Expertenbeitrag

 Michael Haas

Michael Haas

Regional Vice President Central Europe , WatchGuard Technologies

Cyber-Security Stick mit Stigma – USB als Sicherheitsrisiko

Von Michael Haas

USB-Sticks sind praktisch, keine Frage. Aber gerade im Umfeld der industriellen Fertigung geht von den Datenträgern auch ein spezifisches Sicherheitsrisiko aus, das im Zuge der Pandemie noch deutlicher zutage getreten ist.

Anbieter zum Thema

Bei der Malware auf USB-Sticks handelt es sich vor allem um Trojaner mit Fernsteuerung, die häufig in Excel-Dokumenten versteckt werden.
Bei der Malware auf USB-Sticks handelt es sich vor allem um Trojaner mit Fernsteuerung, die häufig in Excel-Dokumenten versteckt werden.
(Bild: gemeinfrei // Pexels.)

Zunehmender Vernetzung und IoT-Anbindung zum Trotz: Einfache Wechseldatenträger spielen noch immer eine wichtige Rolle in den meisten Unternehmen und Organisationen. Dem ‚Industrial Cybersecurity USB Threat Report 2021‘ zufolge stieg die Nutzung von USB-Sticks in der Industrie alleine innerhalb des letzten Jahres sogar um stattliche 30 Prozent. Eine solche Entwicklung bleibt selbstverständlich nicht unbemerkt und so erhöhte sich auch das Bedrohungsrisiko durch USB-Datenträger beträchtlich. Cyberkriminelle instrumentalisieren die kleinen Geräte längst gezielt für ihre Zwecke, um unbemerkt auf die Netzwerke von Unternehmen oder öffentlichen Institutionen zugreifen zu können. Die Studie ergab hierzu beispielsweise, dass 79 Prozent der per USB-Stick verbreiteten Malware kritische Auswirkungen auf OT-Umgebungen (Operational Technology) haben können.

Die Pandemie schafft eine größere Angriffsfläche

Der ‚Industrial Cybersecurity USB Threat Report 2021‘ benennt die COVID-19-Pandemie explizit als treibenden Faktor für die steigende Gefahr. Warum Produktions- und Versorgungsunternehmen im Zuge von Corona vor ganz speziellen sicherheitsrelevanten Herausforderungen stehen, liegt auf der Hand: Industrielle Steuerungssysteme arbeiten besonders häufig ‚air gapped‘. Konkret bedeutet dies: Weder gibt es eine direkte Internet-Verbindung zwischen dem Netzwerk der Industrieanlagen oder den Maschinen, noch einen unmittelbaren Austausch mit anderen Computern oder Geräten, die ihrerseits auf das Internet zugreifen. Somit sind die digitalen Systeme physisch vollständig von der Außenwelt isoliert. Mitarbeiter, die von Zuhause aus arbeiten – was sich in den vergangenen Monaten kaum vermeiden ließ – nutzen dementsprechend häufig externe Datenträger, insbesondere USB-Sticks, um arbeitsrelevante Daten von betrieblichen Systemen speichern zu können. Nur so ist es ihnen überhaupt möglich, trotz Homeoffice ihrer Tätigkeit nachzugehen. Durch eben dieses Vorgehen entsteht jedoch schnell eine Sicherheitslücke, die das Unternehmen angreifbar macht.

Ausgenutzt wird dieses Sicherheitsrisiko zum Großteil von Trojanern mit Fernsteuerungsfunktionen – circa drei Viertel der erkannten und untersuchten Malware fallen in diese Kategorie. Hinsichtlich der verwendeten Technologien konnten Experten im Vergleich zu den Vorjahren einige Veränderungen feststellen. Ähnlich wie bei bekannten Malware-Attacken per Mail lauert die Gefahr inzwischen häufig in infizierten Office-Dokumenten (Excel gilt hier als besonders beliebt). Der Schadcode wird dazu in Skripten und Makros versteckt.

Enorme Risiken für Wirtschaft und Infrastruktur

Diese Entwicklungen sind aus mehreren Gründen besorgniserregend. Werden etwa Unternehmen, die zur sogenannten ‚kritischen Infrastruktur‘ zählen, von einem derartigen Angriff getroffen, können die Folgen dramatisch sein. Ein eindrucksvolles Beispiel hierfür sind Attacken auf die Energieversorgung: Bei einer Unterbrechung der Betriebsabläufe entstehen praktisch sofort ernste Konsequenzen für die Bevölkerung. Dass es sich hier nicht um bloße Gedankenspiele handelt, zeigte Anfang 2021 ein Vorfall in den USA. Im Wasserwerk der Stadt Oldsmar in Florida gelang es Cyberkriminellen, die Natriumhydroxidwerte des aufbereiteten Wassers per Fernzugriff abzuändern und Einstellungen direkt über die Zufuhr zu manipulieren. Besonders bedenkliche Gefahren konnten in diesem Fall glücklicherweise abgewendet werden, die potenziell katastrophalen Auswirkungen für die Menschen in der Umgebung lassen sich jedoch erahnen.

Derartige Vorkommnisse wecken bei IT-Security-Profis böse Erinnerungen an einen Fall im Jahr 2010. Als einer der verheerendsten Cyberangriffe der Geschichte wurde der ‚Stuxnet‘-Übergriff ebenfalls mit einem infizierten USB-Sticks eingeleitet. Die auf diesem Weg eingeschleuste Malware legte den Betrieb einer iranischen Nuklearanlage vollständig lahm. Hergestellt wurde die nötige USB-Verbindung dabei von einem Mitarbeiter, der von einem Geheimdienst als Insider rekrutiert wurde.

Der beobachtete Anstieg von derartigen Angriffen zeigt, wie schnell und flexibel Cyberkriminelle ihr Vorgehen an neue Gegebenheiten anpassen können. Vor der Pandemie war noch ein eindeutiger Rückgang von Malware, die über Wechseldatenträger verbreitet wurde, zu erkennen. Insbesondere, da Hardware vor Ort immer häufiger durch Cloud-Speicher ersetzt wurde, schien dieser Trend nur logisch. Doch aus den genannten Gründen drehte sich diese Entwicklung in den vergangenen Monaten wieder – USB-Sticks feierten ein unerwartetes Comeback, das prompt von Hackern ausgenutzt wurde.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Mitarbeiter sensibilisieren, Endpunkte sichern

Ein simpler, doch entscheidender Schritt zur Risikominimierung ist die Definition strenger Vorgaben für die Nutzung von USB-Sticks im Unternehmen. Wirksame Richtlinien sollten klar festlegen, an welche industriellen Systeme, Rechner und Anlagen überhaupt mobile Speichermedien angeschlossen werden dürfen. Gleichzeitig gilt es, für Mitarbeiterprofile klare Rollen festzulegen und nur entsprechende Berechtigungen zu vergeben. Außerdem sollten USB-Sticks ausschließlich genutzt werden dürfen, wenn sie von internen IT-Experten oder einem externen Security-Dienstleister des Unternehmens bereitgestellt beziehungsweise überprüft wurden. Somit lässt sich effektiv garantieren, dass keine fremden oder ungesicherten Wechseldatenträger zum Einsatz kommen.

Ein weiterer, häufig unterschätzter Risikofaktor ist zudem das sogenannte ‚Social Engineering‘, bei dem Angreifer instinktive Verhaltensweisen ihrer Opfer nutzen. Eine verbreitete Variante hiervon ist etwa, unauffällige USB-Sticks mit Malware auf oder vor dem Firmengelände auszulegen. Sieht ein Mitarbeiter den Datenträger, wird er mit hoher Wahrscheinlichkeit davon ausgehen, dass ein Kollege diesen verloren hat. Um den Besitzer ausfindig zu machen, liegt es demnach nahe, den Inhalt des Speichermediums zu begutachten, wozu das Gerät zwangsläufig an einen Computer angeschlossen werden muss. Anschließend können Hacker diesen etwa durch eine, als ‚HID-Spoofing‘ (Human Interface Device) bekannte Technik fernsteuern. Eine Studie der Universität Illinois, bei der mehrere Hundert USB-Sticks auf dem Campus verteilt wurden, ergab hierzu, dass fast die Hälfte der Finder die darauf befindlichen Dateien öffneten. Für Unternehmen und öffentliche Organisationen ist die Konsequenz hieraus eindeutig: Mitarbeiter müssen dringend dafür sensibilisiert werden, unbekannte Datenträger auf keinen Fall an Firmenhardware anzuschließen.

Um maximale Sicherheit zu garantieren, können derartige Richtlinien jedoch nur die Mindestanforderung sein. Allem voran kritische Infrastruktur steht immer häufiger im Fokus staatlich gelenkter Hacker-Gruppen, die mit hochentwickelten Tools und modernster Malware enormen Schaden anrichten können. Für Firmen und Institutionen aller Art gilt es dementsprechend, möglichst aktuelle Schutzmechanismen zu implementieren, die auch höchsten Ansprüchen gerecht werden und vor den neuesten Angriffsmustern gewappnet sind. Ganz besonders gilt dies für die Endpunktsicherheit. Hier eingesetzte Lösungen sollten für maximale Transparenz sorgen und einen umfassenden Blick über alle Aktivitäten – einschließlich der USB-Verbindungen – gewährleisten.

(ID:47830769)