IT- / OT-Sicherheit

Drei BadUSB-Angriffe die Sie kennen sollten

Seit geraumer Zeit tourt ein schwarzer Truck von IBM im Dienst der Cybersecurity durch Europa. In realitätsgetreuen Angriffsszenarien zeigt man wie eine Cyberattacke abläuft. Diese drei Formen von BadUSB-Angriffe sollten Unternehmen nicht unterschätzen.

IBM Cyber Security

Cyberattacken werden sind nicht mehr bloß das Hobby von jungen IT-Nerds, oft stehen hochprofessionelle Organisationen dahinter. Der Return of Investment (ROI) steht im Mittelpunkt und Attacken werden nicht nur aus Eigeninteresse durchgeführt, auch Auftragsarbeiten, sogenanntes Cypercrime as a Service, sind üblich. Die Methoden entwickeln sich dabei mit der Technologie rasch weiter. „Die Arbeitsweise von Cyberkriminellen wird immer effektiver und wir sind mit ständig neuen Wegen konfrontiert, wie vertrauliche Daten ausspioniert werden. Daher überwachen wir bei IBM rund 70 Milliarden Sicherheitsereignisse pro Tag in mehr als 130 Ländern“, erklärt Stephan Preining, Manager Security Solutions bei IBM in Österreich. Einen Weg in Unternehmen bahnen sich Kriminelle etwa über BadUSB-Angriffe. Die Schwäche des Menschen macht man sich hier zu Nutze: seine Neugierde, Bequemlichkeit oder Gutgläubigkeit. Die Technologie bietet dafür das geeignete Einbruchswerkzeug.

Austria Center, Cyber Security Truck, IBM © Zsolt Marton

Das Cyber Tactical Operations Center (C-TOC) machte mit seinem Security Truck Station in Wien.

Unscheinbar: der falsche USB-Stick

Um an Daten zu gelangen oder Schadsoftware ins IT-System des Opfers zu schleusen, können Mini-PCs, getarnt als USB-Stick, zu Einsatz kommen - auch USB Rubber Ducky genannt. Ein solche USB-Stick gibt sich als Tastatur aus. Eingesteckt in einen Computer können so Befehle eingeben werden. In einem unbeaufsichtigten Moment kann ein solche Stick am Laptop des Opfers angesteckt oder an einer geeigneten Stelle platziert werden. Viele Mitarbeiterinnen und Mitarbeiter sind bereits geschult und wissen: Gefundenen USB in PC stecken; schlechte Idee. Aber man kann die Neugierde wecken und auf den Stick „Gehaltszettel GF“ schreiben.

White Paper zum Thema

Unscheinbares Ladekabel

Hinter einem unscheinbaren USB-Ladekabel kann sich mehr verstecken als geahnt. In einem USB Ninja sind zusätzliche Komponenten verbaut, z.B. Bluetooth. Steckt man ein solches Kabel an einen Laptop kann dieser gekapert werden. Damit kann beispielsweise auf die Laptopkamera zugegriffen und das Opfer ausspioniert werden.

Mutwillige Zerstörung

Ein unscheinbarer USB-Stick der es in sich hat ist der USB-Killer. Eingesteckt im Rechner lädt sich ein solcher Stick mit einer Spannung von ca. 200 Volt auf. In den USA zerstörte ein ehemaliger Student 66 Rechner an seinem früheren College. Der Schaden belief sich auf $ 58.000. Alles was es für einen Angriff braucht, Zugang zur USB-Schnittstelle eines Gerätes, z.B. eines Druckers oder eine Produktionsanlage.

Welchen Schaden ein USB-Killer anrichten kann, sehen Sie hier: Video USB-Killer

CEO ich weiß wo du deine Freizeit verbringst

Es gibt noch eine Vielzahl an Methoden, nicht nur USB-Attacken, wie im C-TOC anschaulich gezeigt wird. Ein kleines Beispiel: Mit einem sogenannten Pinapple können Cyberkriminelle Ihre bevorzugten W-LAN Verbindungen ausspionieren. Bei der WIFI-Attacke, täuscht der Pinaple dem Smartphone vor vertraute W-LAN-Verbindungen zu sein, beispielsweise vom Flughafen, Hotel oder Fitness-Studio. Es wird keine Verbindung aufgebaut, die Kriminellen erhalten lediglich eine Liste mir den W-LAN-Namen. Das klingt im ersten Moment wenig gefährlich, aber mit den richtigen Werkzeugen zur Recherche lassen sich Vorlieben des Opfers herausfinden und somit die nächsten Schritte einer Cyberattacke planen. IBM konnte diese Art der Attacke anschaulich demonstrieren. Bei einem Event mit 300 Personen konnten innerhalb von 8 Minuten Informationen aus 50 Geräten ausgelesen werden.

Fazit

Mit diesen und ähnlichen Einbruchswerkzeugen können sich Kriminelle erschreckend einfach an sensible Daten gelangen oder Unternehmen sabotieren. Dabei handelt es sich bloß um einen kleinen Ausschnitt von Methoden, die dabei genutzt werden. Die Sensibilisierung der Belegschaft ist daher entscheidend, um das eigene Unternehmen bestmöglich zu schützen.