Was ist Cold-Boot-Angriff?
Warum Sicherheit nicht nur bei Passwörtern, sondern auch bei Arbeitsspeicher und Hardware beginnt
Definition
Ein Cold-Boot-Angriff liest sensible Daten wie Private Keys oder Passwörter aus dem Arbeitsspeicher (RAM) eines Computers aus, kurz nachdem das Gerät ausgeschaltet wurde. Hardware-Wallets mit Secure Element sind dagegen immun.
Du fährst deinen Laptop herunter und denkst, alle Daten sind weg. Aber der Arbeitsspeicher (RAM) vergisst nicht sofort: Je nach Temperatur bleiben Daten noch Sekunden bis Minuten nach dem Ausschalten lesbar. Ein Cold-Boot-Angriff nutzt genau dieses Zeitfenster, um sensible Informationen wie Passwörter, Verschlüsselungsschlüssel oder Private Keys direkt aus dem RAM auszulesen.
Wie ein Cold-Boot-Angriff funktioniert
RAM ist flüchtiger Speicher: Er braucht Strom, um Daten zu halten. Nach dem Ausschalten verschwinden die Daten, aber nicht sofort. Bei normaler Raumtemperatur bleiben sie typischerweise 5-30 Sekunden lang erhalten, unter bestimmten Bedingungen sogar länger. Kühlt ein Angreifer den RAM-Chip mit Druckluftspray oder flüssigem Stickstoff, kann die sogenannte Datenremanenz auf mehrere Minuten bis hin zu einigen Stunden deutlich verlängert werden.
Der Angreifer startet dann das Gerät von einem USB-Stick mit einem speziellen Betriebssystem neu, das den RAM-Inhalt ausliest, bevor er überschrieben wird. Alternativ kann der RAM-Chip physisch aus dem Gerät entfernt und in ein anderes System eingesetzt werden. In beiden Fällen sucht die Software nach bekannten Mustern für Verschlüsselungsschlüssel, Private Keys oder Passwörter. Der gesamte Vorgang dauert nur wenige Minuten und erfordert keine besonderen technischen Fähigkeiten, die nötigen Tools und Anleitungen dafür sind frei im Internet verfügbar.
Angriffsvektoren im Überblick
| Methode | Aufwand | Effektivität |
|---|---|---|
| Neustart von USB | Niedrig (USB-Stick + Software) | Hoch bei unverschlüsseltem RAM |
| RAM-Kühlung + Neustart | Mittel (Druckluftspray) | Sehr hoch, verlängert Zeitfenster erheblich |
| RAM-Chip-Entnahme | Hoch (physischer Zugriff, Lötausrüstung) | Hoch, aber nur bei gesockeltem RAM |
| DMA-Angriff (Thunderbolt/FireWire) | Mittel (spezielles Gerät) | Liest RAM bei laufendem System aus |
Warum der Angriff für Krypto relevant ist
Wenn du eine Software-Wallet auf deinem Computer nutzt, liegt dein Private Key während der Nutzung im RAM. Auch nach dem Schließen der Wallet-App kann der Key noch kurzzeitig im Speicher verbleiben, weil nicht jede Software ihren Speicherbereich beim Beenden aktiv überschreibt. Ein Angreifer mit physischem Zugriff auf dein Gerät könnte diesen Key auslesen und damit deine gesamten Krypto-Bestände stehlen.
Der Cold-Boot-Angriff wurde 2008 von Forschern der Princeton University erstmals öffentlich demonstriert. Sie zeigten, dass Festplattenverschlüsselungen wie BitLocker und FileVault umgangen werden können, weil der Entschlüsselungsschlüssel im RAM liegt. Für Kryptowährungen gilt das gleiche Prinzip: Jeder Schlüssel, der einmal im RAM war, ist potenziell angreifbar. Das betrifft nicht nur Bitcoin, sondern alle Coins, die mit Software-Wallets auf dem Computer verwaltet werden.
Wer ist gefährdet?
Cold-Boot-Angriffe erfordern physischen Zugriff auf das Gerät. Das macht sie für den durchschnittlichen Nutzer zu Hause weniger relevant, aber gefährlich in bestimmten Szenarien: gestohlene oder unbeaufsichtigte Laptops, beschlagnahmte Geräte bei Grenzkontrollen, öffentlich zugängliche Computer in Büros oder Coworking-Spaces, oder gezielte Angriffe auf hochwertige Ziele wie Unternehmen, Journalisten und Aktivisten. Im Krypto-Kontext sind vor allem Nutzer mit großen Beständen auf Hot Wallets gefährdet. Wer seine Seed Phrase in einer Textdatei auf dem Desktop gespeichert hat, ist ebenfalls angreifbar, denn solche Dateien werden beim Öffnen in den RAM geladen.
Schutzmaßnahmen
Der effektivste Schutz ist ein Hardware-Wallet: Geräte wie Ledger, BitBox oder Coldcard speichern Private Keys in einem Secure Element, einem speziellen Chip, der Daten nie in den RAM des Computers überträgt. Selbst bei einem erfolgreichen Cold-Boot-Angriff auf deinen PC bleibt der Key im Hardware-Wallet sicher.
Weitere Maßnahmen: Vollständige Festplattenverschlüsselung mit Pre-Boot-Authentifizierung aktivieren, das Gerät immer vollständig herunterfahren (nicht nur Standby), und bei sensiblen Systemen den RAM-Überschreibungsschutz im BIOS aktivieren. Moderne Betriebssysteme (Windows 11, macOS Ventura+) implementieren zunehmend RAM-Verschlüsselung, die Cold-Boot-Angriffe erschwert, aber nicht vollständig verhindert. Für Krypto-Nutzer mit größeren Beständen ist ein separates, offline gehaltenes Gerät für Cold Storage die sicherste Lösung. Ergänzend solltest du sicherstellen, dass dein Blockchain-Zugang nur über vertrauenswürdige Geräte erfolgt und Passwort-Manager mit verschlüsseltem RAM-Schutz nutzen.
Nutze für größere Krypto-Bestände immer ein Hardware-Wallet mit Secure Element. Software-Wallets auf dem PC speichern Keys im RAM, wo sie bei physischem Zugriff angreifbar sind. Und schalte deinen Laptop immer komplett aus, wenn du ihn nicht benutzt, der Standby-Modus bietet keinen ausreichenden Schutz.
Häufige Fragen zum Cold-Boot-Angriff
Kann ein Cold-Boot-Angriff mein Hardware-Wallet knacken?
Nein. Hardware-Wallets speichern Private Keys in einem Secure Element, das Daten nie an den RAM des Computers überträgt. Ein Cold-Boot-Angriff auf deinen PC kann den Key nicht auslesen, weil er dort nie war.
Wie wahrscheinlich ist ein Cold-Boot-Angriff?
Für die meisten Privatnutzer ist das Risiko gering, weil der Angreifer physischen Zugriff braucht. Gefährdet sind vor allem gestohlene Laptops, Geräte bei Grenzkontrollen und gezielte Angriffe auf hochwertige Ziele. Trotzdem ist es eine gute Praxis, sein Gerät immer vollständig herunterzufahren.
Schützt Festplattenverschlüsselung vor Cold-Boot-Angriffen?
Teilweise. Festplattenverschlüsselung (BitLocker, FileVault) schützt Daten auf der Festplatte, aber der Entschlüsselungsschlüssel liegt während der Nutzung im RAM. Ein Cold-Boot-Angriff kann diesen Schlüssel auslesen. Pre-Boot-Authentifizierung und RAM-Verschlüsselung bieten zusätzlichen Schutz.
Verwandte Begriffe
Encryption
Encryption bedeutet Verschlüsselung, also das Umwandeln von Daten in eine Form, die ohne den passend...
Secure Element
Ein Secure Element ist ein besonders geschützter Hardware-Baustein, der sensible Daten wie kryptogra...
Private Key
Ein Private Key ist eine geheime 256-Bit-Zahl, die die vollständige Kontrolle über Kryptowährungen a...
Über die Autorin
Dr. Stephanie Morgenroth
Steffi ist promovierte Medizinerin, Krypto-Investorin seit 2021 und erreicht mit MissCrypto über 100.000 Menschen auf Social Media. Sie macht komplexe Themen wie Bitcoin, DeFi und Krypto-Steuern verständlich, ehrlich, unabhängig und ohne Hype.
Über Steffi →Risikohinweis: Meine Inhalte dienen ausschließlich zur Information und stellen keine Anlageberatung dar.
Diese Seite kann Affiliate-Links enthalten. Bei einem Kauf über diese Links erhalte ich eine Provision — du unterstützt meinen Kanal ohne Mehrkosten. Danke! ❤️