Wo IT-Systeme aus Sicherheitsgründen isoliert sind, stellen USB-Laufwerke eine praktische Möglichkeit für einen Datenaustausch und eine Datensicherung dar. Hierbei ist Wachsamkeit geboten. Nach wie vor nutzen Cyberkriminelle nämlich Wechselmedien für ihre Attacken.
USB-basierte Cyberangriffe: USB-Geräte sind beispielsweise in der Fertigung, bei Versorgungsunternehmen oder im Gesundheitswesen Gebrauch, um den Datenaustausch bei eingeschränktem oder fehlendem Internetzugang zu ermöglichen. Dies ist notwendig, wenn beispielsweise Air-Gap-Systeme genutzt werden, ein Sicherheitskonzept, das eine physische und logische Trennung von IT-Systemen untereinander und von Netzwerken verlangt. In absichtlich offline gehaltenen Operational-Technology-Umgebungen sind USB-Laufwerke oft die einzig praktikable Möglichkeit, Daten zwischen Systemen zu übertragen.
Klassische Angriffstechnik in neuer Variante
Die jüngsten USB-basierten Angriffstechniken umgehen die vorhandenen Sicherheitsschichten, indem sie das inhärente Vertrauen zwischen dem USB-Gerät und dem Host ausnutzen. Altbewährte Techniken wie Rubber Ducky-Keystroke-Injection-Angriffe, bei denen Benutzeraktivitäten unbemerkt kopiert und Informationen an das Hostsystem des Angreifers gesendet werden, kommen in einer neuen Variante zum Einsatz. Zum Beispiel wird die Firmware von Human Interface Devices wie Mäusen und Tastaturen so manipuliert, dass die Geräte über Malware injizierte Tastenanschläge ausführen. Angreifer können Social Engineering-Angriffe durchführen, indem sie unvorsichtige Mitarbeiter oder Geschäftspartner dazu verleiten, ein kompromittiertes USB-Gerät in ihren Rechner zu stecken.
Zugriffsrechte für Personen und Devices
Infizierte USB-Laufwerke oder gezielte USB-basierte Angriffe auf kritische Daten in isolierten Systemen stellen eine große Gefahr dar, da aufgrund der fehlenden Netzwerkverbindung die netzwerkbasierten Sicherheitsmaßnahmen nicht greifen. Da keine automatisierte Überwachung von Geräten oder Daten erfolgt, werden Unregelmäßigkeiten bei der Datennutzung häufig erst mit Verzögerung bemerkt. Unautorisierte Zugriffe bleiben lange unerkannt und führen dazu, dass eingeschleuste Malware, die den Zugriff auf sensible Daten ermöglicht, erst sehr spät oder gar zu spät entdeckt wird.
Ein weiteres zentrales Sicherheitsproblem besteht darin, dass Verantwortliche häufig keinen Überblick darüber haben, welche Personen über welche Zugriffsberechtigungen verfügen und welche Devices auf welche Systeme und Daten zugreifen. Das wiederum erschwert die Durchsetzung von Compliance-Richtlinien erheblich. Auch der Diebstahl oder Verlust unverschlüsselter Daten auf Wechselmedien stellt in kritischen Infrastrukturen ein großes Risiko dar.
Sicherheitsschleuse am Point of Entry
Es ist daher enorm wichtig, jeden mobilen Datenträger im Vorfeld auf Malware zu scannen. Nur dann können IT-Teams potenzielle Bedrohungen erkennen, bevor diese ins Netzwerk gelangen und Schaden anrichten.
Für Organisationen im Bereich der kritischen Infrastruktur besteht eine sichere Lösung darin, sogenannte Air-Gap-Systeme in Verbindung mit einem Cybersecurity-Kiosk am Point of Entry als Datenschleuse einzusetzen. Eine derartige Kiosk-Technologie ist speziell dafür entwickelt, sämtliche eingehenden Medien zu überwachen, indem sie diese mit mehreren Antiviren-Scannern überprüft und bereinigt. Zum Einsatz kommt dabei die Technologie Deep Content Disarm and Reconstruction, die bösartige Inhalte aus den Dateien entfernt, riskante Dateitypen desinfiziert, die Dateien anschließend rekonstruiert und in sicheren, isolierten Datentresoren ablegt. Nur bereinigte und validierte Daten aus diesen Tresoren bekommen Zugang zum abgesicherten Netzwerk.
Sicherer Datentransfer braucht Richtlinien
Neben der technischen Kontrolle sind Richtlinien zur Verwendung von Wechseldatenträgern ein wichtiger Bestandteil einer starken Verteidigungsstrategie. Unternehmen sollten streng kontrollieren, welche USB-Geräte auf kritische Systeme zugreifen dürfen. Sie sollten zudem klare Vorgaben dafür festlegen, welche Dateien auf Wechselmedien übertragen werden dürfen. Indem sie den Zugriff auf wenige autorisierte Personen beschränken und ausschließlich genehmigte Daten zulassen, minimieren sie das Risiko einer Gefährdung ihres Netzwerks.
Menschliches Versagen gehört zu den Hauptursachen für USB-basierte Angriffe, die durch ungesicherte oder nicht autorisierte Geräte verursacht werden. Umfassende Schulungsmaßnahmen tragen dazu bei, diese Risiken zu mindern. Eine gezielte Aufklärung der Benutzer über Verschlüsselungstechniken, die potenziellen Gefahren beim Einsatz unbekannter USB-Geräte sowie bewährte Verfahren zum sicheren Auswerfen der Geräte verringert die Wahrscheinlichkeit von Datenbeschädigungen und Malwareinfektionen. In Hochrisikobereichen tragen regelmäßige Audits zur Überprüfung der Nutzung von USB-Laufwerken und der Einhaltung sicherheitstechnischer Vorgaben dazu bei, die Abwehrfähigkeit eines Unternehmens zu erhöhen.
Selbst Unternehmen, die in ihren Arbeitsabläufen eher selten Wechselmedien verwenden, sollten sich der damit verbundenen Bedrohungen bewusst sein. Ein umfassender Ansatz, der Echtzeitüberwachung, Gerätekontrolle und Datenbereinigung mit strengen Zugriffsrichtlinien und Benutzerschulungen kombiniert, deckt alle Bereiche ab und minimiert das Risiko, Opfer eines USB-basierten Angriffs zu werden. jf
Der Autor
Holger Fischer ist Director Sales EMEA Central beim Cybersecurity-Spezialisten OPSWAT.
