Suchen

Fraunhofer SIT knackt Windows-Festplattenverschlüsselung Skimming-Angriff auf TPM-basierte Bitlocker-Verschlüsselung

| Redakteur: Stephan Augsten

Trotz Hardware-basierter Verschlüsselung mit dem Trusted Platform Module lässt sich die Bitlocker-Funktion unter Windows 7, Vista und Server 2008 erfolgreich kompromittieren. Dies haben Mitarbeiter des Fraunhofer-Instituts für Sichere Informationstechnologie in der Praxis nachgewiesen. Hierfür mussten sie lediglich den System-Boot manipulieren.

Firma zum Thema

Getarnt: Die Hardware-basierte Bitlocker-Verschlüsselung lässt sich mithife einer Skimming-Maske aushebeln. Bild: Fraunhofer SIT
Getarnt: Die Hardware-basierte Bitlocker-Verschlüsselung lässt sich mithife einer Skimming-Maske aushebeln. Bild: Fraunhofer SIT
( Archiv: Vogel Business Media )

Bislang galt die Windows-eigene Bitlocker-Verschlüsselung als sicher, weil sie beim Bootvorgang die Integrität der zum Systemstart benötigten Software mit dem Trusted Platform Module (TPM) prüft. Nun hat das Fraunhofer-Insitut für Sichere Informationstechnologie (SIT) jedoch erfolgreiche Angriffe auf die TPM-basierte Festplattenverschlüsselung durchgeführt.

Dabei ist es gelungen, die Sicherheitsfunktionen von Bitlocker vollständig zu umgehen. „Das Vorgehen ist vergleichbar mit Skimming-Angriffen an Geldautomaten“, erläutert Fraunhofer-Mitarbeiter Jan Steffan. Der Angreifer müsse nur kurz auf den geschützten Rechner zugreifen. So könne er die Startroutine von Bitlocker durch ein eigenes Programm ersetzen, das eine PIN-Abfrage vortäuscht.

„Wir haben einfach die Tatsache ausgenutzt, dass sich Bitlocker dabei selbst mit Hilfe des TPM überprüft“, sagt Jan Trukenmüller. „Ersetzt man Bitlocker durch ein eigenes Programm, überprüft niemand mehr, ob die PIN-Eingabeaufforderung tatsächlich echt ist.“ Startet der User seinen Computer, scheint dieser wie gewohnt nach der Bitlocker-PIN zu fragen. Stattdessen ist jedoch das Programm aktiv, das die geheime PIN im Klartext auf der Festplatte hinterlegt.

Nach der PIN-Eingabe entfernt sich das Programm automatisch, stellt die Bitlocker-Startroutine wieder her und startet den Rechner neu. Bitlocker funktioniert jetzt wieder wie gewohnt. Einziges Indiz für den Angriff ist der unerwartete Neustart des Computers.

Verschafft sich der Angreifer ein zweites Mal Zugang zum Computer, findet er die PIN direkt auf der Festplatte und kann die geschützten Daten entschlüsseln. Somit könnten Industriespione in Unternehmen gezielt auf Datenfang gehen. Das Fraunhofer SIT veranschaulicht den erfolgreichen Angriff auf die TPM-basierte Festplatten-Verschlüsselung in einem Video.

Nichtsdestotrotz ist Bitlocker laut Trukenmüller eine gute Lösung zur Festplattenverschlüsselung. „Vor der häufigsten Bedrohung für sensible Daten auf Festplatten – dem Verlust oder Diebstahl von Computern – schützt Bitlocker gut.“

(ID:2042509)