Stopft Eure Ubiquitous Security Backdoors (USB) – mit Epoxidharz!

Sicherheit
sicherkmu-logo (Gafik: ITespresso)

Firmen geben regelmäßig einen großen Teil ihres Budgets für IT-Sicherheit aus. Die dafür angeschaffte Software ist oft hoch komplex und erfordert erhebliches Fachwissen und viel Verwaltungsaufwand. Aber alles Geld und alle Mühe sind umsonst, wenn einfachste Maßnahmen unterbleiben – und die fieseste Malware über jeden USB-Stick Einlass findet.

Der Computerwurm Stuxnet soll vor Jahren von einem Mitarbeiter per USB-Stift in die Atomanlage im Iranischen Natanz eingeschleppt worden sein. Dadurch wurden angeblich 1000 Uran-Zentrifugen zerstört und das Atomprogramm des Landes um Jahre zurückgeworfen. Und seit Januar 2014 gibt’s immer neue Meldungen über Angriffsmöglichkeiten per USB: Mittlerweile scheint es möglich zu sein, einen Rechner aus der Ferne anzugreifen.

Stopft Eure Ubiquitous Security Backdoors (USB) – mit Epoxidharz!

Auch Bankautomaten sind offenbar für Speicher-Stift-Attacken empfänglich. Zu allem Überfluß sollen die Massenspeicher nach Erkenntnis eines Marktforschers “unverzichtbarer Teil des modernen Lebens” sein. Und dieser Teil soll angeblich in immer noch größeren Stückzahlen in unser tägliches Leben eindringen – wozu sicher auch seine weitere Miniaturisierung beiträgt – den Mini- und Micro-USB sei dank!

Also ist es wichtig, dass die Mitarbeiter der Versuchung wiederstehen, einen unbekannten Datenspeicher mal eben “auszuprobieren”. David Jacoby, Wissenschaftler beim Sicherheitunternehmen Kaspersky wollte wissen [PDF, siehe Seite 9], wie’s um die Sensibilität in Firmen und Behörden bestellt ist, hat seinen Lebenslauf in ein PDF gesteckt und hat dann im Anzug an die Türen seiner Opfer geklopft – der Vorwand: Er habe vergessen, seinen Lebenslauf für ein Vorstellungsgespräch auszudrucken und habe jetzt nur einen USB-Stift dabei – ob man ihm wohl das Dokument ausdrucken könne? Zu seinen Opfern zählten drei Hotels verschiedener Ketten, sechs Regierungsorganisationen und zwei “große” Firmen.

 Welche Geheimnisse birgt der USB-Speicher? Wenn der Mitarbeiter seiner Neugierde nicht widerstehen kann, kann die Sicherheit seines Arbeitergebers, von Kollegen, Kunden oder Bürgern bedroht sein (Bild: Kaspersky).
Welche Geheimnisse birgt der USB-Speicher? Wenn der Mitarbeiter seiner Neugierde nicht widerstehen kann, kann die Sicherheit seines Arbeitergebers, von Kollegen, Kunden oder Bürgern bedroht sein (Bild: Kaspersky).

In einem der Hotels wollte ein Angestellter helfen, fand aber dann heraus, dass der USB-Steckplatz deaktiviert war. Deshalb riet er Jacoby, den Gäste-PC zu benutzen und ihm von dort aus das zu druckende Dokument per Mail zu schicken. Die beiden anderen verweigerten die Hilfe. Bei den Firmen war’s ähnlich: Eine Mitarbeiterin stellte fest, dass der USB-Zugang blockiert war und ging daraufhin in den ersten Stock, um ihr Glück an einem anderen Rechner zu versuchen.

Die interessantesten Erfahrungen machte Jacoby bei den Regierungsbehörden – zwei warfen ihn postwendend raus: “Wir sind keine Bibliothek!” – Die vier anderen dagegen waren sehr hilfreich – wobei zwei davon angesichts des blockierten USB-Zugangs wiederum den Umweg über die Mail empfahlen. Ich empfinde jedenfalls die Kreativität der Menschen beim Umgehen von Sicherheitsmaßnahmen äußerst bemerkenswert.

Vor Jahren warnte das Sicherheitsinstitut SANS bereits vor der ‘Ubiquitous Security Backdoor’ – der allgegenwärtigen Sicherheitshintertür. Diese sollten Sie – jetzt! – stopfen; am besten mit Epoxid-Harz!

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

SicherKMU