Eine mit Bitlocker verschlüsselte SSD mit TPM-Schutz lässt sich relativ einfach knacken. Ein Passwort schützt, ist aber nicht der Standard.

Der Sicherheitsfirma Dolos Group ist es gelungen, über einen verschlüsselten Laptop eines Angestellten ins Firmennetzwerk gelangen. Hierzu musste sie in einem ersten Schritt die Windows-Verschlüsselung Bitlocker umgehen. Das gelang über das physische Abfangen des Schlüssels, der in einem TPM-Sicherheitschip hinterlegt war.

Der Lenovo-Laptop war mit den Standard-Sicherheitsmaßnahmen des geprüften Unternehmens ausgerüstet, dazu gehörten passwortgeschützte Bios-Einstellungen sowie eine TPM-gesicherte Bitlocker-Verschlüsselung. Im Bios waren Angriffsvektoren wie das Auslesen des Arbeitsspeichers per DMA (Direct Memory Access) durch die VT-d-Bios-Einstellung blockiert. Auch Secureboot war aktiviert sowie die Boot-Reihenfolge gesperrt.

Da nichts anderes funktionierte, war der letzte Punkt, TPM-gesichertes Bitlocker, unser Weg ins System

... schreibt die Sicherheitsfirma.

Dabei stellten sie fest, dass der Laptop trotz Verschlüsselung in den Windows-10-Anmeldebildschirm bootet. Das bedeutet, dass der Verschlüsselungskey direkt von dem TPM abgerufen wird - ohne Passwortschutz. Das sei die Standardeinstellung für Bitlocker, heißt es in dem Blogbeitrag der Dolos Group.