BadUSB: So groß ist die Gefahr wirklich

So nutzen Sie den USB weiter "sicher"

23.09.2014
Von Frank-Michael Schlede und Thomas Bär
Frank-Michael Schlede arbeitet seit den achtziger Jahren in der IT und ist seit 1990 als Trainer und Fachjournalist tätig. Nach unterschiedlichen Tätigkeiten als Redakteur und Chefredakteur in verschiedenen Verlagen arbeitet er seit Ende 2009 als freier IT-Journalist für verschiedene Online- und Print-Publikationen. Er lebt und arbeitet in Pfaffenhofen an der Ilm.
Thomas Bär, der seit Ende der neunziger Jahre in der IT tätig ist, bringt weit reichende Erfahrungen bei der Einführung und Umsetzung von IT-Prozessen im Gesundheitswesen mit. Dieses in der Praxis gewonnene Wissen hat er seit Anfang 2000 in zahlreichen Publikationen als Fachjournalist in einer großen Zahl von Artikeln umgesetzt. Er lebt und arbeitet in Günzburg.
Meldungen zu Sicherheitslücken schrecken die Anwender regelmäßig auf. Doch das BadUSB-Problem, das deutsche Forscher auf der diesjährigen Black Hat Konferenz vorstellten, könnte sich als besonders folgenreich erweisen: Hintergründe, Fragen und Antworten der Sicherheitsspezialisten.

Alljährlich ist die amerikanische Spielerstadt für eine Woche das Mekka für Security-Experten und Hacker, wenn die Sicherheitskonferenz Black Hat ihre Tore öffnet. Wie schon in den Jahren zuvor, hatte auch dieses Treffen der Sicherheitsfachleute und sogenannten Hacker wieder Vorträge zu interessanten und teilweise auch beängstigenden Themen zu bieten: Das Spektrum reichte dabei von Angriffen auf VDI-Lösungen über Android-Schwachstellen bis hin zu Angriffen auf die Sicherheit von normalen Haushaltsgeräten.

Das Problem: Jeder USB-Stick besitzt einen eigenen Controller und Firmware in einem Bereich, der für den normalen Nutzer und das Betriebssystem so nicht sichtbar ist - Manipulationen auch nicht.
Das Problem: Jeder USB-Stick besitzt einen eigenen Controller und Firmware in einem Bereich, der für den normalen Nutzer und das Betriebssystem so nicht sichtbar ist - Manipulationen auch nicht.
Foto: Security Research Labs

Besonders viel Aufsehen erregte der Vortrag von drei deutschen Sicherheitsspezialisten: Karsten Nohl, Sascha Krißler und Jakob Lell - Fachleute des Berliner Unternehmens Security Research Labs - stellten in ihrem Vortrag "BadUSB - On accessories that turn evil" eine Möglichkeit vor, die Firmware von USB-Geräten erfolgreich zu manipulieren. Sie verdeutlichten, dass aktuell noch kaum bis überhaupt keine Abwehrmaßnahmen gegen einen Angriff existieren, der auf diese Art durchgeführt wird.

Wir haben uns die Unterlagen der Berliner Forscher angeschaut, stellen die Hintergründe dazu vor und haben bekannte Sicherheitsfirmen, die sich unter anderem auch auf die Absicherung solcher USB-Endgeräte verstehen, nach ihrer Einschätzung der Gefährdungslage gefragt. Zudem wollten wir von diesen Firmen beziehungsweise ihren Spezialisten wissen, ob und wie ihre Software helfen kann, einen derartigen Angriff zu verhindern. Wer den Vortrag der Forscher in Las Vegas selbst sehen möchte, findet eine Aufzeichnung ihrer Präsentation auf Youtube.

BadUSB - was ist eigentlich das Problem?

USB-Geräte aller Art haben in den letzten Jahren eine enorme Verbreitung erlangt: Von Mobil-Telefonen über Kameras bis hin zu Massenspeichern aller Art - die Geräte finden über einen USB-Anschluss Kontakt zu den Computern und damit auch zu den Netzwerken. Ferner haben USB-Sticks in allen Größen fast alle früher gängigen MedienMedien zum lokalen Datentausch ersetzt - so dass andere Medien wie Disketten mittlerweile obsolet geworden sind. Top-Firmen der Branche Medien

Das grundsätzlich eine Gefahr von USB-Sticks beziehungsweise Geräten ausgehen kann, die via USB-Anschluss auch mit der Unternehmens-IT in Verbindung treten, ist für Administratoren und IT-Verantwortliche keine neue Information. Das Problem des "auf dem Parkplatz gefundenen USB-Sticks", der dann von einem unbedarften Mitarbeiter einfach an seinem PC angesteckt wird und so Schadsoftware verbreitet, ist bekannt und wird von vielen Lösungen rund um das Thema Endpoint-Security behandelt.