Timeo Danaos et dona ferentes: USB-Sticks statt Holzpferde
Der legendäre Angriff auf Troja vermittels eines Geschenkes funktioniert auch heute noch. Nur werden statt überdimensionaler Holzpferde am Strand USB-Memory-Sticks auf dem Parkplatz “vergessen” - und prompt aufgesammelt und in die Firmenrechner gesteckt.
Klingt unglaublich? Ist aber so: eine Studie (PDF.) zu menschlichem Verhalten und IT-Sicherheit zeigt das auf.
Sicherheitsrisiko
Wie lange bekannt können sich auf USB-Sticks (früher Floppy-Disks) Viren und Trojaner als Dateien (oder in Dateien) befinden.
Modernere Verfahren (und durch einen einfachen Virenscan nicht zu entdecken) wäre BadUSB (Details BadUSB-BlackHat-v1), Rubber Ducky oder USB-Killer. Wobei bei letzterem es wohl nicht mehr zu einem Virencheck kommen würde – die Computer Hardware wäre zerstört.
Lösungsansätze
Es gibt keine einzelne einfache Lösung - mehrere Maßnahmen sollten kombiniert zur Anwendung kommen:
- technische Vorkehrungen
- organisatorische Maßnahmen
- rechtliche Schritte
Die technischen Vorkehrungen könnten SW Verriegelung oder HW Blockierung der USB Ports an den Firmenrechnern beinhalten.
Eine sicher sinnvolle organisatorische Maßnahme ist die Sensibilisierung der Mitarbeiter durch Schulung.
Eine mögliche TOM (Technisch Organisatorische Maßnahme) wäre, einen zentralen Testrechner (z.B. offline, RasPi + Überspannungsschutz, betreut vom IT-Sicherheits-Team) bereitzustellen, in dem zweifelhafte USB Sticks mit geringem Risiko getestet werden können.
Nach dem Erstellen von Sicherheitspolicies wäre ein nächster rechtlicher Schritt die individuelle schriftliche Verpflichtung der Mitarbeiter, diese Sicherheitsregularien der Firma einzuhalten.
Der menschliche Faktor in der IT-Sicherheit
Die meisten der vorgeschlagenen Maßnahmen beschränken die Verfügbarkeit der Rechner und Anwender fühlen sich möglicherweise eingeschränkt. Damit einher geht geringe Akzeptanz und in Folge der Versuch, Sicherheitsregeln zu umgehen.
Der Vorschlag eines zentralen, für alle zugänglichen Testgeräts käme den Anwendern entgegen. Praktisch könnte so ein geregeltes Verfahren implementiert werden, geschäftlich genutzte externe Daten in das Firmennetz zu bringen.
Um den Vorteil des „menschlichen Faktors“ auszunutzen könnte eine Belohnung oder ein Wettbewerb ausgelobt werden für alle entdeckten “bösen” Devices. Dies würde den Anwendern eine aktive Rolle in der IT-Sicherheit zuweisen - und Motivation erzeugen.
Links
[1] Users Really Do Plug in USB Drives They Find
Matthew Tischer et. al. Published in: 2016 IEEE Symposium on Security and Privacy (SP)
https://ieeexplore.ieee.org/document/7546509
[2] PDF link
https://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=7546509
[3] BadUSB Übersicht (Deutsch, Heise Verlag 2014)
https://www.heise.de/security/meldung/BadUSB-Wenn-USB-Geraete-boese-werden-2281098.html
[4] BadUSB-BlackHat-v1: Vortrag auf der BlackHat 2014 von Karsten Nohl et.al. (Englisch)
https://srlabs.de/wp-content/uploads/2014/07/SRLabs-BadUSB-BlackHat-v1.pdf
[5] Rubber Ducky
https://shop.hak5.org/products/usb-rubber-ducky-deluxe
[6] USB Killer
https://usbkill.com/products/usb-killer-v3