Elektronik mit USB-Anschluss: immer noch ein unterschätztes Risiko!
Elektronische Geräte mit USB-Anschluss, Ladekabel über USB-Anschluss sowie USB-Speichersticks sind in der heutigen Zeit nicht mehr wegzudenken. Jeder kennt und nutzt sie. Leider bergen diese unter Umständen erhebliche Risiken für IT-Sicherheit und Datenschutz! Wir möchten Sie über mögliche Risiken aufklären und Ihnen diesbezüglich Handlungsempfehlungen geben:
Malware und andere Schadsoftware:
USB-Geräte fungieren teilweise als Überträger von Viren und anderer Schadsoftware. Sobald ein infizierter USB-Stick oder ein infiziertes Handy über das USB-Ladekabel an einen Computer angeschlossen wird, kann es Malware sowie Schadsoftware in ein Netzwerk einschleusen.
Direkter Systemzugriff:
Fortgeschrittene Angriffe können teilweise direkt auf das Betriebssystem eines Computers zugreifen und so Sicherheitsmaßnahmen umgehen.
Gefahr von Datenverlust:
Nicht selten werden USB-Sticks verloren. Vertrauliche Unternehmensdaten oder Daten von Personen können durch verlorene oder gestohlene USB-Geräte preisgegeben werden. Das kann sowohl zu einem schweren Unternehmensverlust, Imageschaden als auch zu einem Bußgeld für eine Datenpanne führen.
Eine besondere Spezie unter den USB-Geräten: der „Rubber Ducky“
Der USB Rubber Ducky ist ein Gerät, das aussieht wie ein gewöhnliches USB-Gerät, gerne von Hackern getarnt als Speicherstick, Tischventilator oder Schreibtischlampe und welches eigentlich selbst ein kleiner Computer ist. Entwickelt wurde es, um vordefinierte Befehle oder Skripte automatisch auf einem Computer auszuführen, sobald es angeschlossen wird. Im Kern des Rubber Ducky befindet sich ein Mikrocontroller, den ein Computer lediglich und fälschlicherweise als „Tastatur“ erkennt. Dieser tippt vorprogrammierte Befehle in sehr hoher Geschwindigkeit in den Computer ein, als ob ein Mensch diese manuell eingeben würde.
Ein typischer Hackerangriff mit einem USB „Rubber Ducky“ könnte so aussehen:
Sie bekommen einen praktischen Tischventilator mit USB-Anschluss geschenkt und stecken diesen an Ihrem Laptop an. Sie denken sich nichts dabei, im Hintergrund schreibt jedoch ein Angreifer ein Skript, das bestimmte Aktionen auf dem Zielcomputer ausführt. Dies kann beispielsweise das Herunterladen einer Malware, das Ausspähen von Passwörtern oder auch das Ändern von Systemeinstellungen sein. Der Computer identifiziert diesen Stick lediglich als Tastatur, so wird kein Verdacht erregt. Angreifer kommen mit dieser gängigen Masche leider sehr häufig durch. Der Angriff kann abhängig von der Geschwindigkeit des Computers und der Komplexität des Skripts in Minuten oder sogar Sekunden abgeschlossen sein. Ein einfaches Werbegeschenk zum Beispiel, kann somit große Folgen für Sie und Ihr Unternehmen haben.
Fazit:
Die Verwendung eines USB-Gerätes, in welcher Form auch immer, sollte stets verantwortungsbewusst erfolgen. Seien Sie deshalb sorgfältig in der Verwendung von Geräten mit USB und lassen Sie diese ggf. vorher von Ihrer IT-Abteilung auf Schadsoftware prüfen, bevor Sie diese nutzen.