Kaum Risikobewußtsein

Die Hälfte der Leute öffnen gefundene USB-Sticks

13.11.2017 von Marc Wilczek
Smarte Endgeräte und Medienträger sind enorm beliebt, gleichzeitig bringt die unbeschwerte Nutzung noch immer hohe Risiken mit sich.

USB-Sticks und andere smarte Endgeräte erfreuen sich unglaublicher Popularität. Gleichzeitig bringt die laxe Nutzung enorme Risiken mit sich, wie aktuelle Forschungsergebnisse zeigen. Laut Untersuchungen der britischen Sicherheitsfirma ESET gehören alleine rund 23.000 USB-Sticks und fast 1.000 Smartphones zu den sprichwörtlichen Goldtalern, die jährlich in Großbritannien in Textil-Reinigungen zurückgelassen werden. Ganze 45 Prozent davon, finden nicht den Weg zurück zu ihren Besitzern.

Wer gefundene Endgeräte oder Speichermedien ungeprüft mit der eigenen Hardware verbindet geht ein beträchtliches Risiko ein.
Foto: Adam Hoglund - shutterstock.com

Die Zahlen sind für sich genommen hoch, doch sie sind lediglich die Spitze des Eisberges. Das Phänomen als solches ist weltweit verbreitet - über Großbritannien und Reinigungen hinaus. Smarte Endgeräte machen Spaß, sind nützlich, preiswert, handlich und zugleich enorm leistungsfähig hinsichtlich ihrer Speicherkapazität. Die landläufige Vermutung, dass der größte Teil dieser Geräte geschützt sei, erweist sich als Trugschluss. Einige von ihnen landen bestenfalls im Mülleimer, andere zirkulieren auf Auktionsplattformen, produzieren Schlagzeilen in der Presse, sorgen für Peinlichkeiten und verursachen wirtschaftliche Schäden und Reputationsverluste.

Gefahr unverschlüsselter USB-Sticks
USB-Sticks: Nützlich aber manchmal auch ein Datenleck
USB-Sticks: Universelle Medien zur Speicherung und zum Transport von Daten, die aber schnell zur Gefahr werden können, wie eine Studie von Kingston Technology zeigt. (Quelle: Kingston Technology)
USB Sticks in Gefahr
Virus- und Malware-Infektionen machen auch vor einem USB-Stick nicht halt.
Software-gestützte Verschlüssung auf (fast) allen Windows-Systemen.
Bitlocker To Go ist eine elegante Methode, USB-Sticks sicherer zu machen: Sie wird leider nur viel zu selten eingesetzt.
Bitlocker sichert den Zugriff
Kein Rankommen: Wurde der USB-Stick mit Bitlocker verschlüsselt, so muss der Nutzer zunächst das Passwort wissen oder die entsprechende Smartcard einsetzen, um den Inhalt zu entschlüsseln.
Bitlocker-Einsatz über GPO erzwingen
Administratoren können mit Hilfe eines Gruppenrichtlinien-Objekts (GPO) bindend festlegen, dass die Nutzer nur mittels Bitlocker verschlüsselte USB-Sticks verwenden dürfen.
Freeware Rohos Mini Drive
Rohos Mini Drive: Ein Beispiel für eine Freeware, die einen verschlüsselten Container auf einem USB-Stick anlegen kann.
Verschlüsselte Laufwerke einfach anlegen
Die Freeware Rohos Mini Drive ermöglicht es Nutzern mit wenigen Mausklicks Daten auf einem USB-Stick (bis zu 8 GByte in der freien Version) zu verschlüsseln.
Sicher wieder entschlüsseln
Rohos Mini Drive installiert eine ausführbare Datei auf dem USB-Stick, die dann das Entschlüsseln an jedem Windows-Rechner ermöglicht. Zudem bietet sie als Schutz vor Keylogger eine virtuelle Tastatur.
Prosoft SafeToGo 3.0
Ein gutes Beispiel für einen USB-Stick mit Hardware-Verschlüsselung mittels einen integrierten Onboard-CPU. (Quelle: ProSoft GmbH)
Hardware mit Tasten: Kingston Data Traveller 2000
Das Laufwerk wird mit einem Wort oder einer Nummernkombination über die alphanumerische Tastatur gesperrt. Der USB-Stick ist mit einer kompletten 256-Bit AES-Datenverschlüsselung im XTS-Modus ausgestattet. (Quelle Kingston Technology)
Zentrale Verwaltung der Kanguru-Sticks mittels Konsole
Wichtig für den professionellen Einsatz: Die verschlüsselten USB-Sticks können vom Administrator über eine zentrale Konsole verwaltet werden. (Quelle: Optimal Systemberatung GmbH)

Risiken für Besitzer wie Finder

Laut Untersuchungen der Unternehmensberatung Ernst & Young kommen jährlich Millionen von Smartphones und anderen mobilen Endgeräten abhanden oder werden gestohlen. Ganze 22 Prozent aller weltweit hergestellten mobilen Geräte verschwinden und mehr als die Hälfte davon bleibt unauffindbar. Viele dieser Geräte beinhalten sensitive Daten, was reichlich Unbehagen verursacht.

Im digitalen Zeitalter sind Daten von großer Bedeutung. Die Kosten der Geräte werden immer vernachlässigbarer. Gleichzeitig steigen aufgrund der enormen Verbreitung die Risiken, dass die Geräte samt Daten in den falschen Händen landen. Während einige Cyberkriminelle versuchen Datensätze im Darknet anzubieten, kaufen andere diese um in zielgerichteten Kampagnen bei ihren Opfern Kasse zu machen.

Verlorene USB-Sticks und andere smarte Gerätschaften bringen große Risiken mit sich - für Besitzer wie Finder. Jemand der beispielsweise einen manipulierten USB-Stick aufsammelt kann damit nicht nur seinen eigenen PC infizieren, sondern auch in Windeseile Schadcode innerhalb der Unternehmung verbreiten. Moderne Arbeitsformen und Praktiken, wie beispielsweise Bring-Your-Own-Device (BYOD), laden regelrecht dazu ein.

Der USB-Stick und der Parkplatz: Ein Schelm wer Böses ahnt

Forscher der amerikanischen Universität von Illinois entschieden sich zu einem Feldversuch und verteilten 297 USB-Sticks quer über das Campusgelände. Die Erfolgsrate der Studie lag erschreckenderweise zwischen 45 und 98 Prozent. Die ersten USB-Sticks meldeten sich bei den Forschern in weniger als 6 Minuten zurück, nachdem sie u.a. auf dem Parkplatz platziert wurden.

Wäre auf diesen schadhafter Code gewesen, hätte der Cyberangriff in kürzester Zeit zum Erfolg geführt. Während die Finder anfänglich gutgläubig die USB-Sticks mit ihren PCs verbanden, ging beinahe die Hälfte einen Schritt weiter und öffnete verlockende Köder wie beispielsweise Urlaubsfotos, noch bevor man versuchte den Besitzer ausfindig zu machen.

Lediglich 16 Prozent der unfreiwilligen Probanden sahen es erforderlich an den USB-Stick mittels Antivirus-Software zu prüfen. Unglaubliche 69 Prozent der Versuchsteilnehmer unternahmen keinerlei Vorkehrungen vor dem Öffnen der Geräte und deren Inhalte.

In einem anderen Experiment ähnlicher Art im Auftrag der amerikanischen Computing Technology Industry Association (CompTIA) kam man zu vergleichbaren Ergebnissen. Dort wurden in einer Studie rund 200 USB-Sticks an öffentlichen Orten in den Städten Chicago, Cleveland, San Francisco und Washington, DC platziert, um die Risikobereitschaft der Probanden zu testen. Jeder Fünfte konnte nicht widerstehen, sammelte den Köder ein und setzte sich großen Risiken aus, beispielsweise durch das Öffnen unbekannter Dateien, das Klicken auf dubiose Web-Links oder das Versenden von Nachrichten an zuvor hinterlegte E-Mail-Adressen.

Kein Licht am Ende des Tunnels in Sicht

Man ist geneigt zu vermuten, dass sich im digitalen Zeitalter Anwender ihrer Aktivitäten und damit verbundenen Risiken deutlich bewusster sind. Die Statistiken zeigen jedoch, dass das Gegenteil der Fall ist.

So brachten die Ergebnisse der CompTIA-Studie u.a. folgende Erkenntnisse zu Tage:

Fazit

Die Zahlen sind offen gestanden augenreibend und unterstreichen die Notwenigkeit seitens der Anwender wie Unternehmen Cybersicherheit ernsthafter angehen zu müssen.

Unternehmen sollten entlang der Kategorien People, Prozesse und Tools ein weitreichendes Sicherheitskonzept samt Maßnahmenkatalog entwickeln um Cybergefahren einzudämmen. Offensichtlich ist nach wie vor noch viel an Basisarbeit zu tun. Dies umfasst die Sensibilisierung und Ausbildung wie mit Sicherheitsrisiken umzugehen ist und wie diese reduziert werden können. Insbesondere der Mythos, dass Millennials alle samt Digital Natives und damit umsichtiger im Umgang mit Technik sind, ist häufig eine Fehleinschätzung.

Gerade junge Menschen haben andere Lebenseinstellungen und sind mit einem anderen Grundverständnis aufgewachsen. Sie nutzen die Geräte intensiver bzw. vielfältiger, gehen dadurch teilweise höhere Risiken ein und sind es gewohnt Daten zu teilen - mittels sozialer Netze oder anderer Kanäle deren Sicherheit mitunter fraglich ist. Neben regelmäßigen Trainings geben Instruktionen Klarheit, was in welchem Szenario genau zu tun und wer zu kontaktieren ist - z.B. wenn Geräte gefunden werden.

Ebenso wichtig ist es die mobilen Endgeräte umfassend mittels Softwarelösungen zu schützen. Dies umfasst typischerweise den Einsatz von Verschlüsselung, Virenerkennung und -Bekämpfung, Authentisierung, Inventarisierung usw. Über Policies lässt sich dies automatisiert in die Fläche bringen um den unberechtigten Zugriff auf Daten von Dritten und das Einschleppen von Schadcodes abzuwehren. Wenn immer möglich empfiehlt sich die Nutzung einer Zweifaktor-Authentisierung statt ausschließlich auf Passwörter zu setzen.