Wie sichere Prozessoren helfen, vertrauliche Daten zu schützen
Wir erweitern unser Team und suchen Gaming-Enthusiasten sowie Unterstützung für unsere Video-Produktion im Raum Hamburg.
Details
Unternehmen stehen permanent unter Beschuss von Angreifern aus dem Internet. Bei einem Fünftel der deutschen Firmen gab es im letzten Jahr mindestens einen gravierenden Sicherheitsvorfall, so der eco Verband der Internetwirtschaft. Die Lage der IT-Sicherheit bezeichnet das Bundesamt für Sicherheit in der Informationstechnik (BSI) als „angespannt“.
Kein Wunder: Cyberkriminelle nutzen immer neue, komplexe und raffinierte Angriffsmuster sowie Schadprogramme, um IT-Infrastrukturen zu attackieren und sensible Unternehmensdaten abzugreifen. Aber es geht nicht nur um Software und Betriebssysteme. Zunehmend haben es Hacker auch auf Hard- und Firmware abgesehen. Sie nutzen Schwachstellen aus, um die Firmware zu manipulieren oder um Daten auslesen zu können, die der Computer im Systemspeicher verarbeitet. Dazu gehören Passwörter, für Verschlüsselung genutzte Zeichenfolgen oder andere Zugangscodes. Damit können sich die Hacker einfach am System anmelden und gespeicherte Daten abgreifen. Eine Verschlüsselung der Festplatte oder andere Software-basierte Schutzmechanismen werden damit ausgehebelt.
Mehr Sicherheit durch Hard- und Software-basierende Schutzmaßnahmen
Zunehmend ergänzen deshalb Hardware-basierende Security-Features die bereits vorhandenen, auf Software gestützten Abwehrmaßnahmen. Ideal ist eine Kombination aus beiden Schutzleveln, die sich gegenseitig ergänzen und die das System vor komplexen und dynamischen Attacken schützen. Das Ziel dabei: die Daten auf den Computern von Unternehmen und Nutzern abzusichern.
AMD hat seine „Zen“-Architektur für spezielle Sicherheitsmechanismen entwickelt: Sie sollen Nutzerdaten schützen und gleichzeitig eine hohe Leistung sicherstellen. Die Architektur ist die Grundlage der Ryzen™- und EPYC™-Prozessoren des Herstellers, die unter anderem in PCs, Workstations und Servern stecken.
Jeder AMD-Prozessor besitzt eine integrierte Security-Technologie: Neben der eigentlichen Architektur arbeitet darin auch ein dezidierter Hardware-Sicherheitschip. Dieser AMD Secure Processor (ASP) bringt mehrere Vorteile:
- Hardware-basierte Sicherheit kann kritische Prozesse und Daten isolieren, um die gesamte Plattform besser zu schützen – auch vor Angriffen auf die Firmware.
- Der Prozessor mit Sicherheitsfunktionen kann die beim Start geladene Firmware authentifizieren. Manipulierte oder falsche Firmware wird dann an der Ausführung gehindert bzw. der Zugriff verweigert.
- Erst wenn Firmware und BIOS authentifiziert sind, übergibt der Prozessor die BIOS-Steuerung an das Betriebssystem. Jede Schicht der Sicherheitsinfrastruktur ergänzt so die folgende, das verstärkt den Schutz.
AMD entwickelt seine Features auf Silizium- und Firmwareebene zusammen mit Herstellern von Hardware und Betriebssystem. Die jeweiligen Schutzmaßnahmen in verschiedenen Ebenen können so ineinandergreifen. Damit werden Sicherheitsfunktionen auf Enterprise-Niveau oder Secured-Core PCs ermöglicht, also ein Windows 10-Gerät mit höchstem Hardware-, Software- und Identitätsschutz.
In die Architektur von leistungsstarken PRO-Prozessoren der 5000er Ryzen-Reihe ist außerdem AMD Shadow Stack integriert. Das ist eine durch Hardware gestützte Abwehr von sogenannten Control-Flow-Angriffen – also bestimmten Malware-Attacken direkt auf die CPU.
Die Gefahr von Kaltstartangriffen für die Systemdaten
Aber Gefahr für die gespeicherten Daten droht nicht nur aus dem Internet. Allein in den USA wird alle 53 Sekunden ein Laptop gestohlen. Mitarbeiter können Geräte außerdem verlieren, oder Einbrecher in das Firmengebäude gelangen. Das Problem: Computer werden häufig nicht ganz ausgeschaltet, sondern bleiben im Standby-Modus. Sie sind dann in wenigen Sekunden wieder einsatzbereit, inklusive aller vorher geöffneten Programme und Dokumente.
Das ist zwar benutzerfreundlich und bequem, stellt aber eine Gefahr für die Sicherheit dar. Denn wenn ein Anwender sich anmeldet, werden viele wichtige Systeminformationen unverschlüsselt im DRAM gespeichert. Ein physischer Angreifer kann diesen Speicher einfrieren, das System zurücksetzen, die Funktionen zum Löschen umgehen und dann die DRAM-Inhalte auslesen.
Ein solcher Kaltstartangriff kann nicht durch Sicherheitsmechanismen wie eine Verschlüsselung der Festplatte verhindert werden. Eine Möglichkeit, sich abzusichern, ist das vollständige Herunterfahren des Computers. Das allerdings nervt Mitarbeiter und bremst Produktivität aus, weil das Booten Zeit kostet. Es gibt aber noch einen anderen Weg, solche Attacken zu verhindern und damit Daten zu schützen.
Der verschlüsselte Systemspeicher verhindert Zugriffe
Alle AMD Ryzen PRO Prozessoren bringen eine weitere Schutzschicht für den Computer mit. Der integrierte Sicherheits-Coprozessor ASP bildet die Basis für den AMD Memory Guard. Das ist eine zusätzliche Verschlüsselungsebene, die den Systemspeicher codiert. Das geschieht direkt in den Speicher-Controllern auf dem Chip und mithilfe eines zufälligen Schlüssels. Angreifer können den Systemspeicher so nicht auslesen und an Passwörter oder andere Zugangsdaten gelangen.
Mit dem AMD Memory Guard können physische Kaltstartattacken, DRAM-Schnittstellen-Snooping und ähnliche Attacken abgewehrt werden. Gleichzeitig können Nutzer die Rechner komfortabel nutzen, weil diese nicht heruntergefahren werden müssen. Der AMD Memory Guard ist für Betriebssystem und Anwendungen transparent und kann darum auf jedem System installiert und genutzt werden.
Fazit
Mit seinem mehrschichtigen Sicherheitsansatz schützen AMD PRO Prozessoren die sensiblen Daten auf Unternehmensrechnern vor Angreifern aus dem Internet und vor Ort. Das verringert auch die Ausfallzeiten – und senkt damit letztlich die Betriebskosten.
- Mehr über AMD Ryzen™ PRO erfahren:
www.amd.com/de/products/ryzen-pro-processors-laptop