Fernwartungssoftware auf Lenovos Thinkpads
Neulich habe ich meinem Lenovo X220i ein Hardware-Upgrade verpasst und war dabei öfters im BIOS unterwegs. Dabei fielen mir zwei Einträge auf bei denen "Module enabled" stand: Intel Anti-Theft und "Computrace" von Absolute Software. Während ersteres noch sinnvoll klang, weckte letzteres bei mir 1984-Assoziationen. Ich recherchierte.
Anti-Theft
Anti-Theft ist ein Dienst von Intel, der zum Ende Januar 2015 eingestellt wurde. Man konnte sich dort mit seinem Notebook registrieren und gegen Geld den Dienst von Intel in Anspruch nehmen. Beim Booten sollte dann einerseits angezeigt werden, für den Fall, dass jemand ein Notebook findet und es startet, dass über eine URL bei Intel der/die Besitzer_in kontaktiert werden könnte. Was die Details bei Diebstahl waren habe ich dann nicht mehr weiter recherchiert, da der Dienst ja bereits von Intel eingestellt wurde.
Ich habe also einfach im BIOS das Anti-Theft-Modul permanent deaktiviert.
Computrace
Mit Computrace verhält es sich nun aber anders. Die Firma "Absolute Software" gibt es noch und sie ist eine amerikanische Firma. Nun, wieso ist so eine Software überhaupt in den Laptops von Lenovo hart integriert? (Und übrigens auch in den Notebooks anderer Hersteller) Die Thinkpads von Lenovo sind Geschäftsgeräte, also Zielgruppe sind Firmen, die Notebooks an ihre Mitarbeiter_innen ausgeben. Auf solchen Laptops können dann natürlich auch kritische Geschäftsgeheimnisse liegen und vermutlich sind viele der Geräte mit VPN ausgestattet und haben so einfach und schnell Zugriff aufs Firmennetzwerk.
Computrace ist nun eine Software, die es Admins ermöglicht auf ein gestohlenes oder verloren gegangenes Notebook weiterhin zuzugreifen - und zwar weitreichend. Man kann quasi mitlesen, was der User am Rechner macht (Keylogger), man kann aber auch das Notebook völlig unbrauchbar machen indem man jeglichen Bootvorgang verhindert und somit binnen Kürze aus dem eben noch teuren Thinkpad ein Stück teuren Elektroschrott macht.
Auch ist es möglich, dass solche Dinge automatisch geschehen, wenn das Notebook beispielsweise 7 Tage nicht mehr Kontakt zum Computrace-Server hatte oder wenn im BIOS das Modul einfach ausgeschaltet wird (ich hatte solche Berichte in Foren gefunden).
Wegen letzterem Punkt habe ich auch nicht einfach das selbe Verfahren wie beim Anti-Theft-Modul angewendet, ich wollte mein tolles, schnelles Notebook ja nicht mal eben in tollen, schnellen Schrott verwandeln. Ich recherchierte weiter. Letztlich kam heraus, dass wenn nur das Modul eingeschaltet, aber der Dienst nicht aktiviert war (was bei mir der Fall gewesen ist) man das Modul ruhig einfach ausschalten kann, was ich dann tat. Schließlich habe ich kein Interesse daran, dass irgendeine Privatfirma, ein Geheimdienst oder sonstwer einfach so in meinen Computer schaut und auch noch die Kontrolle darüber übernehmen kann.
Problematisch schien das ganze, laut den Foren-Einträgen, die ich gefunden habe, wohl auch hauptsächlich bei der Zweitverwertung von Notebooks zu sein. Wenn ein Thinkpad früher einer Firma gehörte, die diese dann vielleicht ausgemustert hat und ein Händler die Geräte dann aufgekauft und günstiger weiterverkauft hat, wurde eventuell vergessen das Gerät bei Absolute Software abzumelden und im BIOS Computrace wieder auszustellen. Wenn diese Leute dann im BIOS das Modul selbst ausstellen wollten, weil sie Computrace gar nicht kannten, konnte es passieren, dass nach kurzer Zeit ihr Laptop den Dienst verweigerte.
Wenn man nun ein Blick in sein BIOS wirft und feststellt, dass nicht nur dieses Modul aktiviert ist, sondern der Dienst auch läuft kann man Absolute Software kontaktieren, muss dann ein paar Hardware-Daten des Notebooks mitteilen und einen Beleg, dass man dieses Gerät legal erworben hat. Die Firma kann dann das Gerät aus ihrem System nehmen, von Geisterhand (okay, durch erschreckende Fernwartung) ist dann nach einiger Zeit der Dienst im BIOS nicht mehr als aktiv markiert und man kann das Modul gefahrlos ausschalten.
Die Software von Computrace ist übrigens im Prinzip ein Trojaner, der sich tief im System einnistet, bei Windows z.B. in der Registry, und dann den Kontakt über's Internet zu den Absolute Software-Servern herstellt. Anti-Viren-Software meldet nichts, da Absolute Software dort wohl auf der Whitelist steht, wie die Foren-Einträge berichten.
Da Computrace im BIOS hängt bringt auch ein Formatieren oder sogar Austauschen der Festplatte nichts!
Und ob der Zugriff nach all dem wirklich unterbunden ist oder ob mir nun nur Privatsphäre vorgegaukelt wird, das weiß ich leider auch nicht.
Zufälligerweise berichtete auch heise online Anfang des Jahres online und in der c't über diese Sache (ich hatte das aber erst in der nachträglichen Recherche mitbekommen) und verlinkt dort auch zu einer Anleitung, wie man das BIOS von Computrace bereinigen kann - allerdings nicht ganz ohne Risiken.