Self-encrypting drives, Kryptochips & Co.

Hardware-basierte Sicherheitskonzepte in Windows 8

Joseph E.L. Souren ist Vice President und General Manager bei Wave Systems in Mitteleruopa.
Schon mit Windows 7 begann Microsoft, Industriestandards zur Hardware-gestützten Sicherheit zu implementieren. Doch erst das aktuelle Windows 8 könnte beispielsweise das althergebrachte, unsichere Nutzername/Passwort-Szenario tatsächlich ins Wanken bringen.

Wer am Geldautomaten Scheine ziehen will, gibt seine PIN ein. Wer sein Smartphone einschaltet, gibt seine PIN ein. Wer jedoch seinen Arbeits-PC in Betrieb nimmt und sich im Unternehmensnetz einloggt, wird nach Benutzername und Passwort gefragt. Warum eigentlich? An der höheren Sicherheit kann es nicht liegen - Geldautomaten und Mobiltelefone werden beileibe nicht so häufig gehackt wie Unternehmensnetze. Im Gegenteil: Die Sicherheitsmechanismen in den beiden erstgenannten Fällen sind hardwaregestützt und reduzieren anwendungsbedingte Schwachstellen auf ein Minimum.

Dennoch stellt Steven Sprague, CEO des Sicherheitsspezialisten Wave Systems, fest: "In Unternehmensnetzen ist Hardware-orientierte Sicherheit noch eher selten, obwohl heute praktisch jeder Geschäfts-PC oder jedes Notebook über ein Hardware-Modul verfügt, das eine eindeutige Geräteerkennung ermöglicht." Seine Hoffnung: Mit Technologien wie dem Kryptochip "Trusted Platform Module" (TPM) und selbstverschlüsselnden Festplatten (Self-encrypting Drives, kurz SEDs) sei eine auf offenen Industriestandards beruhende Hardware mittlerweile vorhanden. Rund 600 Millionen Business-Computer dürften bereits standardmäßig mit dem TPM-Chip ausgestattet sein.

Embedded Security in Windows 8

Windows 8 setzt auf Hardware-basierte Sicherheit.
Windows 8 setzt auf Hardware-basierte Sicherheit.
Foto: Microsoft

Die Hoffnung ist nicht unbegründet, denn seit Windows 7 gibt es auch ein weit verbreitetes Software-Pendant, was die Technologien nutzt. Microsoft setzte in der dortigen Betriebssystemarchitektur erstmals dezidiert auf Hardware-basierte Sicherheitsfeatures, die das Trusted Platform Module als rechnereigenen Kryptospeicher verwenden. Mit Windows 8 geht man diesen Weg nun sogar noch weiter und macht ihn benutzerfreundlicher. So werden TPM-Funktionen Windows 8 automatisch bereitgestellt; vor allem aber gibt es neue Programmierschnittstellen zur Nutzung Hardware-basierter Sicherheitsfunktionen.

Diese Features sind in hohem Maß der Vorarbeit der Trusted Computing Group geschuldet, der auch Wave Systems angehört. Mit dem Endpoint Monitor stellt Spragues Unternehmen beispielsweise ein Tool auf der Basis dieser "eingebetteten Sicherheit" bereit. Die Anwendung sorgt dafür, dass vor dem Laden des Betriebssystems die Systemumgebung auf ungewöhnliche Verhaltensweisen, die auf Vorhandensein von Schadsoftware schließen lassen, gescannt wird. Dabei überprüft die Software mithilfe von TPM die Systemintegrität und verwendet die eingestellten Schlüssel für eine starke und verifizierbare Plattformidentität. Die von Endpoint Monitor gelieferten Informationen können von Unternehmensnetzwerken und -Servern sowie Cloud-Diensten genutzt werden, um sicherzustellen, dass sich ausschließlich bekannte und schadcodefreie Geräte mit kritischen Applikationen und sensiblen Datenquellen verbinden. Speziell die gefährlichen Rootkits und ähnliche an der Wurzel angreifende Schadsoftware lassen sich damit besser abwehren. In Windows 8 hat Microsoft diese Prozesse fest im Betriebssystem verankert. So werden beispielsweise die Treiber des Virenschutzherstellers, die auf der Plattform installiert sind, immer als erste geladen.

Fortschrittliche Zugriffskontrolle

Das Trusted Platform Module (TPM) wird seit Windows 8 auch als Hardwarespeicher für Verschlüsselungs- und Authentifizierungsmechanismen eingesetzt. Auf dieser Basis unterstützt das Betriebssystem Hardware-geschützte Zertifikate zur Benutzerauthentifizierung bei Fernzugriffen und zur starken Authentifizierung von Rechnern im Netzwerk. Auch für die Absicherung des Microsoft-eigenen VPN-Systems VPN Direct Access dient TPM als Schlüsselspeicher. Der Kryptochip fungiert als Hardware-Token und dient der Realisierung virtueller Smartcards. Diese bieten zusätzliche Sicherheit, weil sie als Zwei-Faktor-Authentifizierer sowohl den Benutzer als auch das Gerät identifizieren. Die privaten und öffentlichen Schlüssel sind im TPM gespeichert. Durch eine PIN-Eingabe wird der private Schlüssel aktiviert, der dann mit dem öffentlichen interagiert und die Authentifizierung vornimmt.

Unterstützung selbstverschlüsselnder Festplatten

Nicht zuletzt bringt Windows 8 selbstverschlüsselnde Festplatten einen großen Schritt voran. Es unterstützt den Industriestandard OPAL für SEDs, sodass erstmals selbstverschlüsselnde Datenträger aus verschiedenen Quellen unter einem Dach verwaltet werden können. Weil sich selbstverschlüsselnde Festplatten weg vom Benutzer hin zu automatisierten Abläufen orientieren, bieten sie ein Mehr an IT-Sicherheit. Schließlich führt in der Regel jede Verschlüsselungslösung, die im Tagesbetrieb spürbar ist, zu Performance- oder Zeitverlusten durch den notwendigen Anwendersupport oder auch technisch versierte Nutzer in Versuchung, sie zu umgehen. (sh)