Wie Cyberkriminelle USB missbrauchen

Neben Ethernet ist USB (Universal Serial Bus) wohl die erfolgreichste und am weitesten verbreitete Datenschnittstelle. Seit 1996 am Markt wurde sie kontinuierlich weiterentwickelt und soll mit USB 4 bis zu 40 Gigabit pro Sekunde übertragen können. Die große Beliebtheit ist unter anderem auf die vielfältigen Nutzungsmöglichkeiten zurückzuführen. Über USB lassen sich externe Festplatten und andere Speichermedien anschließen, Peripheriegeräte wie Maus, Tastatur oder Webcam betreiben und mobile Endgeräte wie Smartphones oder Tablets laden.

Sicherheitsexperten sind allerdings nicht so begeistert von USB, denn im Standard fehlen Möglichkeiten, Zugriffe detailliert zu protokollieren und zu kontrollieren. So mancher IT-Sicherheitsverantwortliche wiegt sich durch den Einsatz von DLP-Lösungen (Data Loss Prevention) in vermeintlicher Sicherheit. Zwar können diese die Übertragung sensibler Daten über eine USB-Schnittstelle erkennen und blockieren – doch leider geht es nicht bei allen Angriffen ausschließlich um Datendiebstahl.

Der USB-Stick als Angriffsvektor

Cyberkriminelle nutzen in aller Regel E-Mail-Nachrichten für ihre Attacken, es gibt aber auch Ausnahmen. So verschickten vor kurzem Angreifer, die der russischen Gruppe FIN7 zugeordnet werden, mit goldenen Bändchen verschnürte Geschenkboxen, die neben (gefälschten) 500-Dollar-Amazon-Gutscheinen auch einen USB-Stick enthielten.

Solche raffinierten und gezielten Angriffe sind natürlich die Ausnahme, meist werden USB-Sticks einfach in der Lobby einer Firma platziert oder über den Zaun auf den hauseigenen Parkplatz geworfen. Mit Aufschriften wie „Jährlicher Bonusplan“ oder „Unsere Hochzeitsfotos“, sollen sie die Neugier oder die Hilfsbereitschaft eines Finders wecken. Die Versuchung ist groß, den gefundenen Stick in den Rechner zu stecken, um den Inhalt zu prüfen.

Der State of the Phish Report 2022 von Proofpoint bestätigt diesen Trend. Mehr als die Hälfte (54 Prozent) der Unternehmen weltweit meldeten demnach im Jahr 2021 USB-basierte Angriffe, was einem Anstieg von mehr als 15 Prozent gegenüber 2020 entspricht. Selbst das FBI warnt bereits davor, dass USB als Angriffsweg für Ransomware genutzt werden könnte.

Kontrollmechanismen

Die meisten Sicherheitsverantwortlichen halten es für keine gute Idee, den USB-Anschluss einfach zu blockieren. Viel zu viele Geräte sind nach wie vor auf einen USB-Anschluss angewiesen oder lassen sich nur über diese Schnittstelle laden. In der Annahme, die Gefahr wäre auf den Verlust sensibler Daten beschränkt, gehen viele CISOs davon aus, dass man das Risiko allein durch die Nutzung von DLP-Lösungen in den Griff bekommen kann. Ganz davon abgesehen, dass DLP nicht gleich DLP und die Durchsetzung effektiver DLP-Richtlinien schwierig ist, ist wie erwähnt die Extraktion von Daten auf ein USB-Endgerät nicht das alleinige Risiko dieser Technologie.

Angriffsmodelle

In der Vergangenheit wurden USB-Sticks lediglich als Alternative zur E-Mail genutzt, um Phishing-Links, mit bösartigen Makros verseuchte Office-Dokumente oder ausführbare Malware-Dateien auf den Rechner des Opfers zu transportieren. So ließen sich Spam-Filter und andere Kontrollebenen umgehen, die Angreifer hatten direkten Zugang zu den Endgeräten. Ein gravierender Nachteil dieser Methode – aus Sicht der Angreifer – ist jedoch, dass es lange dauern kann, bis beispielsweise ein USB-Stick gefunden, mitgenommen und in den Rechner gesteckt wird. In der Zwischenzeit haben die Unternehmen Zeit, den Endgeräte-Schutz so zu verbessern, dass die Angriffsvektoren auf dem USB-Stick nicht mehr funktionieren.

In jüngster Zeit sind Angreifer allerdings zum so genannten „HID (Human Interface Device) Spoofing“ übergegangen. Wird der so präparierte USB-Stick eingesteckt, registriert er sich als Tastatur oder Maus und gibt automatisch Befehle aus. Der Hacker kann dann den Rechner so steuern, als ob er davorsäße. Diese „BadUSB“ genannte Technik nutzte beispielsweise FIN7, um die erste Phase ihres jüngsten Ransomware-Angriffs einzuleiten.

Die Angriffsmethode „USBKill“ setzt dagegen auf direkte physische Gewalt. Sie verwandelt einen USB-Stick in einen Spannungsinjektor. Einmal eingesteckt, erzeugt dieser einen Stromstoß, der die Hauptplatine des PCs zerstört und die darauf befindlichen Daten vernichtet. In einer Büroumgebung ist die Wirkung dieser Methode eher begrenzt. Sind allerdings Steuerungsrechner in der Produktion oder in der Überwachung von Kraftwerken und Netzen betroffen, ist das Störungspotenzial nicht zu unterschätzen.

Effektiver Schutz vor USB-Angriffen

Unternehmen sollten in einem ersten Schritt das Schadenspotenzial evaluieren, das vom Missbrauch des USB-Anschlusses ausgehen kann. Mindestens genauso wichtig ist es aber, praktikable Lösungen zu finden, um die Nutzung der USB-Schnittstelle im Unternehmen weiterhin zu ermöglichen.

Eine Möglichkeit ist das sogenannte Whitelisting. So beschränkte beispielsweise ein britisches Unternehmen für ein großes Projekt die Nutzung von Tastaturen und Mäusen auf jeweils ein Modell, um HID-Angriffe zu verhindern. Andere Firmen setzen Software auf eine Whitelist und kontrollieren, wer sie ausführen und was sie tun darf.

Beiden Ansätzen mangelt es jedoch an Pragmatismus. Was in einem zeitlich begrenzten Projekt sinnvoll sein kann, lässt sich nicht auf ein sich schnell veränderndes globales Unternehmen übertragen.

Der Schutz der Daten vor Verlust und Diebstahl ist sicher ein essenzieller Bestandteil jeder Sicherheitsstrategie. Er muss aber auf soliden technischen Kontrollmechanismen beruhen und automatisiert auf eine gut gepflegte Datenumgebung zugreifen können, die von einem ausgebildeten Data-Security-Team betrieben wird.

Womit wir wieder bei den Nutzern wären. Der USB-Standard gehört dank seiner Flexibilität fest zum Technologie-Stack und wird diese Position auch behalten. Daher werden Angreifer weiter nach Möglichkeiten suchen, die universelle Verbreitung von USB auszunutzen. Mitarbeiter müssen diese Bedrohungen kennen und sich ihrer Verantwortung bewusst sein. Gut geschultes Personal, das ständig über die neuesten Sicherheitsmaßnahmen informiert wird, bietet den besten Schutz – nicht nur vor USB-Attacken.