In Sachen Cybersicherheit haben sich USB-Sticks einen Ruf als heimtückischer Widersacher erarbeitet und sind in vielen Unternehmen inzwischen ein unliebsames Objekt. Doch um gänzlich ohne dieses Medium auszukommen, müssten Dokumente über ein virtuelles Netzwerk ausgetauscht werden. Die Daten werden dabei innerhalb eines Intranets oder der Cloud gespeichert und gelangen ohne zwischengeschaltetes externes Speichermedium direkt von einem Rechner zum anderen. Eigentlich eine bequeme Lösung, die jedoch ebenso ihre Schattenseiten hat: Wenn alles online abläuft, muss ein Hacker nicht einmal mehr vor die Tür gehen, um sein Vorhaben umzusetzen. Der Gebrauch eines geschlossenen und hardwaregebundenen Netzwerks zwingt Hacker wenigstens dazu, „ihre Schaltzentrale“ zu verlassen. Wie kann man der Bedrohung also konkret entgegenwirken?
USB-Sticks: Eine wahre Keimzelle für Cyber-SMDs
USB-Sticks bergen leider nach wie vor ein erhöhtes Infektionsrisiko für Computer trotz regelmäßiger Sensibilisierungskampagnen mit den wichtigsten Verhaltensregeln. Der neueste Honeywell-Bericht zeichnet ein schreckenerregendes Bild für jeden Cybersicherheitsexperten ab: 40 % der USB-Sticks enthalten demnach mindestens einen potentiell gefährlichen Ordner und 26 % dieser Risiken könnten Störungen im Betriebssystem verursachen.
Datenaustausch ist heutzutage aus der Unternehmenswelt nicht mehr wegzudenken, doch der Transfer von Dokumenten gestaltet sich mitunter alles andere als reibungslos. Bedingt durch unternehmensspezifische Eigenheiten, zahllose Abteilungen, die über mehrere Orte verstreut sind, fragmentierte Netzwerke, nicht ans Netzwerk angeschlossene Rechner und eine gewisse Skepsis gegenüber der Cloud im Unternehmen erfüllen USB-Sticks oftmals noch ihren vorbestimmten Zweck. Eine andere Möglichkeit wäre, die Netzwerke öffentlich zugänglich zu machen, doch selbst mit einer Reihe von Firewalls und Sicherheitsprotokollen stellt die Netzwerkverbindung einen Risikofaktor dar. In einigen Umgebungen mit speziellen Sicherheitsanforderungen wie militärische Einrichtungen oder in der Industrie muss das Netzwerk sogar vollständig isoliert bleiben.
Mit dem Wissen, welche Gefahren dieses Speichermedium birgt – man könnte beinahe von einem Krankheitsherd für Cyber-SMDs sprechen –, kann man ein wenig besser nachvollziehen, warum IBM die Verwendung von USB-Sticks schlicht und einfach untersagt hat. Die in den Reihen der französischen Nationalversammlung eingesetzten Maßnahmen zur Sensibilisierung für digitale Hygiene sollen außerdem der Verwendung von USB-Sticks, die Abgeordnete bei Messen als Geschenk erhalten haben, Einhalt gebieten. Ist solch ein Verbot realistisch umsetzbar? Und würde dies überhaupt etwas bringen? Unter welchen Bedingungen ist der Gebrauch unbedenklich?
Kontrollen begünstigen Schatten-IT
Es ist ein Ding der Unmöglichkeit, die vorhandenen PCs von heute auf morgen durch Computer ohne USB-Laufwerk auszutauschen. Was sind die Alternativen? Die Mitarbeiter Taschenkontrollen am Eingang unterziehen? Die USB-Anschlüsse mit Kaugummis zukleben? Die Rechner in Kästen mit Vorhängeschloss einschließen? „Niemand ist in der Lage, alle USB-Sticks, die in einem Unternehmen im Umlauf sind, zu überprüfen. Man kann lediglich alle Peripheriegeräte der IT-Umgebung blockieren oder überwachen“, erklärt Marco Genovese, Network-Security-Produktmanager bei Stormshield. Der Mensch ist recht einfach gestrickt: Wenn das neue Verfahren mit zu vielen Einschränkungen verbunden ist, wählen die Mitarbeiter nach kurzer Zeit wieder den einfachsten Weg – unabhängig davon, was erlaubt ist und was nicht. Die Folge davon wäre, dass sich die Mitarbeiter ohne das Wissen der Direktion für Informatiksysteme anderer Mittel bedienen würden, wodurch die Pforte zur sogenannten Shadow-IT aufgestoßen würde. Unternehmen, die ausschließlich auf Cloud-Dienste zurückgreifen, gibt es bereits, doch sie hängen vollkommen von ihrer Netzwerkverbindung ab. Kann dies also eine brauchbare Lösung sein?
USB-Sticks zum Aufspüren von Cyberangriffen
Adrien Brochot, Endpoint-Security-Produktleiter bei Stormshield, hält ein Verbot von USB-Sticks für keine gute Idee. Warum sollte man als Unternehmen mit einem segmentierten Netzwerk freiwillig auf ein praktisches Mittel zum Datenaustausch verzichten? Laut Brochot könnten USB-Sticks zudem als Warn- und Alarmsysteme dienen. Sobald die Überwachungssoftware einen USB-Stick als verdächtig entlarvt, besteht der Verdacht auf einen Cyberangriff.
Die Umstellung auf den alleinigen Netzwerkbetrieb würde Hackern in die Karten spielen, da sich so Cyberangriffe noch schneller im Unternehmen verbreiten würden, wenn der erste IT-Schutzwall überwunden wurde. Trotz der erhöhten Sicherheitsrisiken, die USB-Sticks aufwerfen, kann man nur schlecht ohne sie auskommen. Auch die bequeme Netzwerklösung ohne weitere Hilfsmittel ist ein zu großes Wagnis. Was wäre, wenn man sich gar nicht zwischen den beiden entscheiden müsste, sondern eher nach adäquaten Sicherheitstools für beide Methoden suchen würde?
Wo der Mensch ein Risikofaktor ist, schaffen die Sticks selbst Abhilfe
Die größte Gefahr geht in erster Linie vom Benutzer aus. Sofern ein USB-Stick nur in einer Umgebung verwendet wird, gibt es keinen Grund zur Sorge. Leichter gesagt als getan. So kann ein Mitarbeiter zum Beispiel seinen USB-Stick von zu Hause mitbringen, um seinen Kollegen Urlaubsfotos zu zeigen. Eigentlich recht harmlos, oder? Weit gefehlt, denn durch das Anschließen des Mediums an einen externen PC, der über nicht genügend Sicherheitsvorkehrungen verfügt, kann der Firmencomputer später infiziert werden: Allgemein gilt, dass sich die Angriffe gegen die anfälligsten Computer richten. So kam der berühmte Computerwurm Stuxnet, der sich 2010 in das Netzwerk eines iranischen Kernkraftwerks eingeschlichen hatte, von einem privaten USB-Stick eines der Ingenieure.
Eine Lösung hierbei ist die gezielte Einbindung von USB-Sticks über eine Software, die die Nutzung des Sticks im IT-System scannt und nachverfolgt. Das Verfahren ist selbstverständlich identisch, wenn ein Benutzer bewusst einen infizierten USB-Stick anschließt. Es funktioniert nach dem Vertrauensprinzip: Der Stick wird zunächst an einen Testcomputer angeschlossen, der unabhängig vom Netzwerk und mit mehreren Antivirenprogrammen ausgestattet ist. Hierbei werden ausführliche Analysen erstellt. Jedes Mal, wenn der zuvor auf dem Testcomputer gescannte Stick mit einem Rechner der IT-Umgebung verbunden wird, kann man überprüfen, ob eine Datei von außerhalb bearbeitet wurde. Sobald jedoch eine Datenveränderung auf einem Rechner erfolgt, der nicht mit der Überwachungssoftware zum Scannen von USB-Sticks ausgerüstet ist, wird das Vertrauen gebrochen und es ist eine erneute ausführliche Analyse des USB-Sticks auf dem Testcomputer vonnöten. Es ist gar nicht so umständlich, wie es sich anhört: Die Überwachungssoftware kann auf jedem beliebigen Rechner installiert werden.
Die Rolle von Verhaltensanalysen
Die Lösung Stormshield Endpoint Security ist ein weiteres Tool zum Schutz von Arbeitsrechnern: Die entsprechenden Erkennungsmechanismen und Techniken, die verhindern, dass Schwachstellen ausgenutzt werden, sowie die Regeln zur Ressourcenkontrolle ermöglichen es, Prozesse mit schädlichem oder auffälligem Verhalten aufzuspüren oder zu unterbinden, die von einem Angreifer eingeleitet wurden. Sobald sich ein infizierter USB-Stick in die Unternehmens-IT eingenistet hat, werden die durch den Angriff herbeigeführten Störungen sofort erkannt. Dieser Erkennungs- und Schutzmechanismus nennt sich „Host-Based Intrusion Prevention System“, kurz HIPS, und kann zur Abwehr des Angriffs eingesetzt werden.
Letztere Option ist allerdings ebenfalls noch ausbaufähig. Falls es sich allerdings um eine Reihe aufeinanderfolgender Schadangriffe handelt, die einzeln betrachtet jedoch unbedrohlich wirken, wird die Abwehr des HIPS unter Umständen nicht ausgelöst. Mithilfe der „Endpoint Detection and Response“-Technologie (EDR) kann im Angesicht von Cyberangriffen die Sichtbarkeit erhöht oder verfeinert werden. In Zukunft ist geplant, dass sich HIPS und EDR ergänzen, und mit ausreichend Schutz dieser Art ist es laut Marco Genovese unnötig, USB-Sticks zu verbieten. „Die Entscheidung von IBM, USB-Sticks aus dem Unternehmen zu verbannen, hatte eher mit Image-Bedenken zu tun als mit Cybersicherheit. Können Sie sich die möglichen Auswirkungen ausmalen, wenn jemand einen USB-Stick mit sensiblen Daten eines Unternehmens fände, das im Bereich Cybersicherheit tätig ist?“
Vielen Dank an Adrien Brochot, Endpoint-Security-Produktmanager bei Stormshield und an Marco Genovese, Network-Security-Produktmanager bei Stormshield, für ihre wertvolle Mithilfe beim Verfassen dieses Artikels in Zusammenarbeit mit Usbek & Rica.