BadUSB: So groß ist die Gefahr wirklich

So nutzen Sie den USB weiter "sicher"

Frank-Michael Schlede arbeitet seit den achtziger Jahren in der IT und ist seit 1990 als Trainer und Fachjournalist tätig. Nach unterschiedlichen Tätigkeiten als Redakteur und Chefredakteur in verschiedenen Verlagen arbeitet er seit Ende 2009 als freier IT-Journalist für verschiedene Online- und Print-Publikationen. Er lebt und arbeitet in Pfaffenhofen an der Ilm.
Thomas Bär, der seit Ende der neunziger Jahre in der IT tätig ist, bringt weit reichende Erfahrungen bei der Einführung und Umsetzung von IT-Prozessen im Gesundheitswesen mit. Dieses in der Praxis gewonnene Wissen hat er seit Anfang 2000 in zahlreichen Publikationen als Fachjournalist in einer großen Zahl von Artikeln umgesetzt. Er lebt und arbeitet in Günzburg.

Gibt es Schutz vor dieser Bedrohung?

Grundsätzliche Möglichkeiten zur Kontrolle von Endgeräten mit Wechselmedien bieten bereits die Windows-Bordmittel: So können Administratoren mittels Gruppenrichtlinien auch Whitelists für USB-Geräte anlegen.
Grundsätzliche Möglichkeiten zur Kontrolle von Endgeräten mit Wechselmedien bieten bereits die Windows-Bordmittel: So können Administratoren mittels Gruppenrichtlinien auch Whitelists für USB-Geräte anlegen.
Foto: Schlede/Bär

In dem von Karsten Nohl gezeigten Szenario simulierte ein modifizierter USB-Stick eine USB-Tastatur und sendet Tastaturbefehle an den Rechner, die im Resultat den Download einer bestimmten MalwareMalware bewirken. Wir wollten von den Experten der Sicherheitsfirmen wissen, ob und wie ihre Sicherheitslösungen einen derartigen Angriff erkennen und verhindern könnten. Stefan Ortloff, Virus Analyst bei Kaspersky Lab führte dazu aus, dass beispielsweise die Unternehmenslösung "Kaspersky Security for Business" eine solche Bedrohung erkennen könne, wenn die dann aktive Malware ein bestimmtes Verhalten aufweist oder bereits eine Signatur in der Datenbank des Anbieter besitzt. Alles zu Malware auf CIO.de

Ein Download beziehungsweise die Installation und Weiterverteilung der Malware wäre so verhindert. Damit schützt eine derartige Lösungen aber nur vor den Gefahren, die von der Software ausgehen, die sich auf dem USB-Gerät befinden. Die Sicherheitsexperten von Eset haben in diesen Zusammenhang darauf hingewiesen, dass ein Workaround darin bestehen kann, Firmware-Updates in der Hardware grundsätzlich zu unterbinden, da diese benötigt werden, um schädliche Aktionen auf den Hostsystemen auszuführen. Allerdings schränken sie auch sogleich ein, dass dieses Vorgehen vom Administrator verlangt, dass er regelmäßig überprüft, ob neue Angriffspunkte in der vorhandenen Firmware entdeckt wurden und diese dann manuell auf den aktuellen Stand bringt.

Was können Anwender und Firmen tun?

Ein wichtiger Faktor: USB-Geräte können sich mit unterschiedlichen Identitäten gegenüber den Host-Geräten ausweisen. So kann sich ein Gerät ab- und mit einer anderen Identität über die verschiedenen Schritte wieder anmelden.
Ein wichtiger Faktor: USB-Geräte können sich mit unterschiedlichen Identitäten gegenüber den Host-Geräten ausweisen. So kann sich ein Gerät ab- und mit einer anderen Identität über die verschiedenen Schritte wieder anmelden.
Foto: Security Research Labs

Die meisten Lösungen für die Endpoint Security sowohl die Lösung von Kaspersky als auch Lösungen der Firmen Trend Micro, CenterTools, Eset und Lumension beinhalten eine Form der "Device Control", die den Zugriff auf unbekannte externe Datenträger blocken kann. Alle von uns näher betrachteten Softwarelösungen arbeiten mit einem "Whitelisting", so dass auch weiterhin die benötigten USB-Geräte wie Tastatur und Mäuse an den Desktops der Nutzer eingesetzt werden können: Dabei können in der Regel dann nur noch Geräte mit einer bestimmten ID eingesetzt werden. Eine Restriktion, die unter Windows prinzipiell auch mittels Bordmitteln mit Hilfe der Gruppenrichtlinien durchzusetzen ist.

Allerdings besteht hier das grundsätzlich Problem, dass USB insgesamt 21 Geräteklassen (einschließlich einer Basisklasse) kennt, so dass zur Identifikation eines externen Geräts, ganz unterschiedliche Identifizierungsmerkmale herangezogen werden können. Dabei kann es sich dann zum Beispiel um einen der folgenden Identifier handeln:

  • der Class ID,

  • der Hersteller- oder Produkt ID sowie

  • der Seriennummer.

Nach Meinung von Stefan Ortloff von Kaspersky ist das Spoofing einer solche ID auch möglich, jedoch sei beim Whitelisting einer konkreten ID ein entsprechender Treffer durch ein solches Spoofing sehr unwahrscheinlich. Allerdings ist - und darüber sind sich die Experten auch einig - es nicht möglich, festzustellen, ob eine USB-ID nun gefälscht oder wirklich "echt" ist.

Zur Startseite