Das Notebook ist das wichtigste Arbeitsmittel für viele Büroangestellten. Auf diesen Geräten befinden sich zahlreiche sensible Daten – von vertraulichen Dokumenten und persönlichen Nachrichten bis hin zu Zugangsdaten und sensiblen Informationen über Kunden und Mitarbeitende. Genau das macht sie zu einem attraktiven Ziel für Cyberkriminelle. Hinzu kommt, dass täglich tausende Notebooks verloren gehen oder gestohlen werden. Dadurch geraten auch die darauf gespeicherten Daten in Gefahr. HP bietet dazu eine Lösung, mit der sich der Speicher eines gestohlenen oder verlorenen Geräts aus der Ferne löschen lässt – selbst dann, wenn das Gerät offline oder ausgeschaltet ist.

Die rasante Verbreitung von KI-gestützten Anwendungen beschleunigt den Wandel von manuellen hin zu automatisierten Tools. Diese analysieren beispielsweise Dokumente, Bilder und Sprachaufzeichnungen und können Inhalte darauf basierend individualisieren oder manipulieren. Damit wächst die Menge sensibler Daten, die direkt auf den Endgeräten verarbeitet wird. Und selbst wenn Daten theoretisch in der Cloud gespeichert werden, müssen sie aus Leistungsgründen in der Regel lokal zwischengespeichert werden und landen damit letztlich doch auf dem Gerät.

Moderne Rechner enthalten zudem weitere Informationen, die für Angreifer besonders interessant sind: Anmeldedaten oder bereits authentifizierte Zugriffe auf interne Anwendungen. Dadurch können Laptops zum Einfallstor ins Unternehmensnetz werden – nicht nur um geistiges Eigentum oder Finanzinformationen zu entwenden, sondern auch, um weiterführende Angriffe zu ermöglichen.

Gerät ein Rechner in die falschen Hände, verlassen sich viele Unternehmen auf die weit verbreitete BitLocker-Festplattenverschlüsselung. Sie soll sicherstellen, dass Daten auf verlorenen oder gestohlenen Laptops geschützt bleiben. Diese Verschlüsselung lässt sich jedoch bei einem physischen Zugriff auf die Hardware unter Umständen umgehen.

Ein Beispiel dafür ist das sogenannte «TPM-Bus-Sniffing». Diese Technik ermöglicht es Cyberkriminellen, die Kommunikation zwischen dem Trusted Platform Module (TPM) des Notebooks und der CPU während des Bootvorgangs abzufangen. Das TPM ist ein spezieller Sicherheitschip, der mehrere kritische Aufgaben übernimmt. Es speichert kryptografische Schlüssel, unterstützt Authentifizierungsprozesse und ermöglicht sichere Bootvorgänge. Ausserdem arbeitet das Modul eng mit Verschlüsselungstechnologien wie BitLocker zusammen.

In der Standardkonfiguration gibt das TPM den Schlüssel zur Festplatten-Entschlüsselung beim Systemstart frei – vorausgesetzt, die Umgebung gilt als vertrauenswürdig. Gerade diese ausschliesslich TPM-basierte Konfiguration von BitLocker ist in Unternehmen beliebt, weil sie einfach implementiert werden kann und verschlüsselte Laufwerke beim Start automatisch entsperrt.

Befindet sich das Gerät jedoch im Besitz eines Angreifers, kann diese Kommunikation während des Startvorgangs abgefangen und der kryptografische Schlüssel wiederhergestellt werden. Im Idealfall dauert das weniger als eine Minute mit Hardware, die nur rund 20 US-Dollar kostet. Solche TPM-Bus-Angriffe sind gut dokumentiert. Weil es sich dabei nicht um einen klassischen Anwendungsfehler handelt, kann ein Software-Update diese Schwachstelle voraussichtlich nicht beheben. Die grundlegende Herausforderung bleibt: Viele Schutzmassnahmen lassen sich ausschalten, sobald ein Angreifer physischen Zugriff auf das Gerät hat.

Für Unternehmen und Behörden ergeben sich daraus zudem kritische Compliance-Fragen: Reicht Standard-BitLocker als Schutzmassnahme aus? Und muss der Verlust eines Geräts mit personenbezogenen Daten an die Datenschutzbehörde gemeldet werden?

Mobile Geräte sind attraktive Angriffsziele. Unternehmen sollten ihren Ansatz beim Endgeräteschutz deshalb kritisch überprüfen und weiterentwickeln. Viele Sicherheitsstrategien konzentrieren sich noch immer stark auf Software-Kontrollen wie Endpoint Protection, Betriebssystemhärtung und Netzwerküberwachung. Diese Ebenen bleiben unverzichtbar, bieten aber nur einen begrenzten Schutz. Insbesondere dann, wenn die Hardware bereits im Besitz eines Angreifers ist. Der Ansatz verschiebt sich daher hin zu hardwarebasierter Sicherheit und damit zu Systemen, bei denen der Schutz bereits auf Silizium-Ebene integriert ist.

Mit HP TPM Guard stellt HP eine neue hardwarebasierte Sicherheitsarchitektur vor, die einen verschlüsselten Kommunikationskanal zwischen dem zertifizierten TPM und der CPU schafft. Ziel ist es, Abhör- und Sondierungsangriffe auf dieser Verbindung zu verhindern. Das TPM ist dabei kryptografisch an das jeweilige Gerät gebunden und kann nicht einfach übertragen werden. Der Kryptografie-Schlüssel bleibt so geschützt. Damit wird eine seit langem bestehende Sicherheitslücke der Branche geschlossen, ohne zusätzliche Komplexität für IT-Teams.

Hybrides Arbeiten hat die Art und Weise, wie und wo Unternehmensgeräte genutzt werden, nachhaltig verändert. Wenn die Geräte ausserhalb der Unternehmensmauern unterwegs sind, steigen auch die Anforderungen an ihre Sicherheit.

Physische Angriffe sind längst keine Ausnahme mehr, sondern ein Risiko, auf das sich Unternehmen aktiv einstellen müssen. Der Schutz moderner Endgeräte erfordert deshalb zunehmend eine «Hardware-first»- Strategie. Dabei werden Sicherheits- und Verifizierungsfunktionen direkt in das Gerät integriert. Das Ziel ist klar: sensible Daten müssen auch dann geschützt werden können, wenn die Geräte in falsche Hände geraten.