Lang-Fing-Fang

Software zur Verfolgung gestohlener Notebooks

Wissen | Know-how

Geklaute Laptops lokalisieren und gleichzeitig persönliche Daten von der Platte radieren – der Funktionsumfang von Phoenix FailSafe und Absolute LoJack liest sich beeindruckend.

Lang-Fing-Fang

Geklaute Laptops lokalisieren und gleichzeitig persönliche Daten von der Platte radieren – der Funktionsumfang von Phoenix FailSafe und Absolute LoJack liest sich beeindruckend. Doch eine Erfolgsgarantie gibt es nicht.

Als der Fußballtrainer Christoph Daum im Juni 2009 von Düsseldorf nach Istanbul fliegen wollte, ließ er am Flughafen sein Handgepäck einige Sekunden lang unbeobachtet. Ein Fehler. „Als ich die ganzen Koffer und Kisten eingecheckt hatte, waren die anderen Dinge entwendet“, gestand er am nächsten Tag in Bild. Unter den „anderen Dingen“ befand sich auch Daums Laptop. Darauf gespeichert: Sein Vertrag mit dem Klub Fenerbahce Istanbul, Telefonnummern von Spielern, private Bilder und ein Testament. Ein paar Wochen später rief der Dieb bei Daum an und verlangte 100 000 Euro. Zahle er nicht, würden die Daten veröffentlicht. „Ich konnte es nicht glauben, doch als sie mir Vertragspassagen vorgelesen haben, wusste ich: Sie haben den Sicherheitscode geknackt“, berichtete der Trainer anschließend zerknirscht.

Einen solchen Datenverlust samt Erpressung, das wünscht man niemandem. Bei Absolute Software und Phoenix Technologies jedoch dürfte Daums Malheur für zufriedene Gesichter gesorgt haben, denn eine bessere Werbekampagne hätten auch Marketing-Fachleute nicht erfinden können: Beide Unternehmen helfen ihren Kunden dabei, die auf gestohlenen Laptops gespeicherten Daten aus der Ferne zu löschen oder die Geräte sogar wiederzufinden.

Technisch gesehen verfolgen beide Anbieter den gleichen Ansatz: „LoJack for Laptops“ von Absolute und „FailSafe“ von Phoenix sind unauffällige Hintergrunddienste, die auf dem Laptop installiert werden und dessen IP-Adresse und weitere Informationen regelmäßig über das Internet an einen Server des Anbieters schicken. Hinsichtlich der Wiederbeschaffungsmethoden und der Hardware-Kompatibilität unterscheiden sich LoJack und FailSafe aber grundlegend.

Die Detektivsoftware des kalifornischen BIOS-Herstellers Phoenix läuft nur auf einigen Laptops von Dell und Samsung, Dell will allerdings in Kürze auf LoJack umsteigen (siehe Tabelle). Ausprobiert haben wir FailSafe auf dem Samsung-Netbook N130. Der erste Monat ist kostenlos, eine Verlängerung um ein Jahr schlägt mit 35 Euro zu Buche. Während der Installation wird der Hintergrunddienst xsync.exe mit einer FailSafe-Komponente im BIOS verknüpft. Löscht man xsync, versucht das BIOS, die Datei wiederherzustellen.

Bei unserem Testgerät war es dazu allerdings nicht in der Lage, nachdem wir ein frisches Windows aufgespielt hatten. FailSafe fiel aus, obwohl es laut Phoenix sogar einen Plattentausch überstehen soll.

Alle acht Stunden sowie nach jedem Neustart des Rechners und nach dem Aufwachen aus dem Standby schickt xsync die öffentliche und lokale IP-Adresse an einen Phoenix-Server. Aus der öffentlichen Adresse ermittelt der Server den Standort des Providers und zeigt diesen auf einer Karte im Online-Kundencenter an – näher als ein paar hundert Meter kommt man auf diese Weise aber nicht an die Koordinaten des Laptops heran.

FailSafe: Der Standort des Providers wurde per IP-Geolocation ermittelt,  liegt aber kilometerweit vom Laptop entfernt.
FailSafe: Der Standort des Providers wurde per IP-Geolocation ermittelt, liegt aber kilometerweit vom Laptop entfernt.

In Ballungsräumen wäre eine Ortung mit einer Präzision von ein paar Dutzend Metern möglich, wenn Phoenix die in Reichweite des Laptops funkenden Drahtlosnetzwerke mit einer Datenbank abgleichen würde, in der die Standorte von WLAN-Routern verzeichnet sind. Tatsächlich hat Phoenix diese Funktion laut FailSafe-Manager Sabi Lali bereits getestet: Die Einführung sei „nur eine Frage der Zeit“. Schon jetzt unterstützt FailSafe GPS, doch den meisten Dell- und Samsung-Laptops fehlt der dazu erforderliche Chip.

Im Online-Kundencenter lässt sich der Laptop als „gestohlen“ oder „verloren“ kennzeichnen – unabhängig davon, ob er tatsächlich verschwunden ist. Anschließend bietet FailSafe die Optionen „Laptop deaktivieren“, „Dateien abrufen“ und „Dateien löschen“. Die Deaktivierung sperrt den Laptop bis zur Eingabe eines Freischaltcodes auf BIOS-Ebene. Optional wird eine Warnmeldung eingeblendet und es ertönt eine nervtötende, aber zumindest auf unserem Netbook nicht sehr laute Sirene. Um eine Datei oder einen Ordner vom gestohlenen Laptop herunterzuladen, tippt man im Kundencenter Pfad und Namen manuell ein oder behilft sich mit Sternchen. Einzelne Dateien dürfen maximal 5 MByte groß sein, insgesamt überträgt xsync maximal 25 MByte pro Anforderung. Zum Löschen aus der Ferne gibt man den Pfad ebenfalls manuell ein. Übermittelt werden sämtliche Befehle beim nächsten „Anruf“ des Laptops.

Bei FailSafe spielt der Nutzer also selbst Detektiv. Er versucht im Alleingang, seine Daten zu vernichten, den Laptop zu sperren und präsentiert der Polizei die beim letzten Rendezvous zwischen Laptop und Server erfasste IP-Adresse – in der Hoffnung, dass die Beamten die Adresse des mutmaßlichen Diebes beim Provider ermitteln und das Gerät finden. Bedenklich ist, dass FailSafe auch zum unrechtmäßigen Schnüffeln eingesetzt werden kann. Wird der überwachte Laptop einem anderen Nutzer untergeschoben, kann der FailSafe-Abonnent diesen zum Beispiel durch das Abrufen von Dateien ausspionieren.

LoJack funktioniert anders: Bei dem 40 Euro im Jahr teuren Dienst ermittelt nicht der Nutzer, sondern das „Recovery Team“ von Absolute. Dieses wertet die vom Laptop übermittelte IP-Adresse, WLAN- und – falls eingebaut – GPS-Daten aus und setzt bei Bedarf Spionagewerkzeuge ein, zum Beispiel Keylogger. Die Gaunerhatz startet, wenn der Nutzer ein Verlustprotokoll an Absolute schickt und den Diebstahl bei der Polizei anzeigt. Die Beamten werden vom Recovery Team auf dem Laufenden gehalten und sind für die physische Wiederbeschaffung zuständig.

In Eigenregie kann der Nutzer lediglich Löschbefehle auf dem Server hinterlegen, die dem Laptop bei dessen nächstem Anruf übermittelt werden. Je nach Wunsch radiert der Hintergrunddienst rpcnet.exe dann die privaten Browserdaten und den Benutzerordner aus oder plättet sämtliche Daten bis auf das Betriebssystem. Allerdings können keine Dateien vom Laptop abgerufen werden. Wenn ein vPro-Chipsatz von Intel mit der Funktion „Anti-Theft-Protection“ (AT-p) eingebaut ist, kann LoJack den Laptop aus der Ferne sperren oder mittels eines autonomen Timers auch ohne Internetzugang.

Bei LoJack gibt es zwei Sicherheitsstufen: Im Idealfall kettet sich rpcnet an eine BIOS-Komponente von Absolute, die von den meisten Laptopherstellern in etliche Baureihen eingepflanzt wird (siehe Tabelle). Bei den von uns getesteten Geräten stellte das BIOS rpcnet auch auf frischen Windows-Installationen wieder her. Alternativ lässt sich LoJack auf jedem Windows- oder Mac-OS-X-System installieren, widersteht dann aber mangels BIOS-Helfer beispielsweise keiner Formatierung. Die technische Basis entspricht damit derjenigen von Computrace – einem Sicherheitspaket des gleichen Anbieters für Unternehmenskunden, die ganze Notebook-Flotten verwalten, orten, formatieren und lahmlegen wollen. Bei der Analyse von Computrace haben wir unter anderem Datenschutzbedenken formuliert [2]. Diese treffen aber auf LoJack nicht zu, weil hier das Kundencenter die IP-Adresse sowie den ermittelten Standort nicht anzeigt und das Recovery Team seine Erkenntnisse ausschließlich an die Polizei weitergibt.

Hätten FailSafe oder LoJack dem Fußballtrainer Daum die Erpressung erspart? Wenn die Gauner mit dem Laptop nicht ins Netz gehen oder Linux installieren, nützen beide Tools gar nichts, und FailSafe überlebte auf unserem Testgerät nicht einmal das Überspielen mit einem frischen XP. Die einzige Ausnahme bildet die Kombination aus LoJack und AT-p. Doch die Erweiterung steckt nur in wenigen Business-Laptops und stoppt keinen Datendieb, der die Platte ausbaut. Backups sowie eine Verschlüsselung, geschützt durch ein vernünftiges Passwort, ersetzen die Laptop-Peilsender also nicht.

Diebstahlschutz für Notebooks
Produkt Notebooks mit BIOS-Unterstützung Preis
Phoenix FailSafe Dell (bereits verkaufte Studio 15, Inspiron 15, Studio XPS 16, Studio 17, Adamo; Umstellung auf LoJack geplant), Samsung (N130, N140, N150, N210, N220, N510, NB30, R425, R430, R480, R525, R530, R580, R730, R780, X420) 1 Jahr: 35 €; 3 Jahre: 71 €
Absolute LoJack Acer, Asus, Dell, Fujitsu, Gateway, General Dynamics, HP, Lenovo, Motion Computing, Panasonic, Toshiba (jeweils diverse Modelle) 1 Jahr: 40 €; 3 Jahre: 80 €

Meldet der Laptop sich beim Server, besteht zumindest die Chance, ihn wiederzufinden. Absolute gibt für dieses Szenario eine Erfolgsquote von 75 Prozent an, verrät aber nicht, wie viele der verschwundenen Geräte auf ewig Funkstille wahren. Man kann also nicht abschätzen, ob sich die Abogebühren je amortisieren – eine Geld-zurück-Garantie gibt es bei FailSafe und LoJack nicht. (cwo)

  1. Steffen Meyer, Bodenständig, Positionsbestimmung per WLAN, www.heise.de/-218853
  2. Christian Wölbert, Christiane Rütten, Verdeckter Ermittler, Eine Software-Firma spürt gestohlene Notebooks auf, www.heise.de/-219163