Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Drei Minuten mit ihrem Laptop
“Bin dann mal kurz weg”-Bildschirmsperrung
Zeitwahrnehmung ist ja bekanntlich subjektiv. In schöner Gesellschaft verfliegen drei Minuten, als wären sie nichts; wenn man aber, frei nach Einstein, auf einem zu heißen Ofen sitzt, zieht sich die Zeit ganz schön in die Länge.
Was könnte ein Angreifer alles in drei Minuten unterbekommen, wenn er oder sie sich vorbereitet hat? Im Zug, der DB-Lounge und in den Räumlichkeiten von Veranstaltungshotels finden sich immer wieder allein gelassene Rechner, weil der Besitzer oder die Besitzerin sich einen Kaffee holt oder mal kurz auf Toilette sind. An Flughäfen findet man das übrigens sehr viel seltener, vermutlich wegen der Hinweise, dass unbeaufsichtigtes Gepäck entfernt oder gesprengt würde.
Häufig machen sich die Menschen nicht einmal die Mühe, den Rechner zu sperren. Was kann schon passieren, wenn man “nur mal einen Moment” weg ist? Genau hier kommt die Relativität ins Spiel; ein menschlicher Angreifer kann in drei Minuten zwar auch Schaden verursachen und Daten abziehen, aber die Zeitspanne ist schon kurz. Was aber, wenn Angriffe vorher geplant, gespeichert und automatisch abgerufen werden können?
Für solche Fälle kann ein Angreifer auf ein Arsenal spezialisierter Hardware zurückgreifen. Diese sieht vielleicht aus wie ein USB-Stick, ist aber eine Tastatur; zumindest für den Rechner. USB-Geräte melden dem Computer, welcher Geräteklasse sie angehören, und die Hardware meldet, sie sei aus der Klasse “Human Interface Devices”, zu der Tastaturen und Mäuse zählen. Was immer der vermeintliche USB-Stick dem Rechner an Tastatureingaben schicken soll, wird von der Angreiferin vorher festgelegt. Zum Beispiel: Warte fünf Sekunden. Wechsle zu Powershell. Installiere eine Backdoor. Melde Dich ab.
Die Malware wird sozusagen “on the fly” nach den Vorgaben der Angreiferin programmiert und nur höchst selten vom Virenschutz erkannt. Nachdem Geräte dieser Art bis zu 3000 Zeichen Anschlag in der Sekunde schaffen, ist der Vorgang üblicherweise in einer Minute abgeschlossen.
Das Ergebnis ist ein kompromittierter Rechner, und der Anwender merkt das in den wenigsten Fällen. Im Zug fällt es auch wesentlich weniger auf, mal eben einen “USB-Stick” an einen Rechner zu stecken und kurz danach wieder abzuziehen. Wenn man selber das tippen anfängt, wird vielleicht doch jemand von den Sitznachbarn misstrauisch.
Diese Art Angriff geht nur bei ungesperrtem Rechner. Kann ein Angreifer auch etwas erreichen, wenn der Rechner gesperrt ist?
Natürlich. Es wird aber ein bisschen komplizierter. Gehen wir weiter davon aus, dass der Angegriffene nichts mitbekommen soll, fallen ein paar sehr wirkungsvolle Angriffe aus. Wenn Reboot und andere Dinge ausgeschlossen werden, und der zeitliche Rahmen von drei Minuten nicht überzogen wird, bleiben dennoch Möglichkeiten übrig.
Auf den meisten Notebooks mit Windows läuft Software, die immer wieder Kontakt ins Internet aufnimmt und mal beim jeweiligen Hersteller nachfragt, ob es Updates gibt, oder neue Mails, oder viele andere nützliche bis unnütze Dinge. Wenn nun ein USB-Gerät gesteckt wird, welches dem Rechner suggeriert, es wäre eine unglaublich schnelle Internet-Verbindung, dann kann folgendes passieren: der Traffic für das Internet wird über das neue, angeblich schnellste Device für diesen Zweck umgeleitet.
Das Device gibt den Verkehr an die bestehende Internetverbindung (im häufigsten Fall das WLAN des Notebooks) weiter, und liest mit. Ob man in drei Minuten Informationen mitlesen kann, die automatisch ausgetauscht werden und soweit lesbar (und unverschlüsselt) sind, dass sie für einen Angreifer nützliche Informationen enthalten, ist recht fallspezifisch.
Über ein paar Tastenkombinationen kann man auch derzeit bei einem gesperrten Windows-Rechner die Zwischenablage auslesen; auch das ist nur nützlich, wenn da vielleicht noch Teile eines internen Dokuments enthalten sind, oder (man darf ja als Angreifer auch träumen) das Passwort für einen Webdienst.
Ein ungesperrter, allein gelassener Rechner kann in den drei Minuten mühelos von einem zielgerichteten und kompetenten Angreifer kompromittiert werden. Ein gesperrter Rechner gibt schon wesentlich weniger preis.
Sie können die Angriffsfläche also stark verringern, wenn Sie Ihre Geräte sperren. Noch besser ist es natürlich, wenn Sie, wie am Flughafen, Handy und Laptop möglichst nicht aus den Augen lassen, sobald Sie in der Öffentlichkeit unterwegs sind.
Ein Kommentar zu "Bin dann mal kurz weg"-Bildschirmsperrung
Schreiben Sie einen Kommentar
Beschäftigt sich seit den späten 80ern mit Themen rund um Cyber-Security. Beruflich erfolgte die Fokussierung auf die Absicherung von Netzwerken sowie Bedrohungen aus dem Internet in 1999, mit Arbeitsplätzen in Schottland und Deutschland. Seit 2010 tätig für die DATEV in Themengebieten rund um Netzwerksicherheit und Internet-Security.
Für DATEV sind Datenschutz und Datensicherheit seit Gründung des Unternehmens zentrale Elemente in der Geschäftspolitik. Daher engagiert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.
Vielleicht ist zu diesem Thema dieser Reg Eintrag (als Administrator auf Windows Rechner) interessant: Reg Add “HKLM\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices” /v “Deny_all” /t “reg_dword” /d “1” der Eintrag /d “0” würde das wieder aufheben.