Die BIOS-Einstellungen haben einen erheblichen Einfluss auf die Sicherheit eines PCs. Das gilt insbesondere für öffentliche PCs und PCs in Schulungsräumen. Im Folgenden erläutere ich, wie das BIOS für öffentliche PCs richtig konfiguriert wird.
Am Beispiel eines Dell-BIOS sind hier die sicherheitsrelevanten Einstellungen:
General, Boot Sequence
Bei anderen Herstellern heißt das auch Bootreihenfolge. Hier ist darauf zu achten, dass nur von der Festplatte gestartet werden kann. Alle anderen Optionen sind abzuschalten. Wenn es möglich ist von einer CD/DVD oder einem USB-Stick zu starten, dann sind potenziell alle Kennwörter und Daten auf dem PC gefährdet. Damit ein Angreifer hier keine Hilfestellung bekommt, werde ich die Gründe dafür hier nicht weiter erläutern.
Evtl. ist es noch sinnvoll als zweite Startmöglichkeit das Booten über Netzwerk (PXE) zu erlauben, damit der PC einfach über das Netzwerk ein Image bekommen kann. Das Booten über PXE kann aber für Angreifer nützlich sein, weil - mit entsprechenden Kenntnissen - darüber ein alternatives Betriebssystem geladen werden kann. Der Angriff über PXE ist zwar aufwendiger als das Booten über einen USB-Stick, aber denkbar. Wer hier ganz sicher gehen will, der schaltet eine PXE-Boot-Möglichkeit besser komplett ab.
Drive, Diskette Drive
Disketten benutzt und braucht heutzutage sowieso keiner mehr, deshalb komplett abschalten (disabled).
USB-Controller
In den Einstellungen des USB-Controllers wählt man "Not Boot", dass verhindert, dass vom USB-Festplatten oder einem USB-Stick gestartet werden kann. Die USB-Anschlüsse lassen sich aber nach dem Start von Windows nutzen.
Security
In diesem Bereich muss auf jeden Fall ein Administrator-Kennwort gesetzt werden. Das verhindert, dass jemand die obigen Sicherheitseinstellungen wieder auf unsichere Einstellungen zurücksetzt. Neben dem Administrator-Kennwort gibt es noch ein so genanntes System-Kennwort. Das System-Kennwort verhindert den Start des PCs, wenn man dieses System-Kennwort nicht weiß. Dieses System-Kennwort bleibt normalerweise leer, damit jeder den PC hochfahren kann. Möchte man das unkontrollierte Starten des PCs verhindern, dann ist das System-Kennwort einzustellen. Beispiel: Der Vater setzt ein System-Kennwort, damit sein Arbeits-PC von seinen Kindern geschützt ist. Bei Dell-PCs gibt es noch die Einstellung "Security, Password Changes", diese muss auf "disabled" (Kästchen vor enabled leer lassen) stehen, damit niemand ohne Kenntnis des Administrator-Kennwortes das System-Kennwort setzen kann. Ich habe schon Fälle gehabt, wo experimentierfreudige Benutzer System-Kennwörter eingestellt haben, weil diese Option falsch gesetzt war.
Restrisiko
Ich weise an dieser Stelle deutlich darauf hin, dass Angreifer - auch bei korrekt gesetzten BIOS-Einstellungen - sich Zugriff auf des BIOS verschaffen können - einen entsprechenden Wissensstand vorausgesetzt. Um die BIOS-Einstellungen halbwegs zu schützen, gehört das PC-Gehäuse mit einem Schloss gesichert. Auch hier werde ich das nicht weiter ausführen, damit Angreifer hieraus keinen Nutzen ziehen können. Am besten sind PCs mit einem ab Werk integrierten Verriegelungskonzept. Das ist z.B. vorbildlich bei den Dell Optiplex-Gehäusen gelöst. Die Gehäuse ohne Verriegelungskonzept haben oftmals nur ein dünnes Stück Blech, das ein Abnehmen des Seitenteils verhindern soll, wenn man ein Vorhängeschloss dadurch steckt. Nun, das ist nicht viel besser als gar nichts.
Fazit und Weiterführendes
Ein PC auf den ein Angreifer physisch Zugriff hat, d.h. er kommt mit seinen Händen an das Innere des PCs heran, ist letztlich nur bedingt schützbar. Eine Option, die hier ein Plus an Sicherheit bietet, ist die Festplattenverschlüsselung. Bei aktivierter Festplattenverschlüsselung kann nicht unautorisiert auf die Festplatte zugegriffen werden, auch nicht, wenn der Computer über ein anderes Medium fremdgestartet wurde. In kritischen Umfeldern ist die Festplattenverschlüsselung also ein Muss. In den Windows-Versionen Windows-7 (Ultimate- oder Enterprise-Version) bzw. Windows-8.1.-Benutzer (Pro- oder Enterprise-Version) ist die Komponente "Bitlocker enthalten", die Festplatten - auch Startfestplatten - verschlüsseln kann.
Weiterführende Artikel