Keine Angst vor Fallen: E-Mails mit Links, die zu Websites mit schädlicher Software oder zu Phishing-Seiten führen, gehören zu den bevorzugten Angriffsmitteln von Kriminellen im Cyberraum. Mit seiner vPro-Plattform hat Intel auf die zunehmenden Gefahren reagiert. Die Notebooks und Desktops, die auf Intels vPro-Serie basieren, bieten darüber hinaus Schutz vor vielen weiteren Angriffsmethoden.
Da zahlreiche Beschäftigte mittlerweile komplett oder zeitweise im Homeoffice arbeiten, entwickelte sich in den vergangenen Jahren eine völlig neue Bedrohungssituation. An den privaten Arbeitsplätzen der Angestellten haben die IT-Abteilungen der Unternehmen weniger oder teilweise sogar überhaupt keine Kontrolle mehr über die Sicherheit der lokal gespeicherten Daten. Sie wissen auch nicht, wer Zugriff auf die Geräte hat und wie es um die Sicherheit der lokalen Netzwerkverbindung steht. Umso wichtiger sind deshalb effektive, fest in die Notebooks und Desktop-Rechner integrierte Schutzfunktionen, die sowohl beim Einzelgerät als auch im Netzwerk das Eindringen von Malware, das Ausspähen von Daten und den unbefugten Zugriff auf Firmenressourcen verhindern.
Auf Hardware basierende Sicherheit
Antiviren-Programme und Firewalls galten lange Zeit als die Mittel der Wahl, um Computer vor Malware zu schützen. Doch diese Maßnahmen reichen schon lange nicht mehr aus. Hacker haben Mittel und Wege gefunden, um mit ihren Schadprogrammen gezielt die Schwachstellen der PC-Architektur anzugreifen, ohne dass das Betriebssystem oder eine der herkömmlichen Security-Anwendungen die Attacke bemerkt. Hersteller wie Intel mussten daher ihrerseits neue Wege einschlagen, um diesen Angriffen zu begegnen. Moderne Computer verfügen deshalb über hardwarebasierte Sicherheitsfunktionen.
So kommen alle Notebooks und Desktop-PCs, die auf der vPro-Plattform von Intel basieren, mit dem Intel Hardware Shield in den Handel. Die Funktion ist standardmäßig eingeschaltet und bereits vorkonfiguriert, der Anwender muss darum nichts tun. Sie umfasst drei wichtige Komponenten: die Threat Detection Technology, die Application and Data Protection sowie diverse Below-the-OS-Funktionen.
Die Threat Detection Technology (kurz: Intel TDT) überwacht kontinuierlich die Telemetriedaten des Rechners und wie der Benutzer mit ihm arbeitet. Gelangt Malware wie beispielsweise Ransomware in den Rechner, bemerkt die Threat Detection dies aufgrund des zuvor unbekannten Verhaltens dieser Software. Sie beginnt sofort mit der Analyse der Bedrohung. Damit die Threat Protection die Performance des Computers dabei nicht beeinträchtigt, zieht sie für ihre Berechnungen sowohl die CPU wie auch den Grafikchip (GPU) heran. Ähnliche Systeme rufen häufig Fehlalarme hervor, da sie auf nahezu jede bislang unbekannte Software-Aktion mit einer Warnung reagieren. Intel hat die Threat Detection deshalb mit Machine-Learning-Fähigkeiten versehen, sodass sie selbstständig lernt, potenziell bedrohliche von ungefährlichen Programmen zu unterscheiden.
Die zweite Hardware-Shield-Komponente ist die Application and Data Protection. Dabei handelt es sich um eine von der Hardware beschleunigte Virtualisierungstechnik, die das Betriebssystem und die Anwendungen vor böswilligen Veränderungen schützt. Die Virtualisierung hat sich in den vergangenen Jahren als wirkungsvolles Mittel erwiesen, um Software-Systeme gegen Malware-Angriffe abzuschirmen. Die per Virtualisierungstechnik erzeugten virtuellen Maschinen können sich nach Manipulationen an den enthaltenen Komponenten einfach abschalten und im Ausgangszustand neu starten.
Drittens enthält der Hardware Shield eine Reihe von Below-the-OS-Funktionen. Dazu zählen:
- Intel BIOS Guard
- Intel Boot Guard
- Intel Firmware Guard
- Intel Firmware Update/Recovery
- Intel Platform Trust Technology (kurz: Intel PTT)
- Intel Runtime BIOS Resilience
- Intel System Resources Defense
- Intel Trusted Execution Technology (kurz: Intel TXT)
- Intel System Security Report
- Intel Tunable Replica Circuit – Fault Injection Detection
„Below the OS“ bedeutet, dass das Betriebssystem diese Funktionen nicht steuert. Sie dienen einerseits dem Schutz des Computers während des Boot-Vorgangs und schlagen beispielsweise Alarm, wenn sie dabei Änderungen am BIOS oder der Firmware registrieren. Denn dabei handelt es sich um besonders sensible Bereiche, die von einem herkömmlichen Antiviren-Programm aber nicht erfasst werden können. Weiterhin achten diese Funktionen auf Änderungen an der Hardware, die auf Manipulationen durch Hacker hindeuten könnten. Eine wichtige Rolle spielt in diesem Zusammenhang beispielsweise die Kontrolle des TPM-Chips, der für die hardwarebasierte Verschlüsselung von Passwörtern, Zertifikaten oder auch Fingerabdruck-Scans benötigt wird.
Angriffe auf den Arbeitsspeicher abwehren
Eine weitere Security-Funktion von Intels vPro-Plattform nennt sich Control-Flow-Enforcement-Technik (Intel CET). Sie zielt in erster Linie auf Webseiten ab, die Schadcode enthalten, der versucht, sich über Schwachstellen in der Speicherverwaltung auf dem Gerät des Anwenders auszubreiten. Lädt jemand eine solche Seite mit seinem Browser, startet ein kleines Programm, über das der Angreifer auf den Arbeitsspeicher des Rechners und von dort aus auf das Betriebssystem zugreifen kann.
Intel CET unterbindet solche Angriffsversuche, indem es die Ursprungsversion der Webseite wie eine Art Back-up auf der lokalen Hardware speichert. Verändert sich später der Code der Seite, weil beispielsweise schädliche Software startet, lädt die Technik automatisch wieder die Version aus dem Back-up. Das Konzept von Intel CET hat auch andere Hersteller überzeugt, die die Technik als Software nachgebaut haben. Microsoft übernahm CET in Windows 10 und 11, außerdem ist die Funktion Bestandteil der auf Chromium basierenden Browser wie etwa Google Chrome.
Einspielen von Updates aus der Ferne
Notebooks und Desktop-Rechner mit Intels vPro-Technik verfügen noch über ein weiteres Sicherheitsmerkmal. Denn bei ihnen bekommt die IT-Abteilung die Möglichkeit, Updates und Patches ohne Zutun des Besitzers aus der Ferne einzuspielen. Das funktioniert auch dann – und das ist das Besondere –, wenn das Gerät gerade nicht in Betrieb ist. Es erfordert lediglich eine Internetverbindung per WLAN oder Ethernetkabel.
Auf diese Weise gelingt es dem Support zum Beispiel, bei einem Malware-Befall ein im Datacenter gespeichertes Image des Betriebssystems und der benötigten Daten auf das Gerät zu spielen. Aber auch Sicherheits-Patches, die neu entdeckte, gefährliche Sicherheitslücken stopfen, lassen sich auf diesem Weg an entfernte PCs verteilen.