen. Kurz: Eine Authentifizierung mittels kryptischen PINs oder Startup-Keys, und das immer und immer wieder, ist sehr unkomfortabel, wenn diese von Hand eingegeben werden müssen. Die Bearbeitung von Support-Anfragen von Nutzern, die ihren PIN vergessen oder ihren Startup-Key verloren haben, würde zu viel Zeit und Mühe kosten.

Das mag stimmen. Es bedeutet aber nicht, dass die Sicherheits- und Compliance-Standards gesenkt werden sollten, um die potenziell hohen Gesamtbetriebskosten der Pre-Boot-Authentifizierung zu vermeiden. Vielmehr sollten Unternehmen darauf achten, PBA-Lösungen einzusetzen, die diese Probleme bereits gelöst haben, etwa indem die PBA im Hintergrund und automatisiert, das heißt ohne manuelle Eingabe von PINs oder Einstecken von Startup-Keys, abläuft. Die Pre-Boot-Authentifizierung ist und bleibt ein wichtiger Bestandteil jeder Datenverschlüsselungslösung.

Ähnliche Beiträge:

  1. Die fünf Säulen effizienter und sicherer Datenverschlüsselung
  2. IGEL OS 10 unterstützt ab sofort UEFI Secure Boot
  3. True Key von Intel Security erweitert als erster Passwort-Manager mit Multi-Faktor-Authentifizierung seine Sicherheit mit Windows Hello
  4. Microsoft Inspire 2019: Microsoft kündigt neue Dienste, Investitionen und Programme für Partnerunternehmen an

Das könnte dir auch gefallen

Application Control stoppt Ransomware

gcg

Bedrohungsabwehr und Datenschutz für Microsoft Azure

gg

Anwendungsentwicklung V2X: Jenseits des eigenen Bordnetzes

gg