Das Deutsche Bun­de­samt für Sicher­heit in der Infor­ma­tion­ssicher­heit (BSI) gibt in den IT-Grund­schutzkat­a­lo­gen klare Def­i­n­i­tio­nen für den Betrieb von Microsoft Bit­Lock­er — speziell auch für den TPM Chip — gemäß dem aktuellen Stand der Tech­nik. Siehe hierzu “M 4.337 Ein­satz von Bit­Lock­er Dri­ve Encryp­tion”.

Die zwei wichtig­sten Erken­nt­nis zur Authen­tisierung ohne Pin wer­den wie aus­ge­führt: (Quelle BSI IT-Grund­schutz M 4.337 Ein­satz von Bit­Lock­er Dri­ve Encryp­tion)

TPM-Nutzung ohne Benutzer-Authen­tisierung” kann geeignet sein, wenn die Benutzer neben der lokalen Anmel­dung am Client oder an der Domäne keine weit­ere Anmel­dung und die damit ver­bun­de­nen Authen­tisierungsmit­tel wie PIN und/oder USB ‑Stick akzep­tieren wür­den. Da dies den ger­ing­sten Schutz bietet, sollte diese Ein­stel­lung nur im Aus­nah­me­fall ver­wen­det wer­den.

TPM-Nutzung ohne Benutzer-Authen­tisierung” begün­stigt bekan­nte Angriffsvek­toren, bei denen Unbefugte Zugang zum Schlüs­sel­ma­te­r­i­al erlan­gen, wenn sie physis­chen Zugang zum Sys­tem haben, Bei “Keine Authen­tisierung” wird während des Boot-Vor­gangs automa­tisch das Bit­Lock­er-Schlüs­sel­ma­te­r­i­al aus dem TPM in den Arbeitsspe­ich­er ( RAM , Ran­dom Access Mem­o­ry) des Sys­tems geladen. Dies geschieht vor der Anmel­dung eines Benutzers. Allerd­ings erfordern diese Angriffsvek­toren spezielle Werkzeuge und eine hohe Qual­i­fika­tion seit­ens des Angreifers. Gegen diese Angriffsvek­toren wird der Ein­satz der Authen­tisierungsmit­tel PIN und/oder USB ‑Stick emp­fohlen.

Secure Disk for BitLocker - TPM Nutzung

Beson­deren Augen­merk möchte ich gerne auf die typ­is­che Prob­lematik der Fest­plat­ten-Ver­schlüs­selung leg­en: Ein Angriff auf ver­schlüs­selte Dat­en wird nicht durch Laien erfol­gen. Nichts desto trotz kann der Dieb, der Inter­esse an der gestohlen Hard­ware hat, bere­its ein Risiko für Unternehmen darstellen. Viel Schlim­mer ist aber natür­lich das krim­inelle Vorhaben ein­er Indus­tries­pi­onage oder ein­er geplanten Erpres­sung durch entwen­dete Dat­en.

Hierzu wird das Ziel­gerät entwed­er Desk­top oder Note­book bzw. Tablet gestohlen. Im Anschluss daran wird man ver­suchen, die Fest­plat­te zu sich­ern oder zu vir­tu­al­isieren, um beliebig viele Ein­bruchsver­suche real­isieren zu kön­nen. Speziell in vir­tu­al­isierten Umge­bun­gen kön­nen ein­fach Brute-Force-Attack­en real­isiert wer­den.

Da ein pro­fes­sionel gestohlenes Note­book keine Verbindung mit dem Inter­net her­stellen wird, sind Schutzmech­a­nis­men wir Remote-Wipe oder das Löschen von Benutzer­pass­wörtern wirkungs­los. Ein Angreifer hat eine beliebige Zeit das Ziel­gerät zu hack­en.

Sofern auf den TPM Schutz — speziell auch auf die TPM-PIN — verzichtet wird, gibt es keinen aus­re­ichen­den Schutz vor Brute-Force-Angrif­f­en eines Endgerätes.

Ich empfehle fol­gende Authen­tisierung-Meth­o­d­en:

  • entsprechend der BSI Empfehlung: Aktivierung der TPM-PIN zur Benutzer-Authen­tisierung
  • oder: Aktivierung des Bit­Lock­er Pass­wort-Pro­tec­tors mit einem zumin­d­est 8‑stelligen Pass­wort
  • in großen Unternehmen: Evaluierung des Bit­Lock­er Add-ons Cryp­to­Pro Secure Disk for Bit­Lock­er für die starke Benutzer-Authen­tisierung mit Mul­ti-Fak­tor-Authen­tisierung