Frage zu Bitlocker

Neo Phontane

Cadet 3rd Year
Registriert
Sep. 2010
Beiträge
48
Hallo liebe Experten,

ich habe eine theoretische Frage zu Bitlocker. Ausgangslage: Jemand stiehlt mein Notebook und will an meine Daten auf der SSD gelangen.

Fall A) Das Notebook ist lediglich mit einem Windows-Passwort gesichert.
Fall B) Das Notebook ist mit keinem Windows-Passwort gesichert, aber mit Bitlocker mit aktiviertem TPM.
Fall C) Das Notebook ist sowohl mit Windows-Passwort, als auch mit Bitlocker mit aktiviertem TPM gesichert.

Frage: Ist es dem Dieb möglich, an meine Daten zu gelangen?

Nun, ich denke Fall A und B kann man relativ einfach beantworten: Bei Fall A muss der Dieb einfach nur ein alternatives OS booten und hat Zugriff auf all meine unverschlüsselten Daten oder er baut die SSD aus und schließt sie an einen anderen PC an. Bei Fall B sind die Daten auf der SSD zwar verschlüsselt, aber alles, was er tun muss, ist das Notebook einzuschalten, und nachdem ja Bitlocker mit TPM per default kein weiteres Passwort verlangt, wird die Platte entschlüsselt und er hat Zugriff darauf.

Aber wie sieht es mit Fall C aus? Gibt es eine Möglichkeit, von einem ausgeschalteten Notebook, welches mit Windows-Passwort, als auch mit Bitlocker mit aktiviertem TPM gesichert ist, Zugriff auf die Daten zu gelangen? (Von Bruteforce mal abgesehen)

Lg
 
Hi,

nein, da er dazu den Bitlocker Recovery Key bräuchte. Wenn er die Disk in einen anderen Rechner einbaut, kann er sie nicht booten (TPM im anderen PC hat den Entschlüsslungkey nicht). Über Boot-CD auf Festplatte zugreifen geht auch nicht, da sie ja verschhlüsselt ist und er Dieb den Recovery Key bräuchte um darauf zuzugreifen.
Also kann er noch dein Windowspasswort knacken, wenn er die Platte in deinem PC lässt und bootet. Das aber nur durch ausprobieren. Bzw. durch das Einstecken virenverseuchter USB Sticks (o.ä.) die Sicherheitslücken ausnutzen die keine Userinteraktion vorraussetzen. Um das zu verhindern musst du noch einen Bitlocker Pin einrichten, der bei jedem Booten abgefragt wird. Dann kann der Dieb den Rechner gar nicht erst bis zum Windows Login Screen booten.

Grüße,
ntloader
 
Und dann ist es auch egal, ob du jetzt ein Windows-Passwort oder ein Bitlocker-Pin hast. Letzteres ist solange sicher, wie BitLocker nicht geknackt ist.
 
Ja. Kommt darauf an, welches BS lief und wie es runtergefahren wurde.
Denn theoretisch kann man aus dem RAM das PW auslesen.
Da bei bestimmten Ruhezuständen der Inhalt des RAM auf die HDD gespeichert wird. wäre es theoretisch möglich, diesen auszulesen.
Es sei denn man hat gesamte SSD verschlüsselt.
Dann würde es nur gehen, wenn das Notebook eingeschaltet geklaut wird...
In diesem Fall kann man den RAM Inhalt sichern und theoretisch das PW extrahieren.

In der Praxis ist das natürlich eher unwahrscheinlich...

Und ja, ich sowas schon einmal versuchsweise erfolgreich gemacht...:D
 
Zuletzt bearbeitet:
Und dann ist es auch egal, ob du jetzt ein Windows-Passwort oder ein Bitlocker-Pin hast. Letzteres ist solange sicher, wie BitLocker nicht geknackt ist.
Nein, das macht einen großen Unterschied. Hast du zusätzlich noch einen Bitlocker Pin konfiguriert können dir Windows Sicherheitlücken egal sein, weil das Angreifer gar nicht erst soweit kommt, das OS zu booten.
 
Vielen Dank für eure Antworten! :)

ntloader schrieb:
Also kann er noch dein Windowspasswort knacken, wenn er die Platte in deinem PC lässt und bootet. Das aber nur durch ausprobieren. Bzw. durch das Einstecken virenverseuchter USB Sticks (o.ä.) die Sicherheitslücken ausnutzen die keine Userinteraktion vorraussetzen.
Genau das interessiert mich. Gibt es tatsächlich solche Tools, die den Windows-Passwort-Schutz umgehen, ohne die SSD auszubauen? Hast du da was konkretes oder vermutest du nur?

TheLastHotfix schrieb:
Zu Fall B) mit einem alternativen OS booten und drauf zugreifen geht nicht
Das habe ich auch nicht behauptet - bitte genau lesen.

TheLastHotfix schrieb:
Fall C) falls das OS mit einem Microsoft Account verknüpft war liegt der Recovery Key wahrscheinlich bei OneDrive, damit ließe es sich entsperren.
Aber nur, wenn der Benutzer dies bei der Bitlocker Einrichtung explizit auswählt. [1] Wer das tut, ist selbst schuld.

Bartmensch schrieb:
Da bei bestimmten Ruhezuständen der Inhalt des RAM auf die HDD gespeichert wird. wäre es theoretisch möglich, diesen auszulesen. Es sei denn man hat gesamte SSD verschlüsselt. Dann würde es nur gehen, wenn das Notebook eingeschaltet geklaut wird.
Natürlich würde ich mit Bitlocker die gesamte SSD verschlüsseln. [2] Und wie ich ja geschrieben habe, ist davon auszugehen, dass es ausgeschalten gestohlen wird.

ntloader schrieb:
Hast du zusätzlich noch einen Bitlocker Pin konfiguriert können dir Windows Sicherheitlücken egal sein, weil das Angreifer gar nicht erst soweit kommt, das OS zu booten.
Sind dir solche Sicherheitslücken bekannt? Dass die Verwendung einer zusätzlichen PIN zu Bitlocker ratsam ist, ist mir klar.

[1] https://youtu.be/5o9zGAOOg4c?t=7m36s
[2] https://youtu.be/5o9zGAOOg4c?t=8m34s
 
Zuletzt bearbeitet:
ntloader schrieb:
Der Artikel behandelt USB-Stick-Trojaner. Der beschriebene Angriffsvektor funktioniert nur dann, wenn bereits ein User in Windows angemeldet ist. Das ist in meinem beschriebenen Szenario nicht der Fall.

Ich fand zwar so einige Berichte über Windows-Passwort-Sicherheitslücken (zB [1]), aber imho würde keine der beschriebenen Angriffe funktionieren, wenn Bitlocker aktiviert ist und der Angreifer noch keinen Zugriff auf das System hat. Da auch sonst niemand hier etwaige Sicherheitslücken aufgezeigt hat, scheint meine oben beschriebene Variante C) zumindest derzeit relativ sicher zu sein. Klar können immer neue Sicherheitlücken zu Windows bzw. Bitlocker auftauchen. Und klar ist Bitlocker mit PIN viel sicherer als ohne, aber mich hat eben interessiert, ob die Kombination Windows-Passwort und Bitlocker mit TPM theoretisch derzeit bereits ausreichend ist.

[1] https://youtu.be/eIX1mtS2E88
 
Zuletzt bearbeitet:
Dein verlinktes Video zeigt ja einen Angriff der so seit 20 Jahren funktioniert. Mit Bitlocker allerdings nicht. Die alte Regel: Ist dein Rechner gestartet (egal ob gebitlockert oder nicht) und der Angriffer kann physikalisch über das Gerät verfügen, hast du verloren.
 
Das ist völlig klar. Deswegen habe ich auch ausdrücklich geschrieben, dass das Szenario ein ausgeschaltetes Notebook ist.
 
Zurück
Oben