Microsofts Secure Core PC und Thunderbolt Security

Microsoft und Intel haben einen ganz eigenen Ansatz gefunden, um Sicherheitslücken vermeintlich zu entgegnen¹⁾https://www.microsoft.com/security/blog/2019/10/21/microsoft-and-partners-design-new-device-security-requirements-to-protect-against-targeted-firmware-attacks/. Laut National Vulnerabilites Database des NIST ²⁾https://nvd.nist.gov/ vergeht mittlerweile kein Tag mehr, an dem nicht mindestens eine neue Firmware-Sicherheitslücke entdeckt wird. Diese Art von Sicherheitsleck ist besonders kritisch, da über die Firmware des Gerätes grundsätzlich ein Zugriff auf alle Geräte einschließlich Datenträgern möglich ist.

Mehr als fragwürdiger Ansatz

Microsofts neuer Ansatz ist nun sehr vereinfacht dargestellt folgender: Die Verantwortung von Herstellern und Admins weg auf den unerfahrenen Endanwender umwälzen.

Sicherheit braucht kryptische Namen: „SL 3 Feature“

Es werden gerade die ersten Geräte mit neuer Firmware ausgeliefert, die den neuen „Sicherheitsanforderungen“ von Microsoft gerecht werden. Thunderbolt Dockingstations beispielsweise werden grundsätzlich erst dann aktiviert, wenn sich ein Benutzer lokal angemeldet hat (sogenanntes „SL 3 Feature“³⁾https://thunderbolttechnology.net/security/Thunderbolt%203%20and%20Security.pdf). Ab dann ist ja der Benutzer dafür verantwortlich, was für Geräte er ansteckt. Zumindest scheint das wohl die Logik hinter diesem eigentümlich anmutenden System zu sein.

Sicherheit erst nach Start des Betriebssystems

Fragwürdig ist auch, dass diese Sicherheitsmaßnahmen erst dann greifen, wenn ein Microsoft Betriebssystem geladen wird. Vorher sind die Thunderbolt-Anschlüsse nämlich sehr wohl aktiv. Es wirkt alleine deshalb schon sehr unfertig, um es einmal milde auszudrücken.

Real Life Probleme

Obwohl sogar unser Firmenname das englische Wort für Sicherheit in sich beherbergt, können wir diesem neuen Sicherheitsfeature irgendwie so gar nichts abgewinnen.

Anmeldung am Rechner unmöglich

In Unternehmensnetzwerken ist eine Anmeldung am Rechner mitunter nur netzwerkbasiert möglich. Da die Netzwerkkarte neuerdings aus angeblichen Sicherheitsgründen erst nach der Benutzeranmeldung aktiviert werden kann – die Anmeldung aber nur bei aktivem Netzwerk möglich ist – kann man sich nicht am Rechner anmelden.

Fernwartung ausgeschlossen

Eine unbeaufsichtigte Fernwartung wird unmöglich gemacht, denn es funktionieren weder Wake on LAN Funktionen noch kann man einen Mitarbeiter vor Ort darum bitten, ein Gerät einzuschalten. Es wäre erst eine Anmeldung am lokalen System nötig, damit das Gerät die Netzwerkkarte aktiviert und der Support arbeiten kann.

Komfort wie in den 90ern

Sicherheit geht immer zulasten des Komforts. Ja. Aber muss man eine vom Admin zugelassene USB Tastatur oder USB Maus, die beide an der Dockingstation hängen, sperren bis sich ein ahnungsloser Endanwender angemeldet hat?

USB Geräte an der Dockingstation funktionieren ebenfalls erst nach der ersten Anmeldung am Rechner. Somit ist eine Passworteingabe zum Entsperren des Rechners nur noch an der eingebauten Notebook-Tastatur möglich. Benutzer, die es gewohnt sind, das Notebook zum Beispiel unter dem Schreibtisch zu deponieren und lediglich die Thunderbolt-Leitung der Dockingstation einzustecken, werden sich umgewöhnen müssen.

Weitere Schwierigkeiten und Ausblick

Es sind noch viele weitere Probleme zu erwarten. Bisher betrifft es nur einen kleinen Teil der Geräte. Die Zeit wird zeigen, ob der Markt dies akzeptiert – Randnotiz: natürlich wird er das, er tut das immer, denn wer außer uns diskutiert heute überhaupt noch mit Herstellern und Produzenten? – und falls nicht, inwieweit Microsoft und Intel bereit sind, das Konzept noch einmal zu überdenken – richtig: überhaupt nicht.

Viel passieren wird da also wohl eher nicht. Die Probleme sind bekannt. Bei großen Notebookherstellern wird nach unseren Recherechen auch mit Hochdruck an einer Lösung gearbeitet. Wie die Aussehen kann, steht in den Sternen.

Wie Sie durch die Hotline bereits erfahren haben arbeite Dynabook unter Hochdruck daran mit Intel und Microsoft eine sichere Lösung für die Kunden zu erwirken, ist aber auch auf eine von beiden Partner akzeptierte Lösung angewiesen um bestehende und beworbene Zertifizierungen nicht zu verlieren. (…) Dynabook stellt aktuell auf Anfrage ein Special-BIOS zur Verfügung mit dem die Thunderbolt Security durch das OS disabled werden kann um die Probleme bei Remote-Installationen zu umgehen. Im Anschluss sollte aber unbedingt wieder auf das Serien-BIOS gewechselt werden, um die Kundenumgebung so sicher wie möglich zu halten.

Abschließende Stellungnahme der Einheit Project Engineering der Dynabook Europe GmbH vom 6.1.2020 auf unsere Anfrage vom 30.12.2019.

Löblich, wie man sich bei dynabook (ehemals Toshiba) um Lösungen bemüht. Das Grundproblem liegt aber leider bei Mircosoft. Denn, um das noch einmal deutlich zu wiederholen: dieser ganze Stress betrifft ausschließlich Rechner auf denen Microsoft Systeme installiert wurden.

Persönlicher Kommentar

Es kann doch beim besten Willen nicht wirklich als „Sicherheit“ verkauft werden, wenn Sicherheitsfragen vom Admin weg und zum Endbenutzer hin verlagert werden. Jetzt entscheidet nicht mehr der Admin, was erlaubt ist, sondern der ahnungslose Endbenutzer.

Es nimmt bei Microsoft so langsam Züge an wie in der Apple-Welt. Da kann schon seit längerem nur noch der lokale Benutzer manche Installation erlauben obwohl er gar keine Admin-Rechte hat. Der berechtigte Admin am remote Arbeitsplatz indes kann dieses Arbeiten nicht durchführen, weil Apple die Remote-Anmeldung erkennt und von einer Sicherheitsgefahr ausgeht.

Das Konzept erscheint durch und durch wacklig. Ich bin kein Hacker. Aber wenn ich eine Firmware-Sicherheitslücke angreifen möchte und dazu externe Geräte anstecken muss, dann würde ich das wahrscheinlich schon beim Systemstart machen und nicht erst nachdem Windows gestartet ist.

Es ist dennoch keine Lösung in Sicht, denn es liegt streng genommen kein Mangel vor wenn der Hersteller das umsetzt, was Microsoft und Komponentenhersteller (Intel) als Vorgabe machen. Also wird man sich wohl daran gewöhnen müssen.

Die überwiegende Mehrheit der Nutzer setzt nun einmal auf Microsofts Windows 10 als Betriebssystem und nur dieses Betriebssystem ist davon betroffen. Microsoft macht eine Vorgabe und der Hersteller setzt diese um. Auf dem Papier relativ einfach.

Es ist vielmehr zu erwarten, dass mit jedem neuen Firmwareupdate für bereits vorhandene Notebooks das gleiche ebenfalls passieren wird. Auch ältere Geräte werden wahrscheinlich irgendwann Dockingstations erst dann aktivieren, wenn man sich an der internen Notebooktastatur einmal angemeldet hat. Glücklich sei die Firma, die dafür ein sicheres WLAN bereitstellt, damit man sich auch ohne kabelgebundenes Netzwerk (denn das gibt es ja nur an der Dockingstation die noch nicht aktiviert ist) anmelden kann.

Schon klar, Microsoft. Die Wahrscheinlichkeit, dass sich jemand ins WLAN hackt, ist viel geringer, als dass jemand physischen Zugriff auf ein Notebook hat und daran auch noch externe Geräte anstecken kann um Sicherheitslücken auszunutzen. Ich hätte einen echt gewinnbringenden Vorschlag, um Systeme sicherer zu machen. Ein BIOS Zwangsfeature in allen Geräten mit dem Namen „block Microsoft OS from booting“.

Ein wirklich sinnvoller Ansatz könnte sein, den Admin bei der Ersteinrichtung entscheiden zu lassen, welche Sicherheitsstufe aktiviert wird. Dann hätten Kunden mit Dockingstations beispielsweise die Option, eine Liste an „bekannten“ Dockingstations des Unternehmens zu erlauben und alle anderen nicht. Damit hätte man praktisch denselben Sicherheitsstand wie bei der neuen SL 3 Variante. Eben mit der Ausnahme, dass der Admin Geräte erlauben kann. Ich bin mirb sicher, dass dies auch mal ursprünglich so geplant war. Nachdem aber alle Hersteller mit Dockingstations bzw. präsizer mit Thunderbolt auf Windows Systemen Probleme haben, wurde die Thunderbolt Security erfahrungsgemäß generell von Admins deaktiviert. Statt das Grundproblem zu lösen wird nun also wieder mit Kanonen auf Spatzen geschossen. Wenn Microsoft die Kanonen wenigstens nicht nur mit heißer Luft gefüllt hätte.