DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Drei Minuten mit ihrem Laptop

Bin dann mal kurz weg”-Bildschirmsperrung

Zeit­wahr­nehmung ist ja bekanntlich sub­jektiv. In schöner Gesell­schaft ver­fliegen drei Minuten, als wären sie nichts; wenn man aber, frei nach Ein­stein, auf einem zu heißen Ofen sitzt, zieht sich die Zeit ganz schön in die Länge.

Was könnte ein Angreifer alles in drei Minuten unter­be­kommen, wenn er oder sie sich vor­be­reitet hat? Im Zug, der DB-Lounge und in den Räum­lich­keiten von Ver­an­stal­tungs­hotels finden sich immer wieder allein gelassene Rechner, weil der Besitzer oder die Besit­zerin sich einen Kaffee holt oder mal kurz auf Toi­lette sind. An Flug­häfen findet man das übrigens sehr viel sel­tener, ver­mutlich wegen der Hin­weise, dass unbe­auf­sich­tigtes Gepäck ent­fernt oder gesprengt würde.

Häufig machen sich die Men­schen nicht einmal die Mühe, den Rechner zu sperren. Was kann schon pas­sieren, wenn man “nur mal einen Moment” weg ist? Genau hier kommt die Rela­ti­vität ins Spiel; ein mensch­licher Angreifer kann in drei Minuten zwar auch Schaden ver­ur­sachen und Daten abziehen, aber die Zeit­spanne ist schon kurz. Was aber, wenn Angriffe vorher geplant, gespei­chert und auto­ma­tisch abge­rufen werden können?

Für solche Fälle kann ein Angreifer auf ein Arsenal spe­zia­li­sierter Hardware zurück­greifen. Diese sieht viel­leicht aus wie ein USB-Stick, ist aber eine Tas­tatur; zumindest für den Rechner. USB-Geräte melden dem Com­puter, welcher Gerä­te­klasse sie ange­hören, und die Hardware meldet, sie sei aus der Klasse “Human Interface Devices”, zu der Tas­ta­turen und Mäuse zählen. Was immer der ver­meint­liche USB-Stick dem Rechner an Tas­ta­tur­ein­gaben schicken soll, wird von der Angrei­ferin vorher fest­gelegt. Zum Bei­spiel: Warte fünf Sekunden. Wechsle zu Powershell. Instal­liere eine Backdoor. Melde Dich ab.

Die Malware wird sozu­sagen “on the fly” nach den Vor­gaben der Angrei­ferin pro­gram­miert und nur höchst selten vom Viren­schutz erkannt. Nachdem Geräte dieser Art bis zu 3000 Zeichen Anschlag in der Sekunde schaffen, ist der Vorgang übli­cher­weise in einer Minute abge­schlossen.

Das Ergebnis ist ein kom­pro­mit­tierter Rechner, und der Anwender merkt das in den wenigsten Fällen. Im Zug fällt es auch wesentlich weniger auf, mal eben einen “USB-Stick” an einen Rechner zu stecken und kurz danach wieder abzu­ziehen. Wenn man selber das tippen anfängt, wird viel­leicht doch jemand von den Sitz­nachbarn miss­trauisch.

Diese Art Angriff geht nur bei unge­sperrtem Rechner. Kann ein Angreifer auch etwas erreichen, wenn der Rechner gesperrt ist?

Natürlich. Es wird aber ein bisschen kom­pli­zierter. Gehen wir weiter davon aus, dass der Ange­griffene nichts mit­be­kommen soll, fallen ein paar sehr wir­kungs­volle Angriffe aus. Wenn Reboot und andere Dinge aus­ge­schlossen werden, und der zeit­liche Rahmen von drei Minuten nicht über­zogen wird, bleiben dennoch Mög­lich­keiten übrig.

Auf den meisten Note­books mit Windows läuft Software, die immer wieder Kontakt ins Internet auf­nimmt und mal beim jewei­ligen Her­steller nach­fragt, ob es Updates gibt, oder neue Mails, oder viele andere nütz­liche bis unnütze Dinge. Wenn nun ein USB-Gerät gesteckt wird, welches dem Rechner sug­ge­riert, es wäre eine unglaublich schnelle Internet-Ver­­­bindung, dann kann fol­gendes pas­sieren: der Traffic für das Internet wird über das neue, angeblich schnellste Device für diesen Zweck umge­leitet.

Das Device gibt den Verkehr an die bestehende Inter­net­ver­bindung (im häu­figsten Fall das WLAN des Note­books) weiter, und liest mit. Ob man in drei Minuten Infor­ma­tionen mit­lesen kann, die auto­ma­tisch aus­ge­tauscht werden und soweit lesbar (und unver­schlüsselt) sind, dass sie für einen Angreifer nütz­liche Infor­ma­tionen ent­halten, ist recht fall­spe­zi­fisch.

Über ein paar Tas­ten­kom­bi­na­tionen kann man auch derzeit bei einem gesperrten Windows-Rechner die Zwi­schen­ablage aus­lesen; auch das ist nur nützlich, wenn da viel­leicht noch Teile eines internen Doku­ments ent­halten sind, oder (man darf ja als Angreifer auch träumen) das Passwort für einen Web­dienst.

Ein unge­sperrter, allein gelas­sener Rechner kann in den drei Minuten mühelos von einem ziel­ge­rich­teten und kom­pe­tenten Angreifer kom­pro­mit­tiert werden. Ein gesperrter Rechner gibt schon wesentlich weniger preis.

Sie können die Angriffs­fläche also stark ver­ringern, wenn Sie Ihre Geräte sperren. Noch besser ist es natürlich, wenn Sie, wie am Flug­hafen, Handy und Laptop mög­lichst nicht aus den Augen lassen, sobald Sie in der Öffent­lichkeit unterwegs sind.

 

Ein Kommentar zu "Bin dann mal kurz weg"-Bildschirmsperrung

  • Manfred Holzer sagt:

    Viel­leicht ist zu diesem Thema dieser Reg Eintrag (als Admi­nis­trator auf Windows Rechner) inter­essant: Reg Add “HKLM\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices” /v “Deny_all” /t “reg_dword” /d “1” der Eintrag /d “0” würde das wieder auf­heben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Stefan Hager, DATEV eG

Beschäftigt sich seit den späten 80ern mit Themen rund um Cyber-Security. Beruflich erfolgte die Fokus­sierung auf die Absi­cherung von Netz­werken sowie Bedro­hungen aus dem Internet in 1999, mit Arbeits­plätzen in Schottland und Deutschland. Seit 2010 tätig für die DATEV in The­men­ge­bieten rund um Netz­werk­si­cherheit und Internet-Security.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.

Neueste Kom­mentare