This forum uses cookies
This forum makes use of cookies to store your login information if you are registered, and your last visit if you are not. Cookies are small text documents stored on your computer; the cookies set by this forum can only be used on this website and pose no security risk. Cookies on this forum also track the specific topics you have read and when you last read them. Please confirm whether you accept or reject these cookies being set.

A cookie will be stored in your browser regardless of choice to prevent you being asked this question again. You will be able to change your cookie settings at any time using the link in the footer.

Wie wichtig ist eigentlich ein Bios-Passwort?
#1
Wie wichtig ist eigentlich ein Bios-Passwort?

Nach vor einigen Jahren wurde der Einsatz von einem Bios-Passwort nicht selten vernachlässigt. Unbedingt notwendig erscheint mir der Einsatz jedoch in Firmen, Großraumbüros oder in

öffentlichen Gebäuden. Insbesondere auch in Schulen oder in anderen Bildungseinrichtungen. Überall dort wo der Mensch Möglichkeiten zur Manipulation findet, wird er auch

Freude am Schaden anderer mit seinem geistigen Durchfall finden. Nun setze ich auch im privaten Bereich bei meinen BIOS-Systemen meist BIOS-Passwörter ein.

Wie würdet ihr das sehen und beurteilen? Eure Meinung zum Thema Bios-Passwörter bitte einfach posten.

Danke
All done!
Zitieren
#2
Ich habe auf meinem Laptop auch das Bios Passwort drin, so kann keiner al an deine Daten kommen wenn man mal den Lapto mit nimmt.
Es ist zwar kein 100% Schutz weil für jeden Schutz gibt es auch einen Lösung.
Lebe Jeden Tag , als wäre es der Letzte
Zitieren Spammer löschen
#3
Nun, man sollte sich ansehen was das BIOS Passwort leisten kann- und was nicht.

Ich nehme mal den Begriff "Festplatte" als Synonym für ein entnehmbares Laufwerk (HD, SSD, M2, USB,...).

1. Schutz von Daten auf deiner Festplatte leistet es NICHT. Jeder der deine Platte aus dem Gerät ausbaut und an ein anderes Gerät als 2. Platte ansteckt kommt an deine Daten.
Ebenso kommt jeder an deine Daten der deinen Rechner mit einem alternativen Bootmedium startet. Hier hilft nur Festplatten Verschlüsselung. 

2. Schutz gegen Datenzugriff bei eingebauten Laufwerk und gesetzten BIOS Start Passwort: Kostet mich ein müdes Lachen das auszutricksten und dein BIOS Passwort zu resetten. Das größte Hindernis daran sind die "proprietären" Schrauben deines Laptos. Beim Desktop geht das in 10 Sekunden. Nahezu alle Motherbords haben sogar dafür Jumper um dieses dem Laien zu ermöglichen. Freundlicherweise sind diese Jumper auch noch oft als "Passwd" oder "Pwd" auf der Platine beschriftet, und befinden sich in der Nähe der CMOS Batterie. Oft hilft schon die Entnahme der CMOS Batterie,...., sofern es nicht auch dafür einen Jumper gibt.
Bei den Andern (meist Laptops) muss man sich a bisserl mehr auskennen. 
Selbst meine Kinder hatten das mit 10 Jahren schon längst raus.....  Also ungeeignet zum Aussperren bis die Hausaufgaben erledigt sind.
Somit taugt das Bios Passwort nur sehr eingeschränkt dafür ein Booten des Rechners zu verhindern.
Völlig unbedarfte User kann man aber damit aussperren.

Merke: Wer physikalischen Zugang zu deinem Rechner hat, kommt an alle deine Daten. - Ausser die sind hervorragend verschlüsselt.


3. Schutz gegen Angrife zum BIOS Austausch über "Netzwerk". - dies ist die Hauptwirksamkeit des BIOS Passwortes.
Hier hilft das BIOS Passwort beim Schutz des BIOS gegen unbefugten Zugriff - meist. Es kommt aber auf die Bios Einstellungen an, und ist Hersteller und Modellbhängig. 

Ein Schutz besteht nur bei gleichzeitig korrekt eingestellten BIOS, der eine Passwort Eingabe zum BIOS flashen verpflichtend macht. Früher gab es dafür Jumper, was sicherer war.

Also besteht der Hauptschutz darin das Austauschen des BIOS durch Unbefugte mit einer "manipulierten" Version zu verhindern. 
Ebenso wird dann das Ändern der Bios Einstellungen verhindert, was zum Beispiel (bei richtiger BIOS Einstellung!) ein alternatives Bootlaufwerk verhindert. (Siehe Angriffsvector 1.)

Aber auch dafür würde ich meine Hand nicht ins Feuer legen. Mir sind in meiner langjährigen IT Praxis hunderte Motherboard Typen auf den Tisch gekommen, und dabei ist eines klar geworden: Es ist extrem abhängig vom Motherboard Hersteller, sowie ob es sich um ein Gerät für dem Heimmarkt oder professionellen Einsatz handelt.

Und jedes BIOS sieht anders aus, obwohl unter der Haube nur mehr der Code zweier goßer BIOS Hersteller werkelt. Aber jeder Motherboard Hersteller legt seine eigenen Oberfläche drüber, und schaltet Einstellmöglichkeiten ab oder an.

Tendenziell sind Privatgeräte weniger remote administrierbar- und damit auch weniger Anfällig gegen Angriffe auf BIOS Austausch über Netzwerk.
Geräte für Firmenumgebungen dagegen haben etliche Fernwartungs Tools onbord- die sich leider auch missbrauchen lassen.
Besonders wenn sich die Administratoren dessen nicht bewusst sind, weil sie selber diese Mittel nicht einsetzten. Dann sind diese ungesichert mit Standard Passwörtern versehen und aktiv.

Um einen Angriff auf das eigene BIOS abzuwehren muss man verstehen das das BIOS heute aus mindestens 3 Teilen besteht: Programmcode, Variableninhalte und Zertifikatsspeicher.

Der Programmcode wird "komplett" mittels BIOS Update ausgetauscht.
Die BIOS Variableninhalte können im BIOS Setup einzeln manuell gesetzt werden, oder mittels Fernwartungstools auch komplett ausgetauscht werden. Eine davon ist euer BIOS Passwort. Moderne Rechner verschlüsseln das BIOS Passwort AES256 und speichern nur den Hashwert ab.
Der Zertifikats Speicher kann auch manuell oder remote bestückt werden.

Wie läßt sich der BIOS Programmcode austauschen?  Unterschiedlich ist dabei wo/in welchem Kontext das Programm läuft welches das Update dafür ausführt.

1. Traditionell: Man bootet den Rechner von einem externen Laufwerk mit DOS und startet dort das BIOS Update. (Update Software ist ein DOS Progrann auf dem USB Stick/Floppy. Das neue BIOS File befindet sich ebenfalls im gleichen Medium).

2. Aufruf des BIOS Updates aus dem laufenden Betriebssystem heraus (Update Software ist eine Windows Anwendung. Das neue BIOS File sollte unbedingt auch bereits lokal liegen!)
Es gibt auch die Möglichkeit bei 2. das BIOS File direkt aus dem Internet zu laden, was für das System tödlich sein kann wenn die Verbindung abreisst.

3. Aufruf des BIOS Updates aus dem BIOS des Rechners heraus (Update Software ist Bestandteil des BIOS, das zu ladende BIOS File wird auf einen USB Medium bereitgestellt)

4. Aufruf des BIOS Updates aus dem BIOS des Rechners heraus (Update Software ist Bestandteil des BIOS, das zu ladende BIOS File wird aus dem Internet automatisch gezogen)

5. Out of Band mittels eines separaten Fernwartungstools auf den Rechner. (Die Update Software wird in einem Minirechner im Rechner ausgeführt, BIOS File kommt über Netzwerk)

Nicht alle dieser Wege fragen ein BIOS Paswort ab bevor das BIOS verändert wird. Das kann von Hersteller zu Hersteller variieren.

Dazu kommt: Alle Tools sind ja "legale" Mittel - ganz anders mag es aussehen wenn jemand ein Hackertool schreibt.


Nun zur Frage wie wichtig ein BIOS Passwort ist:
Für deine Daten unwichtig.
Für die Sicherheit deines Rechners gegen "stille" Feindliche Übernahme wichtig.

@ Stefanie- wenn du das BIOS Passwort natürlich im UEFI Modus mit Secureboot und Laufwerksverschlüsselung zusammen einsetzt ist das natürlich was Anderes.
Dann sollten deine Daten bei Laptop Klau sicher sein. Aber mache ein offline Backup, falls du mal selber nicht mehr dran kommst.
Zitieren
#4
Yes
All done!
Zitieren
#5
Besten Dank Stefanie und Tron Mcp für diesen wertvollen Beitrag.

Denke, habe die Anwort auf meine Fragen gefunden:-)
All done!
Zitieren


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste