Angesichts der sich ständig weiterentwickelnden Cyberbedrohungen und Angriffe auf Unternehmen, kritische Infrastrukturen und Behörden verschärft Deutschland seine Cybervorschriften. Dazu gehören das IT-Sicherheitsgesetz 2.0 und die erweiterten KRITIS-Sicherheitsvorschriften und -Meldepflichten. Die Compliance-Richtlinien haben erhebliche Auswirkungen auf industrielle Hersteller und Betreiber kritischer Infrastrukturen.
Das BSI – als Cybersicherheitsbehörde des Bundes und Hauptarchitekt der sicheren Digitalisierung – ist für die Durchsetzung der Einhaltung dieser Gesetze und Vorschriften verantwortlich. KRITIS-Betreiber sind verpflichtet, Cyberangriffe zu erkennen, obligatorische Systeme und Prozesse zu deren Erkennung zu implementieren, Vorfälle zu melden und sich beim BSI zu registrieren. Darüber hinaus hat Deutschland seine Klassifizierung der KRITIS-Betreiber um kommunale Entsorgungsunternehmen, die Rüstungsindustrie und „Unternehmen mit besonders hoher wirtschaftlicher Bedeutung“ erweitert.
Holger Fischer, Director EMEA Central bei OPSWAT, erläutert die reale Bedrohung durch Schadsoftware, die von USB-Geräten vor allem auch im kritischen OT-Umfeld eingeschleust werden kann:
In einer Zeit, in der die Risiken von KI-gestützten und fortschrittlichen, per E-Mail übertragenen Sicherheitsbedrohungen die Nachrichten dominieren, könnte man leicht die Gefahren einiger der uralten Angriffsvektoren übersehen, die von Cyberkriminellen weiterhin ausgenutzt werden. Für Branchen, die auf Wechselmedien – wie USB-Laufwerke – angewiesen sind, besteht weiterhin Grund zur Wachsamkeit, da diese Geräte das Potenzial haben, schädliche und äußerst kostspielige Cyberangriffe auszulösen.
Das Wiederaufleben USB-basierter Angriffe
USB-Geräte werden häufig in einer Reihe von KRITIS-Sektoren wie Infrastrukturbetreiber, Versorgungsunternehmen und dem Gesundheitswesen eingesetzt. Diese Sektoren sind auf USB-Laufwerke angewiesen, um Daten in Umgebungen mit eingeschränktem oder keinem Internetzugang zu übertragen, wie zum Beispiel in Air-Gapped-Systemen, die kritische Vermögenswerte und Daten aus Sicherheitsgründen von externen Netzwerken isolieren.
In Umgebungen der Betriebstechnik (OT) sind USB-Laufwerke oft die einzige praktische Möglichkeit, Daten zwischen Systemen zu übertragen, die bewusst offline gehalten werden, was sie zu einem gängigen Werkzeug für Software-Updates oder Datenmigration macht. Diese weit verbreitete Nutzung macht USB-Laufwerke zu einem Hauptziel für Cyberangriffe. Ein prominentes Beispiel ist die Sogu-Malware, die von der Hackergruppe UNC53 eingesetzt wurde und mit der im vergangenen Jahr mehrere Unternehmen infiltriert wurden. Diese Kampagne richtete sich gegen Branchen in Ländern wie Ägypten und Simbabwe, in denen USB-Laufwerke ein wesentlicher Bestandteil des täglichen Geschäftsbetriebs sind.
Die neuesten USB-basierten Angriffstechniken sind immer ausgefeilter und umgehen häufig erweiterte Sicherheitsschichten, indem sie das Vertrauen zwischen dem USB-Gerät und dem Host ausnutzen. Langjährige Techniken wie „Rubber Ducky“-Tastatureingabeangriffe, bei denen Benutzeraktivitäten unbemerkt kopiert und Informationen an das Hostsystem des Angreifers zurückgesendet werden, werden auf neue Weise eingesetzt. Beispielsweise kann die Firmware einiger Human Interface Devices (HIDs) wie Mäuse und Tastaturen so verändert werden, dass die Tastenanschläge zur Installation verdeckter Malware genutzt werden. Dies ist ein beliebtes Mittel für Penetrationstester und Social Engineers, die unachtsame Mitarbeiter oder Partner dazu verleiten wollen, ein kompromittiertes USB-Gerät in die Hand zu nehmen und einzustecken.
Darum stellt die Sicherheit von Wechselmedien eine besondere Herausforderung dar
Die Verwaltung von Wechselmedien stellt insbesondere in OT-lastigen Umgebungen eine Herausforderung dar. USB-basierte Angriffe umgehen die herkömmliche Netzwerksicherheit und ermöglichen es Angreifern, sensible Daten zu exfiltrieren oder sich langfristigen Zugriff auf Systeme zu verschaffen. Diese Angriffe sind besonders gefährlich in isolierten Systemen, in denen die fehlende Netzwerkkonnektivität die Erkennung verzögern und die Verweildauer der Angreifer verlängern kann.
Dies macht sie zu einem perfekten Vektor für Malware-Infektionen, Datenlecks und unbefugten Zugriff. Infizierte USB-Laufwerke können leicht schädliche Software in Systeme einschleusen, die nicht regelmäßig überwacht werden, was zu potenziellen Datenverlusten oder Betriebsunterbrechungen führen kann. Ohne strenge Geräte- und Datenkontrollen können USB-Laufwerke Malware einschleusen oder unbefugten Zugriff auf sensible Systeme ermöglichen.
Eine der größten Herausforderungen für Unternehmen bei der Bewältigung dieser Sicherheitsrisiken besteht darin, dass sie oft nicht genau wissen, welche Personen und welche Geräte sie mit ihren Systemen verbinden oder wie Daten übertragen werden, was die Durchsetzung von Richtlinien erschwert. Nicht nur die Sicherheitsrisiken durch Malware stellen ein Problem dar, auch der Diebstahl oder Verlust unverschlüsselter Daten auf Wechselmedien stellt ein erhebliches Risiko dar, insbesondere in hochsicheren Umgebungen.
Wie man schädliche Daten von USB-Laufwerken aus dem System fernhält
Um diese Risiken zu minimieren, ist ein mehrschichtiger Sicherheitsansatz erforderlich, der sowohl technische als auch richtlinienbasierte Lösungen kombiniert. Die Echtzeitüberwachung von Geräten ist unerlässlich. Jeder an ein System angeschlossene USB-Stick sollte auf Malware und verdächtige Aktivitäten gescannt werden, damit Bedrohungen erkannt werden können, bevor sie das Netzwerk gefährden.
Die Datenbereinigung spielt in diesem Prozess eine Schlüsselrolle. Durch die Bereinigung von Dateien, die über USB übertragen werden, können Unternehmen versteckte Malware oder schädliche Inhalte entfernen und so sicherstellen, dass nur sichere Daten in ihr Netzwerk gelangen.
Für Unternehmen im KRITIS-Sektor könnte eine robustere Lösung aus Air-Gapped-Systemen in Kombination mit einem Cybersicherheits-Kiosk bestehen, der alle ein- und ausgehenden Medien scannt und bereinigt. Alle Dateien werden mithilfe von CDR-Techniken (Content Disarm and Reconstruction) von schädlichen Inhalten befreit und in sicheren, isolierten Datentresoren abgelegt. Nur bereinigte und validierte Daten aus diesen Tresoren dürfen auf die operativen Technologienetzwerke zugreifen. Diese Systeme stellen sicher, dass jedes Gerät, das in eine sichere Umgebung gelangt, zunächst von potenziellen Bedrohungen befreit wird, was eine zusätzliche Schutzebene bietet.
Zugriffsrechte und Richtlinien für Controller sind entscheidend
Zusätzlich zu diesen technischen Kontrollen sind Richtlinienmaßnahmen, die die Verwendung von Wechselmedien regeln, ein wesentlicher Bestandteil einer starken Verteidigung.
Unternehmen sollten strenge Kontrollen darüber einführen, welche USB-Geräte auf kritische Systeme zugreifen können, und die Arten von Dateien regeln, die auf Wechselmedien übertragen werden dürfen. Durch die Beschränkung des Zugriffs auf autorisiertes Personal und genehmigte Daten können Unternehmen das Risiko minimieren, dass Geräte ihr Netzwerk gefährden. Richtlinien und Verfahren sollten vorschreiben, dass jedes USB-Laufwerk gescannt und sein Inhalt bereinigt werden muss, bevor die Daten in das Unternehmen gelangen dürfen. Dies kann in großem Umfang mithilfe einer dedizierten Scan-Kiosk-Anwendung erreicht werden.
Die Schulung von Mitarbeitern und Partnern in der Lieferkette ist ebenfalls von entscheidender Bedeutung. Die Ursache von USB-basierten Angriffen lässt sich oft auf menschliches Versagen zurückführen – wie die Verwendung ungesicherter oder nicht autorisierter Geräte – und umfassende Schulungen können dazu beitragen, diese Risiken zu minimieren. Benutzer sollten über Verschlüsselung, die Gefahren der Verwendung unbekannter USB-Geräte und bewährte Verfahren zum sicheren Entfernen von Geräten aufgeklärt werden, um Datenbeschädigungen oder Malware zu verhindern. In Sektoren mit hohem Risiko können regelmäßige Audits darüber, wie USB-Laufwerke verwendet werden und wie Sicherheitsprotokolle befolgt werden, die Abwehrkräfte eines Unternehmens weiter stärken.
USB-Laufwerke auf der Cybersicherheitsagenda belassen
USB-Geräte stellen nach wie vor eine erhebliche Sicherheitsbedrohung dar, insbesondere in Sektoren, in denen sie für die Datenübertragung unerlässlich sind. Selbst Unternehmen, die in ihren Arbeitsabläufen nicht routinemäßig Wechselmedien verwenden, sollten sich der von ihnen ausgehenden Bedrohung bewusst sein. Ein umfassender Ansatz, der Echtzeitüberwachung, Gerätesteuerung und Datenbereinigung mit strengen Zugriffsrichtlinien und Benutzerschulungen kombiniert, deckt alle Grundlagen ab und minimiert das Risiko, Opfer von USB-Bedrohungen zu werden.