{"id":30302,"date":"2023-07-06T12:33:35","date_gmt":"2023-07-06T10:33:35","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=30302"},"modified":"2023-07-06T12:33:35","modified_gmt":"2023-07-06T10:33:35","slug":"how-to-protect-ram","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/how-to-protect-ram\/30302\/","title":{"rendered":"So sch\u00fctzen Sie RAM-Geheimnisse"},"content":{"rendered":"<p>Vor kurzem haben die Entwickler des Passwort-Managers KeePass eine Schwachstelle behoben, die das Abrufen des Master-Passworts <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-32784\" target=\"_blank\" rel=\"noopener nofollow\">aus dem Arbeitsspeicher (RAM)<\/a> erm\u00f6glichte, wo es im Klartext gespeichert war. Ebenso lassen sich auch Fragmente anderer wichtiger Informationen, wie z. B. aktuelle Nachrichten oder Daten aus Unternehmensdatenbanken, aus dem Speicher \u201eabgreifen\u201c. Die Entwickler von KeePass fanden schnell eine eher unorthodoxe L\u00f6sung f\u00fcr das Problem, doch in den meisten anderen Anwendungen werden Passw\u00f6rter nach wie vor im Klartext im RAM gespeichert, was es zu einer allgemeinen, weit verbreiteten Schwachstelle von Sicherheitssystemen macht.<\/p>\n<p>Ein Angriff auf den Arbeitsspeicher klingt exotisch und komplex, doch in Wirklichkeit ist es f\u00fcr Cyberkriminelle ziemlich einfach, einen solchen Angriff erfolgreich durchzuf\u00fchren \u2013 wenn die Administratoren keine besonderen Schutzma\u00dfnahmen ergreifen.<\/p>\n<h2>So k\u00f6nnen Angreifer auf den Arbeitsspeicher zugreifen<\/h2>\n<p>Bereiche des Arbeitsspeichers, die von verschiedenen Anwendungen genutzt werden, sind durch das Betriebssystem und den Hypervisor weitgehend voneinander isoliert. Aus diesem Grund ist es nicht m\u00f6glich, ein Fragment des Speichers zu lesen, in dem gerade eine andere Anwendung ausgef\u00fchrt wird. Dennoch sind Prozesse mit Kernel-Rechten (System in Windows, root in *nix) in der Lage, dies zu tun. Und es gibt mehr als nur ein paar M\u00f6glichkeiten, die <a href=\"https:\/\/www.kaspersky.de\/blog\/nokoyawa-zero-day-exploit\/29990\/\" target=\"_blank\" rel=\"noopener\">Privilegien auf das erforderliche Niveau zu heben<\/a>, wobei Sicherheitsl\u00fccken im Betriebssystem oder in <a href=\"https:\/\/www.kaspersky.de\/blog\/genshin-driver-attack\/29295\/\" target=\"_blank\" rel=\"noopener\">Ger\u00e4tetreibern<\/a> die h\u00e4ufigsten sind.<\/p>\n<p>Eine weitere Methode, um in den Arbeitsspeicher zu gelangen, ist ein <a href=\"https:\/\/www.kroll.com\/en\/insights\/publications\/cyber\/what-is-dma-attack-understanding-mitigating-threat\" target=\"_blank\" rel=\"noopener nofollow\">DMA-Angriff<\/a>. Diese Art von Angriff basiert auf der Tatsache, dass Hochgeschwindigkeits-Schnittstellen (USB 4.0, Thunderbolt, Firewire usw.) \u00fcber direkten Speicherzugriff verf\u00fcgen, um E\/A-Prozesse zu beschleunigen. Ein eigens entwickeltes Ger\u00e4t kann diese Funktion missbrauchen, um beliebige Bits des Speichers zu lesen. Und dies ist keine hypothetische Bedrohung; es gab bereits reale F\u00e4lle (<a href=\"https:\/\/en.wikipedia.org\/wiki\/DMA_attack\" target=\"_blank\" rel=\"noopener nofollow\">FinFireWire<\/a>).<\/p>\n<p>Doch auch ohne ausgekl\u00fcgelte Ger\u00e4te und Sicherheitsl\u00fccken ist dies durchaus machbar! Da das Betriebssystem den Inhalt des Arbeitsspeichers in Dateien schreibt, kann auf die darin enthaltenen Informationen zugegriffen werden, indem diese Dateien gelesen werden.<\/p>\n<p>In Windows gibt es mehrere Arten von Dateien dieser Art:<\/p>\n<ul>\n<li>Tempor\u00e4re Swap-Dateien (pagefile.sys)<\/li>\n<li>Dateien zur Speicherung des Ruhezustands (hiberfil.sys)<\/li>\n<li>Absturz- und Debug-Speicherabbilder (memory.dmp, minidump). Diese Dateien k\u00f6nnen auch <a href=\"https:\/\/learn.microsoft.com\/de-de\/troubleshoot\/windows-client\/performance\/generate-a-kernel-or-complete-crash-dump\" target=\"_blank\" rel=\"noopener nofollow\">manuell<\/a> erstellt werden.<\/li>\n<\/ul>\n<p>Unter Linux verwenden Swap und Ruhezustand eine spezielle Festplattenpartition, die zu diesen Zwecken gemeinsam genutzt wird.<\/p>\n<p>Der Zugriff auf eine dieser Dateien erfordert in der Regel physischen Zugriff auf den Computer, aber es ist nicht notwendig, die Zugangsdaten zu kennen oder den Computer \u00fcberhaupt einzuschalten. Man kann die Festplatte ganz einfach ausbauen und sie auf einem anderen Computer lesen.<\/p>\n<p>\u00a0<\/p>\n<h2>So verhindern Sie Angriffe auf den Arbeitsspeicher<\/h2>\n<p>Weil es viele M\u00f6glichkeiten gibt, den Arbeitsspeicher abzugreifen, m\u00fcssen Sie sich auf mehreren Ebenen gleichzeitig sch\u00fctzen. Einige Schutzma\u00dfnahmen sind nicht besonders benutzerfreundlich. Bevor Sie diese also anwenden, sollten Sie die Nutzungsszenarien der einzelnen Computer in Ihrem Unternehmen ber\u00fccksichtigen und die Risiken abw\u00e4gen.<\/p>\n<p>\u00a0<\/p>\n<h2>Einfache Ma\u00dfnahmen<\/h2>\n<p>Beginnen wir mit einigen relativ einfachen Ma\u00dfnahmen, die in jedem Fall zu empfehlen sind:<\/p>\n<ul>\n<li><strong>Implementieren Sie das Prinzip der geringsten Privilegien<\/strong>. S\u00e4mtliche Benutzer sollten ohne Administratorrechte arbeiten. Auch Administratoren selbst sollten nur f\u00fcr Wartungsarbeiten Administratorrechte erhalten, wenn diese wirklich ben\u00f6tigt werden.<\/li>\n<li><strong>Installieren Sie Schutzsysteme<\/strong> auf allen physischen und virtuellen Computern. Unternehmen m\u00fcssen \u00fcber <a href=\"https:\/\/www.kaspersky.de\/enterprise-security\/edr-security-software-solution?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">EDR-Systeme<\/a> verf\u00fcgen. Sorgen Sie daf\u00fcr, dass Sicherheitsrichtlinien Mitarbeiter daran hindern, legitime, aber potenziell gef\u00e4hrliche Dienstprogramme auszuf\u00fchren, die zur Erweiterung von Berechtigungen und zum Speicher-Dumping verwendet werden k\u00f6nnen (Sysinternals, PowerShell, \u00fcberfl\u00fcssige\/veraltete Treiber, usw.).<\/li>\n<li>Halten Sie das Betriebssystem und alle wichtigen Anwendungen <strong>auf dem neuesten Stand<\/strong>.<\/li>\n<li><strong>Stellen Sie sicher, dass die Computer im UEFI-Modus booten, nicht im BIOS<\/strong>. Aktualisieren Sie regelm\u00e4\u00dfig die UEFI-Firmware auf allen Computern.<\/li>\n<li><strong>Konfigurieren Sie sichere UEFI-Einstellungen<\/strong>. Deaktivieren Sie die Input\/Output Memory Management Unit (IOMMU), um DMA-Angriffe zu verhindern. Sch\u00fctzen Sie das UEFI durch ein Passwort und definieren Sie die korrekte Bootreihenfolge des Betriebssystems, um das Risiko zu verringern, dass das System von externen sch\u00e4dlichen Medien gestartet wird und die Einstellungen in nicht sichere Einstellungen ge\u00e4ndert werden. Die Funktionen Secure Boot und Trusted Boot verhindern au\u00dferdem die Ausf\u00fchrung von nicht vertrauensw\u00fcrdigem Betriebssystemcode.<\/li>\n<\/ul>\n<h2>Kontroverse Ma\u00dfnahmen<\/h2>\n<p>Alle in diesem Abschnitt aufgef\u00fchrten Ma\u00dfnahmen tragen erheblich zur Verbesserung der Systemsicherheit bei, wirken sich jedoch manchmal negativ auf die Computerleistung, die Benutzerfreundlichkeit und\/oder die F\u00e4higkeit zur Notfallwiederherstellung (Disaster Recovery) aus. Alle Ma\u00dfnahmen bed\u00fcrfen einer sorgf\u00e4ltigen Abw\u00e4gung im Kontext spezifischer Rollen innerhalb des Unternehmens, wobei die Umsetzung eine pr\u00e4zise und schrittweise Einf\u00fchrung mit umfassenden Tests erfordert.<\/p>\n<ul>\n<li>Das TPM 2.0-basierte <strong>Hardware-Schl\u00fcsselspeichersystem<\/strong> Trusted Platform Module bietet eine sichere Betriebssystemauthentifizierung, nutzt biometrische Daten f\u00fcr die Kontoanmeldung und erschwert die Schl\u00fcsselextraktion. Das TPM verst\u00e4rkt au\u00dferdem den von der Festplattenverschl\u00fcsselung gebotenen Schutz, da die Schl\u00fcssel ebenfalls auf dem Modul gespeichert sind. <strong>M\u00f6gliche Nachteile<\/strong>: einige Computer verf\u00fcgen nicht \u00fcber ein TPM; inkompatible Betriebssystem\/Hardware-Kombinationen; Schwierigkeiten bei der zentralen Schl\u00fcsselverwaltung (aufgrund unterschiedlicher Systeme und TPM-Versionen).<\/li>\n<li><strong>Vollst\u00e4ndige Festplattenverschl\u00fcsselung<\/strong>. Mit dieser Ma\u00dfnahme l\u00e4sst sich das Risiko eines Datenverlusts drastisch verringern, vor allem bei verlorenen oder gestohlenen Laptops; sie wird daher auch denjenigen empfohlen, die sich nicht unbedingt vor Angriffen auf den Speicher f\u00fcrchten. Die Microsoft-eigene Implementierung ist <a href=\"https:\/\/learn.microsoft.com\/de-de\/windows\/security\/operating-system-security\/data-protection\/bitlocker\/\" target=\"_blank\" rel=\"noopener nofollow\">BitLocker<\/a>, doch es gibt auch L\u00f6sungen von Drittanbietern. Die Festplattenverschl\u00fcsselung (Full Disk Encryption, FDE) ist auch Bestandteil vieler Linux-basierter Systeme (<a href=\"https:\/\/ubuntu.com\/core\/docs\/uc20\/full-disk-encryption\" target=\"_blank\" rel=\"noopener nofollow\"> B. in Ubuntu Version 20 und h\u00f6her<\/a>) und basiert normalerweise auf <a href=\"https:\/\/www.redhat.com\/sysadmin\/disk-encryption-luks\" target=\"_blank\" rel=\"noopener nofollow\">LUKS<\/a>. Eine Kombination aus TPM und FDE bietet maximale Zuverl\u00e4ssigkeit. <strong>M\u00f6gliche Nachteile<\/strong>: Bei einem gr\u00f6\u00dferen Crash kann nichts von der Festplatte wiederhergestellt werden. Daher ist ein gut funktionierendes Backup-System ein absolutes Muss. Gelegentlich kommt es zu einer sp\u00fcrbaren Verlangsamung der Laufwerksleistung, insbesondere beim Hochfahren des Computers.<\/li>\n<li><strong>Deaktivieren des Ruhezustands\/Standby-Modus<\/strong>. Wenn Sie den Standby-Modus deaktivieren und nur den Ruhezustand belassen, k\u00f6nnen Angreifer nur noch \u00e4u\u00dferst selten auf einen hochgefahrenen und teilweise entschl\u00fcsselten Computer zugreifen, der f\u00fcr DMA-Angriffe und andere Methoden anf\u00e4llig ist. <strong>Die Kehrseite dieser L\u00f6sung<\/strong> liegt ebenfalls auf der Hand, denn der Standby-Modus ist der schnellste und bequemste Weg, den Computer nach der Arbeit oder bei einem Ortswechsel im B\u00fcro \u201eauszuschalten\u201c. Sollten Sie sich f\u00fcr diesen Weg entscheiden, implementieren Sie auf jeden Fall FDE; ansonsten werden die Mitarbeiter h\u00f6chstwahrscheinlich den Ruhezustand nutzen, und die Ruhezustand-Datei ist Angriffen schutzlos ausgeliefert.<\/li>\n<li><strong>Deaktivieren des Ruhezustands<\/strong>. Wenn der Ruhezustand deaktiviert ist, kann ein Speicherabbild nicht von einer Datei auf einem ausgeschalteten Computer kopiert werden. F\u00fcr kritische Computer k\u00f6nnen Sie sowohl den Ruhezustand als auch den Ruhemodus deaktivieren; diese Computer k\u00f6nnen lediglich ausgeschaltet werden. In Kombination mit FDE, TPM und anderen Ma\u00dfnahmen gibt es kaum noch M\u00f6glichkeiten f\u00fcr Speicherangriffe; die Beeintr\u00e4chtigung der Benutzer w\u00e4re jedoch betr\u00e4chtlich, weshalb es sich lohnt, ernsthaft dar\u00fcber nachzudenken, in welchen F\u00e4llen ein solches Vorgehen gerechtfertigt ist.<\/li>\n<\/ul>\n<h2>Erz\u00e4hlen Sie die unverbl\u00fcmte Wahrheit<\/h2>\n<p>Wenn Sie sich dazu entschlie\u00dfen, dass die Deaktivierung des Ruhezustands oder des Standby-Modus aus Sicherheitsgr\u00fcnden gerechtfertigt ist, sollten Sie sorgf\u00e4ltig \u00fcberlegen, f\u00fcr welche Benutzer diese Richtlinie durchgesetzt werden muss. Vermutlich betrifft dies nicht 100 % der Mitarbeiter, sondern vielmehr diejenigen, die mit wichtigen Informationen arbeiten. Sie sollten ihnen erkl\u00e4ren, dass Passw\u00f6rter und andere Daten auf vielf\u00e4ltige Weise gestohlen werden k\u00f6nnen, weshalb Ma\u00dfnahmen wie der \u201eGebrauch eines Antivirenprogramms\u201c und das \u201eVermeiden von Websites dieser und jener Art\u201c nicht ausreichen, um ernsthafte Sicherheitsvorf\u00e4lle abzuwenden.<\/p>\n<p>Es empfiehlt sich, zu jeder Sicherheitsma\u00dfnahme ein paar Worte zu verlieren und den Mitarbeitern ihren Zweck zu erl\u00e4utern. Die vollst\u00e4ndige Festplattenverschl\u00fcsselung bietet Schutz vor dem einfachen Kopieren von Daten von einem verlorenen oder gestohlenen Computer sowie vor <a href=\"https:\/\/www.kaspersky.de\/blog\/evil-maid-attack\/25897\/\" target=\"_blank\" rel=\"noopener\">Evil-Maid-Angriffen<\/a>; d. h. vor einem Fremden, der physischen Zugang zum Computer hat. Die Deaktivierung des Ruhezustands und des Standby-Modus verst\u00e4rkt diese Sicherheitsvorkehrungen, sodass die zus\u00e4tzlichen f\u00fcnf Minuten, die zum Ein- und Ausschalten des Computers ben\u00f6tigt werden, dazu beitragen, dass der Mitarbeiter nicht zum Buhmann wird, wenn sein Passwort bei einem Cyberangriff verwendet wird.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kasap\">\n","protected":false},"excerpt":{"rendered":"<p>Was kann aus dem Arbeitsspeicher gestohlen werden, und was hat hiberfil.sys damit zu tun? <\/p>\n","protected":false},"author":2722,"featured_media":30303,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,1848,3107],"tags":[31,274,4082,938,125,4020,4081,1544,3687,33],"class_list":{"0":"post-30302","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-enterprise","10":"tag-angriffe","11":"tag-bedrohungen","12":"tag-dumps","13":"tag-linux","14":"tag-passworter","15":"tag-ram","16":"tag-speicher","17":"tag-technologien","18":"tag-uefi","19":"tag-windows"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/how-to-protect-ram\/30302\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/how-to-protect-ram\/25844\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/how-to-protect-ram\/21285\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/how-to-protect-ram\/28542\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/how-to-protect-ram\/26143\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/how-to-protect-ram\/26487\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/how-to-protect-ram\/28964\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/how-to-protect-ram\/35642\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/how-to-protect-ram\/48518\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/how-to-protect-ram\/20793\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/how-to-protect-ram\/21495\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/how-to-protect-ram\/26456\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/how-to-protect-ram\/32153\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/how-to-protect-ram\/31837\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/ram\/","name":"RAM"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30302","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=30302"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30302\/revisions"}],"predecessor-version":[{"id":30304,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30302\/revisions\/30304"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/30303"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=30302"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=30302"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=30302"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}