“Bring your own device”-Einsatz von USB-Sticks

Vom Umgang mit fremden USB-Sticks

Wie gehen Sie in Ihrer Firma mit fremden USB-Sticks um? Also zum Bei­spiel mit den Sticks mit der Prä­sen­tation der Part­ner­firma, die gerade bei Ihnen zu Besuch ist. Oder den pri­vaten Sticks der Mit­ar­beiter, die Teile für eine wichtige beruf­liche Prä­sen­tation daheim erar­beitet haben und diese nun wei­ter­be­ar­beiten wollen. Oder natürlich den Sticks, die eine Mit­ar­bei­terin oder ein Mit­ar­beiter auf dem Park­platz gefunden haben?

Gerade das letzte Sze­nario wird gerne von Sicher­heits­for­schern zitiert. Ein auf dem Fir­men­ge­lände “ver­lo­rener” (in Wirk­lichkeit von einem Angreifer oder einer Angrei­ferin absichtlich plat­zierter) USB-Stick wird gefunden, und im Unter­neh­mens­netzwerk an den Büro-PC ange­steckt. Ein bös­ar­tiges File öffnet eine Hin­tertür für die Person hinter dem Angriff, von der aus diese unbe­merkt weiter in das Netz der Firma vor­dringt. Klingt ein wenig simpel, aber die Angreifer appel­lieren durch ver­schiedene Methoden an ver­schiedene mensch­liche Schwächen.

So könnte an dem Stick zum Bei­spiel ein oder zwei Schlüssel hängen, und eine kleine Plüsch­figur. Die Hilfs­be­reit­schaft vieler Per­sonen wird diese dazu ver­leiten, den Stick zurück­geben zu wollen; viel­leicht ist ja mehr Infor­mation auf dem Stick, um die Eigen­tü­merin oder den Eigen­tümer zu ermitteln?

Oder viel­leicht wird an Gier appel­liert — dann klebt man einen Auf­kleber auf den Stick, auf dem nur “Bitcoin-Wallet” steht.

Neugier ist selbst­ver­ständlich auch eine stark moti­vie­rende Kraft — dann steht auf dem Auf­kleber eben “Gehalts­liste 2018” — Sie sehen, mit ein bisschen Aufwand wird das Sze­nario schon wahr­schein­licher, dass jemand aus gutem oder schlechtem Vorsatz die Richt­linien und Anwei­sungen umgeht.

Elie Burz­stein, Leiter des Anti-Abuse Teams bei Google, und Kol­legen haben diese Methode zusammen mit den Uni­ver­si­täten Illinois und Michigan geprüft. Von 297 USB-Sticks wurden min­destens 48% ange­steckt, mit einer Rekordzeit von 6 Minuten nach Ver­teilung bis zur erfolg­reich geöff­neten Hin­tertür.

Häufig haben Firmen Richt­linien und Anwei­sungen, die die Benutzung unge­prüfter, fremder Sticks strikt aus­schließen. Die Not­wen­digkeit, den Anschluss von USB-Medien zu pro­to­kol­lieren und zu prüfen, wird bereits im BSI-Grun­d­­schutz-Bau­stein “M 4.200 Umgang mit USB-Spei­­cher­­medien” beschrieben; und anhand der daraus ent­nom­menen Text­stelle “Die Preise sind so stark gefallen, dass USB-Sticks auch im Pri­vat­be­reich Dis­ketten über­flüssig machen können.” kann man erahnen, wie alt diese Richt­linie ist.

Nur helfen eben Richt­linien wie gerade beschrieben nicht immer weiter. Und das Sze­nario mit den USB-Sticks auf dem Park­platz ist zwar das mit dem größten Bedro­hungs­po­tential, aber die anderen Sze­narien kommen im Arbeits­alltag sicher sehr viel häu­figer vor. Wenn Security im Weg derer steht, die ihre Arbeit erle­digen wollen, wird sie umgangen; wie jedes Hin­dernis. Eine ent­spre­chende Richt­linie ist schnell ver­gessen, wenn der Vor­stand tagt, der Haupt­redner seine Prä­sen­tation auf einem USB-Stick mit­bringt und ein Mit­ar­beiter gebeten wird, diese vom Stick auf das Netz­laufwerk zu übertragen.

Wenn man es auf orga­ni­sa­to­ri­scher Ebene nicht oder nur schwer regle­men­tieren kann, kann man sowohl in der Usa­bility als auch in der Sicherheit punkten, wenn man den Benut­ze­rinnen und Benutzern eine legitime, schnelle, tech­nisch abge­si­cherte und unkom­pli­zierte Methode zur Über­tragung von Dateien von USB-Sticks zur Ver­fügung stellt. Über einen dedi­zierten, netz­werk­tech­nisch sepa­rierten Viren­prüf­kiosk kann man so etwas bei­spiels­weise bewerk­stel­ligen: man befähigt damit die Mit­ar­bei­te­rinnen und Mit­ar­beiter, keine Orga­ni­sa­ti­ons­an­wei­sungen ver­letzen zu müssen, um ihre Arbeit erle­digen zu können. Ein solcher Kiosk kann zum Bei­spiel am Eingang des Unter­nehmens plat­ziert werden. Nach einer Authen­ti­sierung durch z.B. eine SmartCard und Stecken des Sticks erlaubt man der Person, aus­ge­wählte Dateien an ein Netz­laufwerk zu senden, auf das man eben­falls vom Arbeits­platz Zugriff hat. Auf dem Weg dorthin durch­laufen die Dateien ver­schie­denste Sicher­heits­me­cha­nismen, wie natürlich Anti­virus, Sand­boxing etc. — eine wesentlich bessere Alter­native zu dem einfach zu umge­henden Verbot des Anste­ckens am Arbeitsplatz-PC.

Solche Viren­prüf­ki­os­k­lö­sungen gibt es von kom­mer­zi­ellen Anbietern, aber natürlich kann man diese auch selbst designen; wichtig dabei ist natürlich, wei­terhin alle eta­blierten Stan­dards bei­zu­be­halten und sicher zu stellen, dass schäd­liche Dateien auf dem Weg gefiltert werden.

Spä­testens dann hat man vielen Mit­ar­bei­te­rinnen und Mit­ar­beitern geholfen, indem man sie in die Lage ver­setzt hat, ihren Job erle­digen zu können, ohne Hand­lungs­an­wei­sungen zu ver­letzen. Die Security wird erhöht, das Anstecken gefun­dener USB-Sticks ist kein Thema mehr und die Beleg­schaft freut sich, weil vor­herige kom­pli­zierte Pro­zesse für die Daten­über­tragung von extern nach intern stark ver­ein­facht wurden.

Security wird meiner Meinung nach auf lange Sicht nur dann Erfolg haben, wenn sie den Benut­ze­rinnen und Benutzern ein ein­fa­cheres Arbeiten und simplere Pro­zesse ermög­licht; ein Viren­prüf­kiosk wie hier beschrieben ist einer Bau­steine auf dem Weg dorthin.