[Guide] ATA/HDD Passwort für SSD in ASUS und ASrock Mainboard aktivieren

[lohacurd]

Möchte man die Verschlüsselung vieler aktueller SSD's nutzen, muss man dazu im BIOS lediglich das HDD-User-Passwort aktivieren (nicht zu verwechseln mit Supervisor Passwort oder BIOS Passwort).

Viele Notebooks/Laptops bieten im BIOS die Möglichkeit das ATA-Passwort zu setzen. Bei Desktop Mainboards sieht es dagegen schlecht aus! Nur Intel Mainboards bieten diese Funktion im BIOS an. Ausserdem kann man oft weder im Handbuch noch in den Herstellerspezifikationen erkennen ob das gewünschte Mainboard es erlaubt ein ATA-Passwort zu setzen. Die Hersteller schweigen sich darüber aus und bewerben diese Funktion auch nicht. Dabei ist es besonders für Firmen und Unternehmen die einfachste und beste Möglichkeit seine Daten gegen unbefugten Zugriff oder Diebstahl zu sichern.

ASUS baut keine ATA-Security Unterstützung in seine Mainboards ein, mit der Begründung "man könnte das ATA-Password vergessen, dann wären alle Daten für immer verloren".

Tochterunternehmen ASrock baut auf Email-Anfrage in jedes ASrock Mainboard die ATA-Security Funktion ein und sendet ein modifiziertes BIOS zu, nach dem Update hat man dann die Möglichkeit ein ATA-Passwort einzugeben.

Für ASUS Mainboard gibt es Abhilfe mit ATASX (ATA Security eXtension), das man selbst ins BIOS nachrüsten kann:
-> Adding ATA Security Extension to UEFI BIOS via PCI Expansion ROM

Wie es bei anderen Herstellern wie Gigabyte, MSI, ECS aussieht - kann vielleicht jemand was dazu schreiben. Da ich momentan nur ASUS und ASrock Mainboards habe.

 

[lohacurd]

Das Guide ist unter dem Link zu finden und funktioniert sehr gut. Selbst mit einem ASUS Mainboard getestet. Ja, nicht einmal in Mainboard Tests wird erwähnt, ob eine ATA-Security Funktion im Mainboard vorhanden wäre.

 

[Holt]

beste Möglichkeit seine Daten gegen unbefugten Zugriff oder Diebstahl zu sichern.

Verschlüsselung bietet nur einen Schutz vor unbefugten Zugriff oder Diebstahl der Daten, wenn jemand den physikalischen Zugriff auf den Datenträger bekommt. Bei Notebooks ist kommt es nicht so selten vor, dass diese auch die Firma verlassen, aber um an die Festplatten von PCs zu kommen, müsste i.d.R. eingebrochen werden. So idiotisch alte PCs einfach so mit ihrer Festplatte außer Haus zu geben, ist ja wohl hoffentlich keine Firma mehr, sondern löscht die Datenträger entweder in geeigneter Form und lässt sie Schreddern.

Tochterunternehmen ASrock

Das ist 2010 mit der Restrukturierung von ASUStek vorbei, seither gehört ASRock dem ASUS Spinoff Pegatron. Da ASUSTek, ASRock als auch Pegatron jeweils als eigene Aktiengesellschaften an der Börse gelistet sind, müsste man die Aktionärsstruktur der Firmen ansehen um zu entscheiden, wie weit man noch von einer Schwesterfirma reden kann.

 

[lohacurd]

Besonders bei Firmen können die Rechner beschlagnahmt werden, auch wegen einer unbegründeten Anzeige. Auch ist es wohl kein großes Problem von einer vermeintlichen "Putzfrau" die zwei Schrauben am Gehäuse abzuschrauben und dann 4 weitere Schrauben zu lösen um die SSD/Festplatte mitzunehmen.
Sensible Daten können so sehr leicht in die falschen Hände geraten.

Es ist daher unverständlich, warum ASUS sich wehrt die ATA-Security Funktion in Mainboards einzubauen. Die Konkurrenz tut das ja. Die Begründung man könne das Passwort vergessen, und dann kann ASUS mit deren Masterpassword auch nicht mehr helfen an die Daten zu kommen ist ja lächerlich. Die Verschlüsselung der SEDs scheint wirklich effizient zu sein und anscheinend hat ASUS ein Vertrag mit NSA den Zugriff auf die Daten zwingend zu ermöglichen (ironisch gemeint)

 

[Holt]

Ausspioniert werden auch Firmen vor allem durch Schadsoftware und gegen die hilft eben keine Verschlüsselung. Wenn eine vermeintliche Putzfrau einfach so Festplatten aus der Firma entwenden kann, dann stimmt beim ganzen Sicherheitskonzept der Firma etwas nicht.

Und bzgl. Backdoors sollte man nicht vergessen, dass auch niemand sagen kann wie sicher eine HW Verschlüsselung am Ende wirklich ist, gerade wenn es um staatliche Stellen in den USA geht, denn die Gesetzeslage dort ist ja gerade übertrieben zum Schutz der Privatsphäre von IT Nutzern ausgelegt. Von daher wäre einer SW-Verschlüsselung mit einer Open-Source SW der Vorzug zu geben, da dies vermutlich noch die sicherste Methode.

 

[lohacurd]

Schadsoftware, Backdoors sind wieder was anderes. Da braucht man dann Firewalls und Tests von Experten.

Man sollte aber möglichst alle Lücken schliessen. Was bringt mir eine super konfigurierte Firewall und Intrusion Detection, wenn jede Putzfrau die SSD unverschlüsselt mitnehmen kann.

Hier geht es um den einen Sicherheitsaspekt: Verschlüsselung der Daten auf der SSD. Andere Themenbereiche möchte ich gar nicht thematisieren.

Und deswegen ist es mir nach wie vor unverständlich warum ASUS sich gegen ATA-Security sperrt?
Das ist ja so wenn ein Bauherr oder Autohersteller sich entscheidet keine Absperrvorrichtung der Haustür oder der Autotür einzurichten mit der Begründung, ich könnte ja den Schlüssel verlieren und komme dann nicht in mein Haus oder in mein Auto rein...

 

[Holt]

Vielleicht möchte ASUS den Kunden nicht in eine Pseudo-Sicherheit wiegen, von der man längst weiß, dass sie das Versprechen nicht einhalten kann. Ich weiß es nicht, aber letztlich kann ja jeder solche Aspekte dann selbst bei der Kaufentscheidung für ein Mainboard berücksichtigen.

 

[lohacurd]

Zumindest ich habe bisher niergendwo gelesen, dass es einen erfolgreichen Angriff auf die Sicherheit einer verschlüsselten SED gibt.
Es ist zwar schon länger möglich das ATA-Passwort zu umgehen, laut einem Bericht bei Heise. Das bringt aber bei einer verschlüsselten SED nichts, da man dann nur Datenmüll sieht. Bei früheren HDDs ohne Verschlüsselung kann man dagegen bei Umgehung des ATA-Passworts auf die Daten vollen Zugang erhalten. Aber wie gesagt geht das nicht bei SSD und HDD die eine Selbstverschlüsselung haben (SED).

Daher ist das keine Pseude-Sicherheit, solange nicht das Gegenteil bewiesen ist! Und es gibt viele Experten da draussen, die die SEDs täglich unter die Lupe nehmen und Möglichkeiten zum Hacken suchen, bisher wie es scheint erfolglos.