Windows-Sicherheit

Microsoft Pluton soll PCs zur Festung machen

13.01.2022
Von 
Lucas Mearian ist Senior Reporter bei der Schwesterpublikation Computerworld  und schreibt unter anderem über Themen rund um  Windows, Future of Work, Apple und Gesundheits-IT.
Auf der CES gab Microsoft bekannt, dass Lenovo und AMD mit den ersten Laptops auf den Markt kommen werden, die nativ mit dem Pluton-Chip ausgestattet sind. Damit sollen Hacker-Angriffe von Hardware-Seite aus erschwert werden.
Der Pluton-Chip ist direkt in der CPU angesiedelt. Das stellt eine weitere Barriere gegen Hacker-Angriffe dar.
Der Pluton-Chip ist direkt in der CPU angesiedelt. Das stellt eine weitere Barriere gegen Hacker-Angriffe dar.
Foto: prawest - shutterstock.com

Nach der Veröffentlichung von Windows 11 im Oktober, das mit Funktionen für hybrides Arbeiten aufwartet, hat Microsoft vergangene Woche die ersten PCs mit seiner Ende 2020 vorgestellten Pluton-Chip-to-Cloud-Sicherheitstechnologie angekündigt. Der Pluton-Chip wehrt nicht nur Malware ab, sondern steuert auch die Festplattenverschlüsselung BitLocker, die Biometriesoftware Windows Hello und die Sicherheitssoftware Windows Defender System Guard. Er soll dabei helfen, physische Insider-Angriffe zu verhindern. Die Technologie wird auch in Azure Sphere eingesetzt.

Mit den ThinkPad-Modellen Z13 und Z16 haben Lenovo und der Chiphersteller AMD die ersten Laptops auf den Markt gebracht, die standardmäßig mit den Pluton-Sicherheitschips ausgestattet sind. Die Startpreise sollen für das ThinkPad Z13 bei 1.649 Euro und für das ThinkPad Z16 bei 2.249 Euro liegen. Beide Laptops sollen ab Mai/Juni 2022 erhältlich sein. Die Lenovo Laptops werden von AMD-Prozessoren der Ryzen 6000er Serie angetrieben, die den Pluton Security Chip in die neuen Windows 11 PCs integrieren. Der Pluton-Chip basiert auf der Technologie, die seit Jahren in der Microsoft Xbox und Microsoft Azure Sphere eingesetzt wird.

Standardmäßig wird Pluton auf den Lenovo ThinkPad-Plattformen in diesem Jahr erst einmal deaktiviert sein (insbesondere auf den Modellen Z13, Z16, T14, T16, T14s, P16s und X13 mit AMD-Prozessoren der 6000er-Serie). "Die Kunden werden die Möglichkeit haben, Pluton selbst zu aktivieren", sagte ein Lenovo-Sprecher. Der Grund dafür sei, dass viele Unternehmenskunden neue sicherheitsrelevante Software oder Funktion, die sie in ihr Netzwerk einführen erst einmal ausgiebit testen wollen. Sie möchten Technologien wie Pluton nach eigenem Ermesse auf ihren Geräten aktivieren. "Wenn Pluton auf dem Markt ist, werden wir uns mit den Kunden in Verbindung setzen, um den Zeitpunkt der Freigabe ab Werk zu prüfen", sagt der Sprecher.

Windows Security by Design

Der Pluton-Prozessor soll einen größeren Schutz bieten als das derzeit gelieferte Trusted Platform Module (TPM), da es sich um einen dedizierten Sicherheitschip handelt, der Sicherheitsfunktionen wie BitLocker, Windows Hello und System Guard verwaltet. Vor allem für Windows 11 mit seinen zahlreichen IT-Sicherheitsfunktionen wurde Pluton entwickelt. Sein Einsatz führt etwa dazu, dass Funktionen wie UEFI, Secure Book und der verbesserte TPM-Chip vom Anwender nicht zu deaktivieren sind. Windows 11 ist ein auf "Zero Trust"-Umgebungen optimiertes Betriebssystem mit eingebauten und standardmäßig aktivierten Sicherheitsüberprüfungen, das vom Chip bis zur Cloud sicher sein soll.

Der Pluton-Chip ist ein speziell entwickelter Sicherheitsprozessor, der in Zusammenarbeit von Microsoft und führenden Halbleiterherstellern, darunter AMD und Qualcomm, entwickelt wurde. Er soll PCs gegen einige der raffiniertesten Malware-Angriffe schützen, indem er Benutzeranmeldeinformationen (einschließlich biometrischem Fingerabdruck), Identitäten, persönliche Daten und Verschlüsselungs-Keys sicherer speichert. Der eingebettete Sicherheitsprozessor vereint die Funktionalität von TPM 2.0 mit der Fähigkeit, neue Sicherheitsfunktionen nahtlos über Windows Update zu aktualisieren und dynamisch hinzuzufügen.

Lesetipp: Malware erkennen - Das kleine ABC der Schadsoftware

Die "eng verzahnte Hard- und Software" trägt zum Schutz vor Sicherheitsschwachstellen bei, indem sie zusätzliche Transparenz und Kontrolle bietet und sich besser an Veränderungen in der Bedrohungslandschaft anpassen lässt, so Microsoft. Der Pluton-Chip ist in der CPUs eines Geräts integriert integriert und daher für Angreifer schwieriger zu erreichen. Sensible Informationen, die auf dem Chip gespeichert sind, können nicht entfernt werden - selbst wenn ein Angreifer Malware installiert hat oder in den Besitz des PCs gelangt ist -, da der Chip vom Rest des Systems isoliert ist.

Laut einem Microsoft-Sprecher kann Pluton wie bisher als TPM fungieren oder in Verbindung mit dem diskreten TPM eines Drittanbieters zusätzliche Sicherheit für ein Gerät bieten. "Unsere Partner haben die Wahl und die Flexibilität, Pluton mit oder ohne ein TPM eines Drittanbieters anzubieten. Wenn Pluton als TPM konfiguriert ist, schützt es die BitLocker-Schlüssel, die zur Verschlüsselung und zum Schutz der auf dem System gespeicherten Kundendaten beitragen."

Patrick Hevesi, Vice President und Analyst bei Gartner, sieht den größten Vorteil des Pluton-Chips in der möglichen Eliminierung von physischen Side-Channel-Angriffen auf eigenständige TPM-zu-CPU-Kommunikationskanäle. Side-Channel-Angriffe zielen nicht auf Schwachstellen in den Systemen selbst ab. Stattdessen sucht die Malware nach Informationslecks, die etwas über den Betrieb des Systems verraten könnten. Akustische Angriffe können beispielsweise das Geräusch der Tastenanschläge eines Benutzers aufzeichnen, um seine Passphrase zu stehlen. Ebenso kann die von einem Computerbildschirm ausgehende Strahlung eines elektromagnetischen Feldes (EMF) genutzt werden, um Informationen einzusehen, bevor sie verschlüsselt werden.

Lesetipp: API Security - Die besten Testing Tools für Schnittstellen

"Da der Pluton-Sicherheitsprozess direkt in die System-on-a-Chip (SoC)-Chips eingebaut wird, sollte es keine Möglichkeit geben, an das System zu gelangen, ohne den Chip zu zerstören", sagte Hevesi per E-Mail. "Laut Microsofts Spezifikationen werden die Schlüssel sich ausschließlich innerhalb der Pluton-Security-Grenzen befinden, was Angriffe wie spekulative Ausführung und andere Arten von Angriffen auf Verschlüsselungs-Informationen verhindern wird." Ein weiterer Vorteil der Pluton-Architektur ist, dass Microsoft die Firmware-Updates für den Sicherheitsprozessor kontrolliert und direkte Updates über Windows Update ermöglicht.

Expertenmeinungen zu Pluton

Microsoft wird auch in der Lage sein, die Hard- und Software-Sicherheitsfunktionen wie Secure Boot, Measured Boot und virtualisierungsbasierte Sicherheit direkt auf einem einzigen SoC-Prozessor zu verbessern. "Dies wird dazu beitragen, sogar Angriffe aus der Ferne zu verhindern, die versuchen, den Kernel oder den Boot-Prozess des Betriebssystems zu verändern. Der Pluton-Chip wird dazu beitragen, Remote-Geräte abzusichern, da sowohl die physikalischen als auch softwarebasierte Sicherheitsfunktionen integriert sind", so Hevesi. "Diese Technologie kann auch auf Geräte vor Ort angewendet werden, um physische Insider-Attacken zu verhindern, und sie wurde auch zu Azure Sphere in der Cloud hinzugefügt."

Michael Suby, Research Vice President Security and Trust bei IDC, kommentiert, die SoC-Plattform sei zwar ein Fortschritt, werde aber kurzfristig die Kaufentscheidungen von Unternehmen für PCs nicht radikal verändern. "Hacker könnten sich heimlich in den Besitz des Laptops einer Führungskraft bringen und diesen Hardware-seitig infiltrieren - von der Führungskraft und dem Security-Team vollkommen unbemerkt", fürchtet Suby.

"Mit dem Eintritt in die neue Ära des hybriden Arbeitens benötigen Anwender moderne Sicherheitslösungen, die einen durchgängigen Schutz bieten, egal wo sie sich befinden", sagt indes Microsofts Security-Exerte Wo. "Windows 11 wurde entwickelt, um die Messlatte für die Sicherheit von Anfang an höher zu legen und Schutzfunktionen wie Windows Hello, Geräteverschlüsselung, virtualisierungsbasierte Sicherheit (VBS), Hypervisor-geschützte Code-Integrität (HVCI) und Secure Boot zu ermöglichen - eine Kombination, die Malware nachweislich um 60 Prozent reduziert."

"Es ist klar, dass die letzten Jahre große Erkenntnisfortschritte gebracht haben, die unsere Partner in das Design ihrer Geräte integriert haben. Diese Erkenntnisse - und die neuen Arbeitsweisen - haben auch viele der Innovationen im Design von Windows 11 beeinflusst", schreibt Nicole Dezen, Vice President of Microsoft Device Partner Sales, in einem Blogpost. (bw)

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation www.computerworld.com.