Computerattacken mit physischem Zugriff

Immer wieder lese ich Meldungen über Sicherheitslücken, die nur bei physischem Zugriff auf das jeweilige System funktionieren. Sind die wirklich gefährlich?

In Pocket speichern vorlesen Druckansicht
Computerattacken mit physischem Zugriff
Lesezeit: 2 Min.

Immer wieder lese ich Meldungen über Sicherheitslücken, die nur bei physischem Zugriff auf das jeweilige System funktionieren. Sind die wirklich gefährlich? Wer vor Ort auf einen Computer zugreifen kann, kann doch sowieso damit machen, was er möchte.

Angriffe über das Netzwerk wie Phishing und Verschlüsselungstrojaner treffen weitaus mehr Menschen als Attacken, bei denen der Angreifer das jeweilige Gerät in die Finger bekommen muss. Letztere können jedoch bösartige Hacker, Erpresser, Geheimdienste oder Ermittlungsbehörden nutzen, wie einige Beispiele zeigen.

Häufig verweisen Sicherheitsforscher auf sogenannte „Evil Maid“-Attacken. Der Name spielt auf ein vermeintliches oder bestochenes Zimmermädchen (Maid) eines Hotels an, das das unbeaufsichtige Notebook eines Gastes kurzzeitig entwedet und dann wieder unbemerkt zurücklegt. In der Zwischenzeit installieren Experten ein Hardwaremodul, einen bösartigen Bootloader (Rootkit) oder eine manipulierte Firmware, die Tastatureingaben aufzeichnen. Nachdem der arglose Besitzer sein Notebook wieder eine Weile benutzt hat, wird es abermals gestohlen. Mit den abgeschöpften Daten erlangen die Angreifer nun Zugriff auf das Benutzerkonto oder eine verschlüsselte Festplatte/SSD.

Derart aufwendige Angriffe sind selten, zielen aber auf besonders schützenswerte Daten wie Firmengeheimnisse, wertvolle Forschungsergebnisse, Zugangsdaten für andere Systeme (Spear Phishing) sowie auf missliebige Journalisten oder politisch Verfolgte. Nach dem gleichen Muster könnte auch eine als Servicetechnikerin oder Putzfrau getarnte Angreiferin in wenigen Minuten Spionagesoftware auf einem Desktop-PC installieren, der in einem unverschlossenen Firmenbüro steht. Reparaturbetriebe und Zulieferer sollten ebenfalls keine manipulierte Firmware aufspielen können.

Schutz gegen vor Ort ausgeführte Attacken kann zudem bei eingebetteten Computern (Embedded Systems) wichtig sein, an die ein Angreifer unbeaufsichtigt herankommt. Das gilt etwa für Steuerungsanlagen im öffentlichen Raum (Verkehrsampel, Stromversorgung) oder manche Geldautomaten.

Auch die Firmware von Servern darf sich nicht manipulieren lassen. Sonst ließe sich etwa die durch Secure Boot aufgebaute Kette kryptografischer Zertifikate umgehen. Diese wiederum sichert Funktionen wie Intel Software Guard Extensions (SGX) und AMD Secure Encrypted Virtualization (SEV). SGX richtet Enklaven im RAM ein und SEV verschlüsselt die Speicherbereiche virtueller Maschinen, um diese Daten sogar vor einem Administrator mit Root-Rechten zu verbergen. Das ist für Cloud-Server gedacht, bei denen man dem jeweiligen Anbieter nicht vollständig vertraut. Damit ist nicht unbedingt moralisches Vertrauen gemeint, sondern eine teure und aufwendige Zertifizierung von Rechenzentrum, Servern und Personal nach einschlägigen Sicherheitsvorgaben.

(ciw)