Fünf Minuten dauert es, bis Olle Segerdahl einen der wichtigsten Schutzmechanismen in fast allen modernen Macs und Windows-PCs ausgehebelt hat. Der IT-Sicherheitsforscher der Firma F-Secure hat einen Weg gefunden, Daten aus der Festplatte auszulesen, auch wenn diese verschlüsselt ist. Alle modernen Betriebssysteme bieten Nutzern die Chance, die Festplatte zu verschlüsseln. Wird der Rechner heruntergefahren oder in den Ruhezustand versetzt, bleiben die Daten geschützt, auch wenn jemand die Festplatte aus- und in einen anderen Rechner einbaut.
Gelangen die digitalen Schlüssel, die die Daten auf der Festplatte schützen, in die Hände von Hackern, haben diese Zugriff. Das heißt: Gehen Rechner verloren oder werden geklaut, könnten Unbefugte mit diesem Trick am Rechner mitunter alle Informationen auslesen, die sich im Arbeitsspeicher befinden. Das können auch Passwörter sein, mit denen sich der ganze Rechner entsperren lässt. Auch staatliche Ermittler dürfte diese Nachricht freuen. Sie beschweren sich seit Jahren darüber, dass Rechner immer besser gesichert sind.
Den Angriff haben Segerdahl und sein Kollege Pasi Saarinen auf einer Fachkonferenz in Schweden vorgestellt. Der Süddeutschen Zeitung schickte er den Vortrag vorab und schilderte das Vorgehen am Telefon. Zuerst hatte Techcrunch über die Angriffstechnik berichtet.
Um mit ihrem Trick Zugriff auf die Festplatte zu bekommen, müssen Hacker allerdings den Rechner in ihre Händen bekommen. Es bleibt unmöglich, eine verschlüsselte Festplatte aus der Ferne auszulesen. Wird ein Rechner heruntergefahren, befinden sich die Schlüssel für einen kurzen Zeitraum im Arbeitsspeicher, bevor sie endgültig gelöscht werden. Diese Zeit kann in die Länge gedehnt werden, wenn der Hacker die Platte kühlt.
Bereits 2008 zeigten Forscher, wie die Gesetze der Physik genutzt werden können, um Daten auszulesen. Um gegen solche Szenarien geschützt zu sein, wird der Arbeitsspeicher beim erneuten Hochfahren überschrieben. Auch weitere Schutzmechanismen wurden seitdem eingeführt. Das hat Segerdahl nicht aufhalten können. Auch der neue Angriff basiert auf Kühlung, um die Daten länger im Arbeitsspeicher zu halten. Segerdahl sprühte dafür Eisspray direkt auf die Festplatte, nachdem er die Außenhülle des Laptops entfernt hat. Noch bevor der Rechner das Betriebssystem in Gang setzt, startet eine Mini-Software namens UEFI. Sie regelt unter anderem, welche Prozesse wann gestartet werden sollen. Die Hacker können UEFI manipulieren und die Reihenfolge der Prozesse ändern. Noch bevor der Speicher überschrieben wird, können sie so ein eigenes Programm zum Laufen bringen, zum Beispiel von einem USB-Stick aus. Dieses Programm liest die Schlüssel für die Festplatte und andere Informationen aus, die sich im Arbeitsspeicher befinden, etwa Passwörter. In einem Kurzvideo zeigen die Forscher, wie so ein Angriff ablaufen kann.
Segerdahl weist darauf hin, dass es einen Unterschied gebe zwischen einem Computer im Ruhezustand und einem, der ausgeschaltet ist. Wird ein Rechner in den Ruhezustand versetzt, befinden sich die Schlüssel weiterhin im Arbeitsspeicher - und können abgegriffen werden. Wird der Rechner ausgeschaltet, sind sie gelöscht.
Apple teilte auf Anfrage von Techcrunch mit, dass jene Rechner geschützt seien, die auf dem T2-Chip basieren. Sie sind im iMac Pro verbaut und in Macbook-Pro-Modellen ab 2018. Microsoft veröffentlichte Anfang September einen Blogbeitrag mit Tipps, die auch gegen Angriffe wie den von F-Secure vorgestellten schützen sollen. Die Forscher haben nicht alle Rechner aller Herstellern geprüft. Es gebe aber keinen Grund, warum der Angriff nicht auf allen Maschinen funktionieren sollte, sagt Segerdahl.