Truecrypts Schwäche und böse Zimmermädchen

0
Posted by: On:
Category: Allgemein · 3 Min Lesezeit
Beitragsbild: Truecrypts Schwäche und böse Zimmermädchen

Truecrypt ist extrem wichtig, um seine Daten und damit seine Privatsphäre zu schützen. Das gilt besonders für Reisende mit Laptops, aber auch genauso für stationäre PCs daheim.

Aber auch wenn die Truecrypt-Verschlüsselung als unknackbar gilt, so gibt es doch Angriffsszenarien, in denen sich dieser Schutz aushebeln lässt. Generell bietet Truecrypt keinerlei Schutz, wenn bereits ein Virus/Trojaner auf dem Rechner ist. Im Betrieb sind die Daten nämlich unverschlüsselt, denn sonst könnte man ja nicht mit dem Rechner arbeiten. Erst wenn der Rechner ausgeschaltet wird, setzt Truecrypts Schutz ein.

Wer sich also einen Trojaner selbst installiert (z.B. durch unvorsichtiges Klicken auf E-Mail-Anhänge), dem hilft Truecrypt wenig.

Aber es hilft doch, wenn man seinen Rechner ausgeschaltet alleine lässt? – Ja, aber nur bedingt.

Dieses Szenario nennt sich „evil maid attack", also Angriff durch ein böses Zimmermädchen. Der typische Beispielfall ist also, dass man seinen Laptop ausgeschaltet und gesichert alleine lässt (z.B. in einem Hotelzimmer). Das böse Zimmermädchen kann aber genauso gut der Zollbeamte sein, der am Flughafen den Laptop zur „Sprengstoffkontrolle" ins Nebenzimmer entführt, oder der Industriespion, der in Haus oder Wohnung einbricht und den gesicherten Rechner vorfindet.

Allgemein gesagt hat jemand physischen Zugriff auf den Rechner, ohne dass der Besitzer es merkt.

Verwendet man kein Truecrypt, so kann der Angreifer jetzt bereits alle Daten vom Rechner kopieren oder beliebige Trojaner installieren – der Angriff hätte sofort Erfolg.

Ist der Rechner mit Truecrypt gesichert, so geht dies nicht so einfach. Eine Installation von Software oder das Kopieren von Daten ist nicht möglich. Allerdings kann natürlich sehr wohl ein Keylogger installiert werden. Entweder als Hardware irgendwo in/am Laptop oder auch in Softwareform im Bootsektor der Festplatte, in dem normalerweise der Truecrypt-Loader liegt.

Loggt sich der ahnungslose Besitzer nun das nächste Mal auf dem Rechner ein, wird das Truecrypt-Passwort im Keylogger gespeichert.

Der Angreifer muss also nur ein zweites Mal wiederkommen, um mit dem vorhandenen Passwort die Festplatte zu entschlüsseln. Dies muss nicht unbedingt im Geheimen erfolgen, sondern kann auch im Rahmen einer Hausdurchsuchung passieren.

Welche Abwehrmaßnahmen gibt es gegen diesen Angriff?

  • Computer über BIOS-Passwort schützen. Dies ist aber kein absoluter Schutz, denn das BIOS lässt sich resetten oder die Festplatte ausbauen und in einen gleichartigen Rechner stecken, um dort den Keylogger zu installieren. Es erhöht aber auf jeden Fall den Aufwand eines Angriffes.
  • Rechner immer von einem tragbaren, im Idealfall unbeschreibbaren Medium booten, z.B. einer CD. Dies hilft gegen Manipulation des Bootsektors, aber nicht gegen Hardware-Keylogger.
  • Den Rechner möglichst nicht alleine lassen und immer sicher im Safe etc. verstauen (offensichtlich).

Update 2026

Die Entwicklung von TrueCrypt wurde 2014 unter bis heute ungeklärten Umständen eingestellt. Der direkte Nachfolger ist VeraCrypt – quelloffen, aktiv gepflegt und mit denselben Konzepten (Container, Systemverschlüsselung, Hidden Volumes). Alles in diesem Artikel gilt unverändert auch für VeraCrypt, BitLocker und LUKS: Gegen Evil-Maid-Angriffe hilft keine Verschlüsselung der Welt, sondern nur physische Kontrolle über das Gerät. Moderne Geräte mit Secure Boot und TPM erschweren Bootloader-Manipulationen, schließen Hardware-Keylogger aber ebenfalls nicht aus. Für Grenzübertritte gilt weiterhin: am besten ein leeres Gerät mitnehmen und Daten verschlüsselt aus der Cloud nachladen.

Kommentare (0)

Noch keine Kommentare – schreib den ersten!

Kommentar schreiben

Kommentare werden vor der Veröffentlichung geprüft. Es werden nur Name/Pseudonym und der Kommentartext gespeichert – keine IP-Adresse, keine E-Mail. Details in der Datenschutzerklärung.