Das Deut­sche Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­si­cher­heit (BSI) gibt in den IT-Grund­schutz­ka­ta­lo­gen kla­re Defi­ni­tio­nen für den Betrieb von Micro­soft Bit­Lo­cker — spe­zi­ell auch für den TPM Chip — gemäß dem aktu­el­len Stand der Tech­nik. Sie­he hier­zu “M 4.337 Ein­satz von Bit­Lo­cker Dri­ve Encryption”.

Die zwei wich­tigs­ten Erkennt­nis zur Authen­ti­sie­rung ohne Pin wer­den wie aus­ge­führt: (Quel­le BSI IT-Grund­schutz M 4.337 Ein­satz von Bit­Lo­cker Dri­ve Encryption)

TPM-Nut­zung ohne Benut­zer-Authen­ti­sie­rung” kann geeig­net sein, wenn die Benut­zer neben der loka­len Anmel­dung am Cli­ent oder an der Domä­ne kei­ne wei­te­re Anmel­dung und die damit ver­bun­de­nen Authen­ti­sie­rungs­mit­tel wie PIN und/oder USB ‑Stick akzep­tie­ren wür­den. Da dies den gerings­ten Schutz bie­tet, soll­te die­se Ein­stel­lung nur im Aus­nah­me­fall ver­wen­det werden.

TPM-Nut­zung ohne Benut­zer-Authen­ti­sie­rung” begüns­tigt bekann­te Angriffs­vek­to­ren, bei denen Unbe­fug­te Zugang zum Schlüs­sel­ma­te­ri­al erlan­gen, wenn sie phy­si­schen Zugang zum Sys­tem haben, Bei “Kei­ne Authen­ti­sie­rung” wird wäh­rend des Boot-Vor­gangs auto­ma­tisch das Bit­Lo­cker-Schlüs­sel­ma­te­ri­al aus dem TPM in den Arbeits­spei­cher ( RAM , Ran­dom Access Memo­ry) des Sys­tems gela­den. Dies geschieht vor der Anmel­dung eines Benut­zers. Aller­dings erfor­dern die­se Angriffs­vek­to­ren spe­zi­el­le Werk­zeu­ge und eine hohe Qua­li­fi­ka­ti­on sei­tens des Angrei­fers. Gegen die­se Angriffs­vek­to­ren wird der Ein­satz der Authen­ti­sie­rungs­mit­tel PIN und/oder USB ‑Stick empfohlen.

Secure Disk for BitLocker - TPM Nutzung

Beson­de­ren Augen­merk möch­te ich ger­ne auf die typi­sche Pro­ble­ma­tik der Fest­plat­ten-Ver­schlüs­se­lung legen: Ein Angriff auf ver­schlüs­sel­te Daten wird nicht durch Lai­en erfol­gen. Nichts des­to trotz kann der Dieb, der Inter­es­se an der gestoh­len Hard­ware hat, bereits ein Risi­ko für Unter­neh­men dar­stel­len. Viel Schlim­mer ist aber natür­lich das kri­mi­nel­le Vor­ha­ben einer Indus­trie­spio­na­ge oder einer geplan­ten Erpres­sung durch ent­wen­de­te Daten.

Hier­zu wird das Ziel­ge­rät ent­we­der Desk­top oder Note­book bzw. Tablet gestoh­len. Im Anschluss dar­an wird man ver­su­chen, die Fest­plat­te zu sichern oder zu vir­tua­li­sie­ren, um belie­big vie­le Ein­bruchs­ver­su­che rea­li­sie­ren zu kön­nen. Spe­zi­ell in vir­tua­li­sier­ten Umge­bun­gen kön­nen ein­fach Bru­te-For­ce-Atta­cken rea­li­siert werden.

Da ein pro­fes­sio­nel gestoh­le­nes Note­book kei­ne Ver­bin­dung mit dem Inter­net her­stel­len wird, sind Schutz­me­cha­nis­men wir Remo­te-Wipe oder das Löschen von Benut­zer­pass­wör­tern wir­kungs­los. Ein Angrei­fer hat eine belie­bi­ge Zeit das Ziel­ge­rät zu hacken.

Sofern auf den TPM Schutz — spe­zi­ell auch auf die TPM-PIN — ver­zich­tet wird, gibt es kei­nen aus­rei­chen­den Schutz vor Bru­te-For­ce-Angrif­fen eines Endgerätes.

Ich emp­feh­le fol­gen­de Authentisierung-Methoden:

  • ent­spre­chend der BSI Emp­feh­lung: Akti­vie­rung der TPM-PIN zur Benutzer-Authentisierung
  • oder: Akti­vie­rung des Bit­Lo­cker Pass­wort-Pro­tec­tors mit einem zumin­dest 8‑stelligen Passwort
  • in gro­ßen Unter­neh­men: Eva­lu­ie­rung des Bit­Lo­cker Add-ons Cryp­toPro Secu­re Disk for Bit­Lo­cker für die star­ke Benut­zer-Authen­ti­sie­rung mit Multi-Faktor-Authentisierung