8. August 2011 - Zugangskontrolle

Der Zugangsschutz fängt mit BIOS an

Wer ein BIOS-Passwort einsetzt, glaubt mehr für den Zugangsschutz am Notebook oder PC getan zu haben. Doch nicht jedes Basic Input/Output System (BIOS) ist wirklich sicher, das Passwort dann mehr Schein als Sein. Prüfen Sie deshalb die BIOS-Sicherheit im Rahmen der Zugangskontrolle.

der-zugangsschutz-fangt-mit-bios-an.jpeg
Ein BIOS-Passwort kann verhindern, dass sich ein Schadprogramm auf dem Computer ausbreitet (Bild: Thinkstock)

BIOS verfügt über hohe Privilegien

Ein Angriff auf das BIOS hat weitreichende Folgen, denn das Basic Input/Output System (=BIOS) hat eine besondere Stellung innerhalb der PC-Architektur:

  • Ein BIOS wirkt an der Initialisierung der Hardware und bei der Verbindung zwischen Hardware und Betriebssystem mit.
  • Ohne BIOS würde die Hardware nichts tun, wenn der PC gestartet wird.
  • Das BIOS testet die Hardwarekomponenten und die Speicherbausteine und sucht das Betriebssystem, das hochgefahren werden soll.
  • Das BIOS lädt dann erste Teile des Betriebssystems (Kernel) in den Speicher, testet die Validität und sorgt für die Ausführung. Erst später übernimmt das Betriebssystem.

Wenn Malware untergeschoben werden soll

Wenn das BIOS manipuliert werden kann, könnte es auch ein Schadprogramm starten, anstatt das Betriebssystem zu laden. Dazu könnten die Informationen (Boot Order), wo das Betriebssystem gefunden wird, abgewandelt und auf den Speicherort des Schadprogramms abgeändert werden (zum Beispiel DVD-Laufwerk mit verseuchter DVD statt der vorgesehenen integrierten Festplatte).

Wird das BIOS so ausgetrickst, helfen auch die weiteren Sicherheitsmaßnahmen nicht mehr, denn nun hat das Schadprogramm das Sagen.

BIOS-Passwort als Hintertürchen

Änderungen an den BIOS-Einstellungen kann auch der PC-Nutzer selbst während des Bootens vornehmen. Als Schutz gegen die Änderungen wird ein BIOS-Passwort genutzt. Leider ist das BIOS-Passwort in der Standardeinstellung vieler Hersteller alles andere als ein Schutz. Viele BIOS-Hersteller verwendeten in der Vergangenheit ein Standard-Passwort, das Hackern gut bekannt ist.

Sobald mittels geknackten Passworts ein Zugriff auf das BIOS erfolgen kann, könnten die Manipulationen beginnen. Dafür könnten die Hacker aber auch die BIOS-Updates missbrauchen.

Mit dem BIOS-Update kommt die Gefahr

Auch das BIOS kann fehlerhaft sein und erfährt deshalb Fehlerbehebungen über Firmware-Updates. Zudem muss oftmals der Funktionsumfang des BIOS erweitert werden, um neue Hardwarekomponenten unterstützen zu können. Hier könnten Hackerangriffe ansetzen und das BIOS durch ein manipuliertes Update so verändern, dass das PC-System nicht mehr starten kann oder dass auf dem PC Malware (z.B. Keylogger) versteckt wird, um später Daten zu stehlen.

BIOS-Sicherheit muss erhöht werden

Um solche Angriffe auf das BIOS und damit letztlich auf PCs und das ganze Netzwerk zu verhindern, sollten PC-Systeme und Notebooks eingesetzt werden, die ein speziell abgesichertes BIOS aufweisen. Dazu gehören:

  • ein Update-Mechanismus, bei dem das digitale Zertifikat des BIOS-Firmware-Updates geprüft wird, um Fälschungen zu erkennen,
  • eine Prüfung der Integrität des BIOS durch Ermittlung des Hashwertes (Manipulationen verändern diesen Wert),
  • geschützte Einstellungen, die eine Veränderung des Startverzeichnisses verhindern (so dass das Booten nicht von einem verseuchten Medium aus vorgenommen werden kann),
  • eine Kontrolle der BIOS-Aktivitäten, um unerwartete Updates (oder Angriffe) erkennen zu können und
  • eine Möglichkeit zur Wiederherstellung (Rollback) des vorherigen BIOS, um das manipulierte BIOS wieder zu entfernen.

Was Unternehmen nun tun sollten

Wenn Sie nun im Rahmen der Zugangskontrolle für mehr BIOS-Sicherheit sorgen wollen, sind Sie zum einen abhängig von den PC- und Notebook-Anbietern, die ein sicheres BIOS installieren und anbieten müssten.

Doch auch Ihr Unternehmen kann etwas gegen die BIOS-Attacken tun. Um dem BIOS ein Schadprogramm anstatt des Betriebssystems unterzuschieben, muss man in der Regel bei dem Rechner selbst vor Ort sein, zum Beispiel, um die verseuchte DVD als Startmedium einzulegen, wenn dem BIOS das DVD-Laufwerk als Startverzeichnis des Betriebssystems vorgetäuscht wird. Bei zentralen BIOS-Firmware-Updates müssen der Update-Server und damit der Serverraum gegen unbefugte Zutritte geschützt sein.

Eine wesentliche Methode zur Erhöhung von Zugangsschutz und BIOS-Sicherheit ist also die Zutrittskontrolle, insbesondere die Sicherung der PCs und Notebooks bei Abwesenheit der Mitarbeiterinnen und Mitarbeiter. Weitere Tipps rund um die BIOS-Sicherheit finden Sie im Download: Checkliste BIOS-Sicherheit. Dazu gehören Hinweise zu den BIOS-Passwörtern genauso wie zur Sicherheit der BIOS-Speicher und der PC-Gehäuse.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln