Menü

PCs und Notebooks vor Angriffen schützen

Sicherheitslücken lauern nicht bloß in Programmen, Betriebssystemen und Treibern, sondern auch in BIOS, Firmware und Hardware; wer sich besser schützt als andere, ist ein weniger lohnendes Ziel.

von
vorlesen Drucken Kommentare lesen 74 Beiträge
PCs und Notebooks vor Angriffen schützen

Wer einen PC oder ein Notebook besser gegen Angriffe schützen will, muss Risiken richtig einschätzen: Die schärfsten Sicherheitsmaßnahmen nutzen nichts, wenn an anderer Stelle Lücken bleiben. Die meisten Angriffe auf Computer erfolgen über unsichere Passwörter, Phishing-Mails, Browser, Anwendungsprogramme und Betriebssysteme.

Doch auch in Firmware und (UEFI-)BIOS lauern Sicherheitslücken, über Prozessorfunktionen sind Seitenkanalangriffe möglich, wie Meltdown und Spectre verdeutlichen. Viele solcher Schwachstellen lassen sich aber nur mit erheblichem Aufwand ausnutzen. Sie werden daher eher selten und vor allem für gezielte Attacken auf einzelne Computer genutzt, die Zugang zu besonders sensiblen Informationen versprechen. Ein Beispiel sind Advanced Persistent Threats (APTs). Wer physischen Zugriff auf den PC hat, versucht wohl zuerst eine Attacke mit einem von USB oder DVD gestarteten Linux, bevor er über einen Firmware-Angriff nachdenkt.

Die Intel Managment Engine (Intel ME) ist im Chipsatz und in System-on-Chip-Prozessoren integiert.

c't erklärt in Ausgabe 6/2018, welche Schwachstellen in Hardware und Firmware lauern – und mit welchen Maßnahmen sich Gefahren eindämmen lassen. Dabei passen Bedienungskomfort, Funktionsvielfalt und Sicherheit nicht immer unter einen Hut, zumindest wenn man besonders starken Schutz wünscht. Dann ist es beispielsweise ratsam, statt Windows eine auf Sicherheit optimierte Linux-Distribution wie Qubes OS auf einer per Software vollverschlüssten Festplatte oder SSD zu verwenden.

Proprietäre Sicherheitsfunktionen sollte man bei extremen Anforderungen meiden, etwa RSA-Schlüssel vom TPM oder Hardware-Verschlüsselung von Festplatten (Self-Encrypting Drive, SED). Andererseits verstärken solche proprietären Funktionen den Schutz eines Notebooks deutlich, ohne den Bedienungskomfort stark zu beschneiden: Windows Bitlocker ist allemal besser als eine unverschlüsselte Platte.

Zur Intel Management Engine (Intel ME), die seit 2006 in allen Computern mit Intel-Prozessoren steckt, gibt es eine FAQ. Ein Praxisleitfaden erklärt typische Sicherheitsfunktionen im BIOS-Setup von Bürocomputern und Business-PCs. Dazu gehört beispielsweise die Möglichkeit, einzelne USB-Ports abzuschalten, um den Anschluss von USB-Sticks zu erschweren, oder auch das ATA Security Feature Set, um ein Passwort für den Zugriff auf SATA-Festplatten einzurichten. Einige dieser Funktionen finden sich auch im BIOS-Setup mancher PCs, Notebooks und Mainboards für Privatleute.

Lesen Sie in c't 6/2018

Anzeige
Zur Startseite
Anzeige