Foto: ollyy, Shutterstock.com
Beinahe täglich durchziehen neue IT-Skandale die Medien. Egal ob Trojaner, Virus oder ein manipulierter USB-Stick. Sowohl Privatpersonen als auch Unternehmen sorgen sich um ihre Daten. Doch wie objektiv wird die Gefahr tatsächlich eingeschätzt? Und reagieren die Betroffenen angemessen auf Sicherheitslücken?
Beispiel "Bad USB": Hierbei handelt es sich um einen mit Malware bestückten USB-Stick, der sich gegenüber einem Anti-Viren-Programm etwa als Tastatur tarnt. Mit Unterstützung eines so manipulierten Sticks können beliebige Befehle ausgeführt werden. Es lässt sich zum Beispiel der Verbindungsaufbau zu einem externen Rechner aufbauen, um Daten abzuziehen, Screenshots zu erstellen oder Tastatureingaben abzufangen. Letzteres eignet sich, um Passwörter auszuspionieren. Die Angriffsszenarien scheinen unermesslich, USB-Sticks nicht mehr vertrauenswürdig -und damit als Datenträger für Unternehmen de facto ungeeignet.
Die Standardreaktion auf IT-Probleme: PAIN
Wie haben Medien und die öffentlichkeit diese Nachricht aufgenommen? Die Reaktionskette passt genau in das Muster, das ich schon oft beobachtet habe und PAIN nenne: "Panik", "Ausnutzen", "Ignorieren", "Nichtstun". Konkret zeichnet sich folgendes Verhaltensmuster ab:
1.) Panik: Was genau ist eigentlich passiert? Zwei Wissenschaftler haben einen USB-Stick manipuliert. So gelang es ihnen, mit einem Computer, der nur mit einer Antivirus-Software geschützt war, eine Verbindung nach außen aufzubauen und den Rechner darüber zu kontrollieren. Diese Tatsache wurde anschließend kommentiert mit "kein Schutz möglich", "jeder Rechner ist zum Abschuss freigegeben" oder ähnlichem. Bei vielen wird sich angesichts dieser Aussagen ein Gefühl der Ohnmacht breitgemacht haben.
2.) Ignorieren: Verschiedene wesentliche Aspekte wurden im Zusammenhang mit "Bad USBs"jedoch nicht deutlich kommuniziert. Zum einen muss ein derartiger Stick recht aufwändig präpariert werden. Hierbei ist nicht einmal klar, ob jeder USB für eine derartige Manipulation geeignet ist. Hinzu kommt: Am Ende der Kette muss es immer noch einen "Täter"geben, der den Stick einsteckt. Zudem sind heute schon genug Software-Produkte verfügbar, die gegen einen derartigen Angriff schützen -es besteht somit keinerlei Grund zur Panik. Doch statt das Thema sachlich zu betrachten, kommt es zum nächsten Schritt.
3.) Ausnutzen: Sofort nutzen verschiedene Software-Anbieter die Verunsicherung zu ihren Gunsten und vertreiben ihre Produkte frei nach dem Motto: Mit unserer Lösung wäre das nicht passiert. Das Problem wird von ihnen sogar noch weiter dramatisiert -doch nicht um aufzuklären, sondern um den Absatz zu fördern.
- USB Rubber Ducky
Ein „Ahnvater“ der jetzt vorgeführten BadUSB-Angriffe: Hier kommt allerdings eine spezielle Hardwarelösung zum Einsatz, die dann einen USB-Stick modifiziert, so dass er unbemerkt Malware verbreiten kann. - SafeToGo
Könnte eine Lösung für die Zukunft sein: Verschlüsselte, zertifizierte USB-Medien (hier die Software des USB-Sticks „SafeToGo“), bei denen auch die Firmware zertifiziert ist und bei denen ausschließlich digital signierte Firmware-Updates möglich sind. - Das BadUSB-Problem
Diese Übersicht zeigt das grundsätzliche Problem: Jeder USB-Stick besitzt einen eigenen Controller und Firmware in einem Bereich, der für den normalen Nutzer und das Betriebssystem so nicht sichtbar ist. - Windows-Bordmittel als Schutz
Grundsätzliche Möglichkeiten zur Kontrolle von Endgeräten mit Wechselmedien bieten bereits die Windows-Bordmittel: So können Administratoren mittels Gruppenrichtlinien auch Whitelists für USB-Geräte anlegen. - USB-Geräte und ihre Identität
Ein weiterer gewichtiger Faktor: USB-Geräte können sich mit unterschiedlichen Identitäten gegenüber den Host-Geräten ausweisen. So kann sich ein Gerät auch ab- und mit einer anderen Identität über die verschiedenen Schritte wieder anmelden. - Bad DNS-Stick
Ein Beispiel, das ebenfalls auf der Black Hat Konferenz gezeigt wurde: Ein „BAD DNS Stick“, der die DNS-Einstellung „verbiegt“, indem er einen USB Ethernet Adapter emuliert. - Kontrolle externer Devices
Kontrolle der externen Geräte mittels Software: Wie hier, bei der Lösung von Trend Micro müssen Administratoren sicherstellen, dass diese Kontrollfunktion für alle Geräte eingeschaltet ist. - Regel-Editor als Schutz
Wie soll das System auf die Verbindung mit externen Datenspeichern reagieren: Viele Sicherheitslösung stellen dazu – wie hier die Software von Eset – einen Regel-Editor bereit - DriveLock
Eine Möglichkeit, die von fast allen Hersteller als ein gewisser aber leider nicht vollständiger Schutz auch gegen Angriffe mittels der BadUSB-Techniken angesehen wird, sind die sogenannten Whitelists: Hier ein Beispiel aus der Software „DriveLock“. - Bedingte Kontrolle
Könnte eine Lösung für die Zukunft sein: Verschlüsselte, zertifizierte USB-Medien (hier die Software des USB-Sticks „SafeToGo“), bei denen auch die Firmware zertifiziert ist und bei denen ausschließlich digital signierte Firmware-Updates möglich sind.
Einige Hersteller haben sich bereits als passende Lösungsanbieter dargestellt, noch bevor sie überhaupt wussten, wie "Bad USBs"funktionieren. - Viele meinen offenbar: Wenn es um einen USB-Stick geht und wir etwas mit USB machen, dann müssen wir die Situation ausnutzen.
Viele gängige Schutzmechanismen wie das Blockieren von USB-Sticks greifen hier jedoch nicht: In dem Fall haben sich die Sticks ja als anderes Device, wie etwa als Tastatur, ausgegeben. Den kompletten USB-Port zu sperren ist keine Lösung -schließlich würde dann auch die normale Tastatur nicht mehr funktionieren. Außerdem könnte sich der Stick sonst einfach als Modem, Smartphone oder eine ganz eigene Klasse wie etwa "grünes Pferd mit rosa Flügeln"ausgeben - denn sofern etwas nicht bekannt ist, wird es oft auch nicht kontrolliert.
Eine gute Software sollte hierbei zwei Dinge beherrschen: Erstens, die Möglichkeit eine zweite Tastatur zu sperren - im Fall des Bad-USB-Szenarios hätte dieser Schutzmechanismus schon ausgereicht. Zum zweiten sollte auch eine Klasse "unbekannt" erkannt und gesperrt werden können.
4.) Nichtstun: Aber wen kümmern schon derart langweilige Details, wenn sich mit der aufkommenden Panik viel Geld verdienen lässt? Die Problemlösung selbst rückt dabei in den Hintergrund. Das Schlimmste ist aber: Nach der Aufregung, der Flut an Medienberichten und den Anrufen von Softwareverkäufern bei potentiellen Kunden gewinnt wieder Lethargie die Oberhand.
- Woran Sie einen Angriff erkennen
Nach Analysen von McAfee weisen vor allem acht Indikatoren darauf hin, dass ein Unternehmensnetz in die Schusslinie von Hackern geraten ist. Hans-Peter Bauer, Vice President Zentraleuropa bei McAfee, stellt sie vor. - Interne Hosts kommunizieren mit bösartigen oder unbekannten Zieladressen
In jedem Fall verdächtig ist, wenn ein Host-Rechner auf externe Systeme zugreift, deren IP-Adressen auf "Schwarzen Listen" von IT-Sicherheitsfirmen zu finden sind. Vorsicht ist auch dann geboten, wenn Rechner häufig Verbindungen zu Systemen in Ländern aufbauen, zu denen ein Unternehmen keine geschäftlichen Beziehungen unterhält. Dabei kann es sich um den Versuch handeln, Daten aus dem Unternehmen hinauszuschmuggeln. - Interne Hosts kommunizieren mit externen Hosts über ungewöhnliche Ports
Auffällig ist beispielsweise, wenn interne Rechner über Port 80 eine SSH-Verbindung (Secure Shell) zu einem System außerhalb des Firmennetzes aufbauen. SSH nutzt normalerweise Port 22 (TCP). Port 80 ist dagegen die Standardschnittstelle für HTTP-Datenverkehr, also den Zugriff auf das Internet. Wenn ein Host einen ungewöhnlichen Port verwendet, kann dies ein Indiz dafür sein, dass ein Angreifer das System unter seine Kontrolle gebracht hat. Um IT-Sicherheitssysteme zu täuschen, tarnt ein Hacker dann die Kommunikation mit seinem Command-and-Control-Server (C&C) als Anwendung, die jedoch nicht den Standard-Port verwendet. - Öffentlich zugängliche Hosts oder Hosts in entmilitarisierten Zonen (DMZ) kommunizieren mit internen Hosts
Mithilfe solcher Hosts kann es Angreifern gelingen, gewissermaßen "huckepack" in ein Unternehmensnetz einzudringen, Daten zu stehlen oder IT-Systeme zu infizieren. - Warnungen von Malware-Scannern außerhalb der Geschäftszeiten
Verdächtig ist, wenn Antiviren-Programme in der Nacht oder am Wochenende Alarm schlagen, also außerhalb der normalen Arbeitszeiten. Solche Vorkommnisse deuten auf einen Angriff auf einen Host-Rechner hin. - Verdächtige Netzwerk-Scans
Führt ein interner Host-Rechner Scans des Netzwerks durch und nimmt er anschließend Verbindung zu anderen Rechnern im Firmennetz auf, sollten bei Administratoren die Alarmglocken schrillen. Denn dieses Verhalten deutet auf einen Angreifer hin, der sich durch das Netzwerk "hangelt". Vielen Firewalls und Intrusion-Prevention-Systemen (IPS) entgehen solche Aktionen, wie sie nicht entsprechend konfiguriert sind. - Häufung identischer verdächtiger Ereignisse
Ein klassischer Hinweis auf Angriffe ist, wenn mehrere sicherheitsrelevante Events innerhalb kurzer Zeit auftreten. Das können mehrere Alarmereignisse auf einem einzelnen Host sein, aber auch Events auf mehreren Rechnern im selben Subnetz. Ein Beispiel sind Fehler beim Authentifizieren. - Schnelle Re-Infektion mit Malware
Nach dem Scannen mit einer Antiviren-Software und dem Beseitigen eventuell vorhandener Schadsoftware sollte ein IT-System eigentlich längere Zeit "sauber" bleiben. Wird ein System jedoch innerhalb weniger Minuten erneut von Malware befallen, deutet dies beispielsweise auf die Aktivitäten eines Rootkit hin. - Dubiose Log-in-Versuche eines Nutzers
Eigenartig ist, wenn derselbe User innerhalb kurzer Zeit von unterschiedlichen Orten aus Log-in-Versuche in ein Firmennetz startet oder wenn solche Aktionen von Systemen mit unterschiedlichen IP-Adressen aus erfolgen. Eine Erklärung ist, dass die Account-Daten des Nutzers in falsche Hände gefallen sind. Denkbar ist allerdings auch, dass sich ein illoyaler oder ehemaliger Mitarbeiter Zugang zu verwertbaren Daten verschaffen will.
Aus Fehlern wird selten gelernt
Fazit: Statt sich sachlich und fundiert mit IT-Risiken und deren Bekämpfung auseinanderzusetzen, versuchen die meisten nach einer derartigen Panikattacke Sicherheitslücken kleinzureden oder komplett zu ignorieren, statt sie zu schließen - bis der nächste Datenskandal kommt und die Reaktionskette von vorne beginnt.
Dabei hatte die Berichterstattung zu "Bad USBs" schon eine absolut richtige und ungemein wichtige Botschaft: Antiviren-Lösungen helfen tatsächlich nicht. Um sich wirklich gegen derartige Angriffsszenarien zu schützen, sind ganz andere Lösungen notwendig, die aber nur in 20 bis 30 Prozent der Firmen zum Einsatz kommen. Eine solide Device-Management-Lösung böte hier einen zuverlässigen Schutz. Doch scheinbar warten viele darauf, dass aus dem wissenschaftlichen Experiment "Bad USB" eine richtige Waffe im Informationskrieg entsteht. Dann beginnt die PAIN-Welle von vorn.
Die Anzahl der Personen, die die Ursachen von Security-Problemen verstehen, alle Fakten in Augenschein nehmen und bereits im Vorfeld eine saubere Sicherheitsinfrastruktur aufbauen, sind klar in der Minderheit. Natürlich entgeht denen dann auch der "Spaß", tagtäglich russisches Roulette mit schlecht abgesicherten Daten zu spielen und morgen vielleicht als nächstes Opfer von Datendieben in aller Munde zu sein. (bw)