Security

USB-Sticks weiter sicher nutzen

BadUSB – so groß ist die Gefahr wirklich

09.02.2015
Von  und
Frank-Michael Schlede arbeitet seit den achtziger Jahren in der IT und ist seit 1990 als Trainer und Fachjournalist tätig. Nach unterschiedlichen Tätigkeiten als Redakteur und Chefredakteur in verschiedenen Verlagen arbeitet er seit Ende 2009 als freier IT-Journalist für verschiedene Online- und Print-Publikationen. Er lebt und arbeitet in Pfaffenhofen an der Ilm.
Alle Artikel des Autors
Email:
Thomas Bär, der seit Ende der neunziger Jahre in der IT tätig ist, bringt weit reichende Erfahrungen bei der Einführung und Umsetzung von IT-Prozessen im Gesundheitswesen mit. Dieses in der Praxis gewonnene Wissen hat er seit Anfang 2000 in zahlreichen Publikationen als Fachjournalist in einer großen Zahl von Artikeln umgesetzt. Er lebt und arbeitet in Günzburg.
Alle Artikel des Autors
Email:

Wie hoch ist aktuell die reelle Gefahr?

Udo Schneider, Security Evangelist Dach bei Trend Micro, fasste für uns die Gefährdung, die von einer BadUSB-Attacke ausgehen kann, prägnant zusammen: "Aus den vorliegenden Informationen ergibt sich leider auch, dass es keine Möglichkeit gibt, die Daten, die der Controller dem HostSystem übermittelt, zu verifizieren beziehungsweise die Integrität oder Validität dieser zu verifizieren. Kurzum: Es kann alles gefälscht werden - damit ist USB-Devices de facto nicht mehr zu trauen!"

Ein Beispiel für einen Angriff via USB: ein „BAD DNS Stick“, der die DNS-Einstellung „verbiegt“, indem er einen USB Ethernet Adapter emuliert.
Ein Beispiel für einen Angriff via USB: ein „BAD DNS Stick“, der die DNS-Einstellung „verbiegt“, indem er einen USB Ethernet Adapter emuliert.
Foto: Security Research Labs

Allerdings wiesen die von uns befragten Spezialisten auch darauf hin, dass ihre Einschätzungen aktuell auf dem Vortrag der Mitarbeiter von Security Research Labs sowie den von ihnen bereitgestellten Unterlagen beruhen und dass sie bis jetzt selbst noch keine entsprechenden Tests der Exploits durchführen konnten.

Gibt es Schutz vor dieser Bedrohung?

In dem von Karsten Nohl gezeigten Szenario simuliert ein modifizierter USB-Stick eine USB-Tastatur und sendet Tastaturbefehle an den Rechner, die im Resultat den Download einer bestimmten Malware bewirken. Wir wollten von den Experten der Sicherheitsfirmen wissen, ob und wie ihre Sicherheitslösungen einen derartigen Angriff erkennen und verhindern könnten. Stefan Ortloff, Virus Analyst bei Kaspersky Lab, führte dazu aus, dass beispielsweise die Unternehmenslösung "Kaspersky Security for Business" eine solche Bedrohung erkennen könne, wenn die dann aktive Malware ein bestimmtes Verhalten aufweist oder bereits eine Signatur in der Datenbank des Anbieter besitzt.

Grundsätzliche Möglichkeiten zur Kontrolle von Endgeräten mit Wechselmedien bieten bereits die Windows-Bordmittel. So können Administratoren mittels Gruppenrichtlinien auch Whitelists für USB-Geräte anlegen.
Grundsätzliche Möglichkeiten zur Kontrolle von Endgeräten mit Wechselmedien bieten bereits die Windows-Bordmittel. So können Administratoren mittels Gruppenrichtlinien auch Whitelists für USB-Geräte anlegen.
Foto: Schlede/Bär

Ein Download beziehungsweise die Installation und Weiterverteilung der Malware wäre so verhindert. Damit schützt eine derartige Lösungen aber nur vor den Gefahren, die von der Software ausgehen, die sich auf dem USB-Gerät befindet. Die Sicherheitsexperten von Eset haben in diesem Zusammenhang darauf hingewiesen, dass ein Workaround darin bestehen kann, Firmware-Updates in der Hardware grundsätzlich zu unterbinden, da diese benötigt werden, um schädliche Aktionen auf den Host-Systemen auszuführen. Allerdings schränken sie auch sogleich ein, dass dieses Vorgehen vom Administrator verlangt, regelmäßig zu überprüfen, ob neue Angriffspunkte in der vorhandenen Firmware entdeckt wurden, und diese dann manuell auf den aktuellen Stand zu bringen.

Zur Startseite