USB-Sticks und andere smarte Endgeräte erfreuen sich unglaublicher Popularität. Gleichzeitig bringt die laxe Nutzung enorme Risiken mit sich, wie aktuelle Forschungsergebnisse zeigen. Laut Untersuchungen der britischen Sicherheitsfirma ESET gehören alleine rund 23.000 USB-Sticks und fast 1.000 Smartphones zu den sprichwörtlichen Goldtalern, die jährlich in Großbritannien in Textil-Reinigungen zurückgelassen werden. Ganze 45 Prozent davon, finden nicht den Weg zurück zu ihren Besitzern.
Foto: Adam Hoglund - shutterstock.com
Die Zahlen sind für sich genommen hoch, doch sie sind lediglich die Spitze des Eisberges. Das Phänomen als solches ist weltweit verbreitet - über Großbritannien und Reinigungen hinaus. Smarte Endgeräte machen Spaß, sind nützlich, preiswert, handlich und zugleich enorm leistungsfähig hinsichtlich ihrer Speicherkapazität. Die landläufige Vermutung, dass der größte Teil dieser Geräte geschützt sei, erweist sich als Trugschluss. Einige von ihnen landen bestenfalls im Mülleimer, andere zirkulieren auf Auktionsplattformen, produzieren Schlagzeilen in der Presse, sorgen für Peinlichkeiten und verursachen wirtschaftliche Schäden und Reputationsverluste.
Risiken für Besitzer wie Finder
Laut Untersuchungen der Unternehmensberatung Ernst & Young kommen jährlich Millionen von Smartphones und anderen mobilen Endgeräten abhanden oder werden gestohlen. Ganze 22 Prozent aller weltweit hergestellten mobilen Geräte verschwinden und mehr als die Hälfte davon bleibt unauffindbar. Viele dieser Geräte beinhalten sensitive Daten, was reichlich Unbehagen verursacht.
Im digitalen Zeitalter sind Daten von großer Bedeutung. Die Kosten der Geräte werden immer vernachlässigbarer. Gleichzeitig steigen aufgrund der enormen Verbreitung die Risiken, dass die Geräte samt Daten in den falschen Händen landen. Während einige Cyberkriminelle versuchen Datensätze im Darknet anzubieten, kaufen andere diese um in zielgerichteten Kampagnen bei ihren Opfern Kasse zu machen.
Verlorene USB-Sticks und andere smarte Gerätschaften bringen große Risiken mit sich - für Besitzer wie Finder. Jemand der beispielsweise einen manipulierten USB-Stick aufsammelt kann damit nicht nur seinen eigenen PC infizieren, sondern auch in Windeseile Schadcode innerhalb der Unternehmung verbreiten. Moderne Arbeitsformen und Praktiken, wie beispielsweise Bring-Your-Own-Device (BYOD), laden regelrecht dazu ein.
Der USB-Stick und der Parkplatz: Ein Schelm wer Böses ahnt
Forscher der amerikanischen Universität von Illinois entschieden sich zu einem Feldversuch und verteilten 297 USB-Sticks quer über das Campusgelände. Die Erfolgsrate der Studie lag erschreckenderweise zwischen 45 und 98 Prozent. Die ersten USB-Sticks meldeten sich bei den Forschern in weniger als 6 Minuten zurück, nachdem sie u.a. auf dem Parkplatz platziert wurden.
Wäre auf diesen schadhafter Code gewesen, hätte der Cyberangriff in kürzester Zeit zum Erfolg geführt. Während die Finder anfänglich gutgläubig die USB-Sticks mit ihren PCs verbanden, ging beinahe die Hälfte einen Schritt weiter und öffnete verlockende Köder wie beispielsweise Urlaubsfotos, noch bevor man versuchte den Besitzer ausfindig zu machen.
Lediglich 16 Prozent der unfreiwilligen Probanden sahen es erforderlich an den USB-Stick mittels Antivirus-Software zu prüfen. Unglaubliche 69 Prozent der Versuchsteilnehmer unternahmen keinerlei Vorkehrungen vor dem Öffnen der Geräte und deren Inhalte.
In einem anderen Experiment ähnlicher Art im Auftrag der amerikanischen Computing Technology Industry Association (CompTIA) kam man zu vergleichbaren Ergebnissen. Dort wurden in einer Studie rund 200 USB-Sticks an öffentlichen Orten in den Städten Chicago, Cleveland, San Francisco und Washington, DC platziert, um die Risikobereitschaft der Probanden zu testen. Jeder Fünfte konnte nicht widerstehen, sammelte den Köder ein und setzte sich großen Risiken aus, beispielsweise durch das Öffnen unbekannter Dateien, das Klicken auf dubiose Web-Links oder das Versenden von Nachrichten an zuvor hinterlegte E-Mail-Adressen.
Kein Licht am Ende des Tunnels in Sicht
Man ist geneigt zu vermuten, dass sich im digitalen Zeitalter Anwender ihrer Aktivitäten und damit verbundenen Risiken deutlich bewusster sind. Die Statistiken zeigen jedoch, dass das Gegenteil der Fall ist.
So brachten die Ergebnisse der CompTIA-Studie u.a. folgende Erkenntnisse zu Tage:
63 Prozent der Mitarbeiter nutzen im Schnitt firmeneigene mobile Endgeräte für private Zwecke
Das Alter spielt hinsichtlich Sicherheitsbewusstsein und Risikobereitschaft eine große Rolle. Babyboomers, Gen X und Millennials legen unterschiedliche Verhaltensmuster an den Tag, was unterschiedliche Risiken mit sich bringt.
42 Prozent der Millennials hatten binnen der letzten zwei Jahre ein mobiles Endgerät mit einem Virus infiziert, gegenüber 32 Prozent der gesamten Belegschaft.
40 Prozent der Millennials ließen sich verführen einen in der Öffentlichkeit entdeckten USB-Stick einzusammeln. Selbiges taten hingegen lediglich 22 Prozent der Gen X bzw. 9 Prozent der Babyboomers.
27 Prozent der Millennials hatten in den vergangenen zwei Jahren eine Datenpanne bei der ihre personenbezogenen Daten exponiert wurden. Gleiches widerfuhr lediglich 19 Prozent der gesamten Belegschaft.
41 Prozent der Belegschaft weiß nicht was eine Zweifaktor-Authentisierung ist.
37 Prozent der Belegschaft ändert Passwörter lediglich jährlich oder sporadisch.
Nur 4 Prozent der Befragten würden nach einem festgestellten Cyberangriff als erstes die Behörden informieren.
Fazit
Die Zahlen sind offen gestanden augenreibend und unterstreichen die Notwenigkeit seitens der Anwender wie Unternehmen Cybersicherheit ernsthafter angehen zu müssen.
Unternehmen sollten entlang der Kategorien People, Prozesse und Tools ein weitreichendes Sicherheitskonzept samt Maßnahmenkatalog entwickeln um Cybergefahren einzudämmen. Offensichtlich ist nach wie vor noch viel an Basisarbeit zu tun. Dies umfasst die Sensibilisierung und Ausbildung wie mit Sicherheitsrisiken umzugehen ist und wie diese reduziert werden können. Insbesondere der Mythos, dass Millennials alle samt Digital Natives und damit umsichtiger im Umgang mit Technik sind, ist häufig eine Fehleinschätzung.
Gerade junge Menschen haben andere Lebenseinstellungen und sind mit einem anderen Grundverständnis aufgewachsen. Sie nutzen die Geräte intensiver bzw. vielfältiger, gehen dadurch teilweise höhere Risiken ein und sind es gewohnt Daten zu teilen - mittels sozialer Netze oder anderer Kanäle deren Sicherheit mitunter fraglich ist. Neben regelmäßigen Trainings geben Instruktionen Klarheit, was in welchem Szenario genau zu tun und wer zu kontaktieren ist - z.B. wenn Geräte gefunden werden.
Ebenso wichtig ist es die mobilen Endgeräte umfassend mittels Softwarelösungen zu schützen. Dies umfasst typischerweise den Einsatz von Verschlüsselung, Virenerkennung und -Bekämpfung, Authentisierung, Inventarisierung usw. Über Policies lässt sich dies automatisiert in die Fläche bringen um den unberechtigten Zugriff auf Daten von Dritten und das Einschleppen von Schadcodes abzuwehren. Wenn immer möglich empfiehlt sich die Nutzung einer Zweifaktor-Authentisierung statt ausschließlich auf Passwörter zu setzen.