Angriffe mittels USB gefährden Kritische IT- und OT-Infrastrukturen

Holger Fischer erörtert Schutz vor nur vermeintlich simpler Angriffsmethode per USB

[datensicherheit.de, 26.11.2024] Im Kontext der sich ständig weiterentwickelnden Cyber-Bedrohungen und -Angriffe auf Unternehmen, Kritische Infrastrukturen (KRITIS) und Behörden werden in Deutschland die Cyber-Sicherheitsvorschriften verschärft: Dazu gehören u.a. das „IT-Sicherheitsgesetz 2.0“ und die erweiterten KRITIS-Sicherheitsvorschriften und -Meldepflichten. Diese Compliance-Richtlinien haben offensichtlich erhebliche Auswirkungen auf industrielle Hersteller und KRITIS-Betreiber. Holger Fischer, „Director EMEA Central“ bei OPSWAT, erläutert in seiner aktuellen Stellungnahme die reale Bedrohung durch Schadsoftware, „die von USB-Geräten vor allem auch im Kritischen OT-Umfeld eingeschleust werden kann“.

Foto: OPSWAT

Holger Fischer: USB-Geräte haben das Potenzial, schädliche und äußerst kostspielige Cyber-Angriffe auszulösen!

Für auf Wechselmedien – wie USB-Laufwerke – angewiesene Betriebe besteht weiter Grund zur Wachsamkeit

Das BSI – als Cyber-Sicherheitsbehörde des Bundes und Hauptarchitekt der sicheren Digitalisierung – ist für die Durchsetzung der Einhaltung der einschlägigen Gesetze und Vorschriften verantwortlich. KRITIS-Betreiber sind z.B. verpflichtet, Cyber-Angriffe zu erkennen, obligatorische Systeme und Prozesse zu deren Erkennung zu implementieren, Vorfälle zu melden und sich beim BSI zu registrieren. Darüber hinaus wurde in Deutschland die Klassifizierung der KRITIS-Betreiber um kommunale Entsorgungsunternehmen, die Rüstungsindustrie und „Unternehmen mit besonders hoher wirtschaftlicher Bedeutung“ erweitert.

Fischer gibt in seinem Kommentar zu bedenken: „In einer Zeit, in der die Risiken von KI-gestützten und fortschrittlichen, per E-Mail übertragenen Sicherheitsbedrohungen die Nachrichten dominieren, könnte man leicht die Gefahren einiger der uralten Angriffsvektoren übersehen, die von Cyber-Kriminellen weiterhin ausgenutzt werden.“ Er warnt eindringlich: „Für Branchen, die auf Wechselmedien – wie USB-Laufwerke – angewiesen sind, besteht weiterhin Grund zur Wachsamkeit, da diese Geräte das Potenzial haben, schädliche und äußerst kostspielige Cyber-Angriffe auszulösen.“

Revival USB-basierter Angriffe

USB-Geräte würden häufig in einer Reihe von KRITIS-Sektoren wie bei Infrastrukturbetreibern, Versorgungsunternehmen und im Gesundheitswesen eingesetzt. „Diese Sektoren sind auf USB-Laufwerke angewiesen, um Daten in Umgebungen mit eingeschränktem oder keinem Internetzugang zu übertragen, wie z.B. in Air-Gapped-Systemen, die Kritische Vermögenswerte und Daten aus Sicherheitsgründen von externen Netzwerken isolieren.“

In Umgebungen der Betriebstechnik (OT) seien USB-Laufwerke oft die einzige praktische Möglichkeit, Daten zwischen Systemen zu übertragen, die bewusst offline gehalten würden, was sie zu einem gängigen Werkzeug für Software-Updates oder Datenmigration mache. „Diese weit verbreitete Nutzung macht USB-Laufwerke zu einem Hauptziel für Cyber-Angriffe“, unterstreicht Fischer. Ein prominentes Beispiel sei die „Sogu“-Malware, welche von der Hacker-Gruppe „UNC53“ eingesetzt worden sei und mit der im vergangenen Jahr, 2023, mehrere Unternehmen infiltriert worden seien. „Diese Kampagne richtete sich gegen Branchen in Ländern wie Ägypten und Simbabwe, in denen USB-Laufwerke ein wesentlicher Bestandteil des täglichen Geschäftsbetriebs sind.“

Neueste USB-basierte Angriffstechniken immer ausgefeilter

Die neuesten USB-basierten Angriffstechniken seien immer ausgefeilter und umgingen häufig erweiterte Sicherheitsschichten, indem sie das Vertrauen zwischen dem USB-Gerät und dem Host ausnutzten. „Langjährige Techniken wie ,Rubber Ducky’-Tastatureingabe-Angriffe, bei denen Benutzeraktivitäten unbemerkt kopiert und Informationen an das Host-System des Angreifers zurückgesendet werden, werden auf neue Weise eingesetzt.“

Beispielsweise könne die Firmware einiger „Human Interface Devices“ (HIDs) wie Mäuse und Tastaturen so verändert werden, dass die Tastenanschläge zur Installation verdeckter Malware genutzt würden. Dies sei ein beliebtes Mittel für Penetrationstester und „Social Engineers“, welche unachtsame Mitarbeiter oder Partner dazu verleiten wollten, ein kompromittiertes USB-Gerät in die Hand zu nehmen und einzustecken.

Sicherheit der USB-Wechselmedien eine besondere Herausforderung

Die Verwaltung von Wechselmedien stelle insbesondere in OT-lastigen Umgebungen eine Herausforderung dar: „USB-basierte Angriffe umgehen die herkömmliche Netzwerksicherheit und ermöglichen es Angreifern, sensible Daten zu exfiltrieren oder sich langfristigen Zugriff auf Systeme zu verschaffen.“ Diese Angriffe seien besonders gefährlich in isolierten Systemen, in denen die fehlende Netzwerkkonnektivität die Erkennung verzögerten und die Verweildauer der Angreifer verlängern könne.

Dies mache sie zu einem perfekten Vektor für Malware-Infektionen, Datenlecks und unbefugten Zugriff. Infizierte USB-Laufwerke könnten leicht schädliche Software in Systeme einschleusen, „die nicht regelmäßig überwacht werden, was zu potenziellen Datenverlusten oder Betriebsunterbrechungen führen kann“. Ohne strenge Geräte- und Datenkontrollen könnten USB-Laufwerke Malware einschleusen oder unbefugten Zugriff auf sensible Systeme ermöglichen.

Jeder USB-Stick sollte vorab auf Malware und verdächtige Aktivitäten gescannt werden

Eine der größten Herausforderungen für Unternehmen bei der Bewältigung dieser Sicherheitsrisiken bestehe darin, dass sie oft nicht genau wüssten, „welche Personen und welche Geräte sie mit ihren Systemen verbinden oder wie Daten übertragen werden, was die Durchsetzung von Richtlinien erschwert“. Nicht nur die Sicherheitsrisiken durch Malware stellten ein Problem dar, auch der Diebstahl oder Verlust unverschlüsselter Daten auf Wechselmedien stelle ein erhebliches Risiko dar, insbesondere in sogenannten hochsicheren Umgebungen.

Um diese Risiken zu minimieren, sei ein mehrschichtiger Sicherheitsansatz erforderlich, welcher sowohl technische als auch richtlinienbasierte Lösungen kombiniere. Die Echtzeitüberwachung von Geräten sei unerlässlich. Fischer rät: „Jeder an ein System angeschlossene USB-Stick sollte auf Malware und verdächtige Aktivitäten gescannt werden, damit Bedrohungen erkannt werden können, bevor sie das Netzwerk gefährden!“ Die Datenbereinigung spiele in diesem Prozess eine Schlüsselrolle. „Durch die Bereinigung von Dateien, die über USB übertragen werden, können Unternehmen versteckte Malware oder schädliche Inhalte entfernen und so sicherstellen, dass nur sichere Daten in ihr Netzwerk gelangen.“

Unternehmen sollten strenge Kontrollen darüber einführen, welche USB-Geräte auf Kritische Systeme zugreifen können

Für Unternehmen im KRITIS-Sektor könnte eine robustere Lösung aus Air-Gapped-Systemen in Kombination mit einem sogenannten Cyber-Sicherheits-Kiosk bestehen, welcher „alle ein- und ausgehenden Medien scannt und bereinigt“. Alle Dateien würden mithilfe von CDR-Techniken (Content Disarm and Reconstruction) von schädlichen Inhalten befreit und in sicheren, isolierten Datentresoren abgelegt. Nur bereinigte und validierte Daten aus diesen Tresoren dürften auf die operativen Technologienetzwerke zugreifen. Diese Systeme stellten sicher, dass jedes Gerät, das in eine sichere Umgebung gelangt, zunächst von potenziellen Bedrohungen befreit werde, was eine zusätzliche Schutzebene biete. Zusätzlich zu diesen technischen Kontrollen seien Richtlinienmaßnahmen, welche die Verwendung von Wechselmedien regelten, ein wesentlicher Bestandteil einer starken Verteidigung.

Unternehmen sollten strenge Kontrollen darüber einführen, „welche USB-Geräte auf Kritische Systeme zugreifen können, und die Arten von Dateien regeln, die auf Wechselmedien übertragen werden dürfen“. Durch die Beschränkung des Zugriffs auf autorisiertes Personal und genehmigte Daten könnten Unternehmen das Risiko minimieren, dass Geräte ihr Netzwerk gefährden. Richtlinien und Verfahren sollten vorschreiben, „dass jedes USB-Laufwerk gescannt und sein Inhalt bereinigt werden muss, bevor die Daten in das Unternehmen gelangen dürfen“. Dies könne in großem Umfang mithilfe einer dedizierten Scan-Kiosk-Anwendung erreicht werden.

Faktor Mensch: Ursache USB-basierter Angriffen oft auf menschliches Versagen zurückzuführen

Die Schulung von Mitarbeitern und Partnern in der Lieferkette sei ebenfalls von entscheidender Bedeutung. Die Ursache von USB-basierten Angriffen lasse sich oft auf menschliches Versagen zurückführen – wie die Verwendung ungesicherter oder nicht autorisierter Geräte – und umfassende Schulungen könnten dazu beitragen, diese Risiken zu minimieren. Benutzer sollten über Verschlüsselung, die Gefahren der Verwendung unbekannter USB-Geräte und bewährte Verfahren zum sicheren Entfernen von Geräten aufgeklärt werden, um Datenbeschädigungen oder Malware zu verhindern. In Sektoren mit hohem Risiko könnten regelmäßige Audits darüber, „wie USB-Laufwerke verwendet werden und wie Sicherheitsprotokolle befolgt werden“, die Abwehrkräfte eines Unternehmens weiter stärken.

USB-Geräte stellten nach wie vor eine erhebliche Sicherheitsbedrohung dar, „insbesondere in Sektoren, in denen sie für die Datenübertragung unerlässlich sind“. Selbst Unternehmen, welche in ihren Arbeitsabläufen nicht routinemäßig Wechselmedien verwenden, sollten sich der von ihnen ausgehenden Bedrohung bewusst sein. „Ein umfassender Ansatz, der Echtzeitüberwachung, Gerätesteuerung und Datenbereinigung mit strengen Zugriffsrichtlinien und Benutzerschulungen kombiniert, deckt alle Grundlagen ab und minimiert das Risiko, Opfer von USB-Bedrohungen zu werden“, führt Fischer abschließend aus.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) / Neues IT-Sicherheitsgesetz für eine moderne Cybersicherheit

Bundesamt für Sicherheit in der Informationstechnik
Was sind Kritische Infrastrukturen? / Definition KRITIS

datensicherheit.de, 11.07.2018
USB-Laufwerke: Palo Alto Networks warnt vor eingeschleustem Trojaner / „Tick“-Gruppe nutzt vermeintliche Secure-USB-Laufwerke für Angriffe auf kritische Systeme ohne Internetverbindung