USB-Sticks sind klein und praktisch und ermöglichen einen schnellen Datenaustausch und -transport. Doch die kleinen Datenträger bergen eine große Gefahr: Weil sie direkt an Systeme angeschlossen werden, sind sie ein beliebter Angriffsweg für Cyberkriminelle. Wie USB-Angriffe funktionieren und worauf man als Unternehmen achten sollte, erfahren Sie in diesem Artikel. (English version below)
Gefahrenquelle USB-Sticks: Worin liegt das Problem
USB-Sticks sind in Zeiten von Homeoffice trotz verbreiteter Cloud-Nutzung immer noch ein beliebtes Mittel zum Datentransport und -austausch. Neben den gewünschten Daten können USB-Sticks jedoch auch bösartige Software enthalten, die sich über die direkte Schnittstelle ans System schnell und unbemerkt verbreiten kann. Diese Gefahr ist vielen Nutzer:innen von USB-Sticks allerdings nicht bewusst.
In Sicherheitskreisen ist in diesem Kontext eine Studie der University of Michigan zum Sinnbild geworden. Diese Studie liegt zwar inzwischen sechs Jahre zurück, verdeutlicht aber ein Problem, das immer noch gilt. Für die Studie wurden 297 USB-Sticks auf einem großen Unigelände verteilt und festgestellt, dass fast alle davon (98 Prozent) mitgenommen und knapp die Hälfte (45 Prozent) an ein Computersystem angeschlossen wurden. Der erste Anschluss fand bereits innerhalb von sechs Minuten statt.
Das zeigt, wie viele Menschen unbekannte USB-Sticks einfach öffnen, ohne dem Inhalt gegenüber misstrauisch zu sein oder besondere Vorsichtsmaßnahmen zu ergreifen. Im Rahmen des Experiments hatte das unvorsichtige Öffnen der Sticks keine negativen Folgen. Doch unbekannte USB-Sticks können eine ernsthafte Gefahr für Systeme und Daten eines Unternehmens darstellen.
In zweierlei Hinsicht schädlich
Ebenso wie gewünschte Daten per USB-Stick auf zwei Wegen ausgetauscht werden – vom Gerät auf das System und umgekehrt – können schädliche Funktionen bei manipulierten Geräten in zwei Richtungen wirken. Zum einen können Cyberkriminelle per USB-Stick wichtige Mechanismen der IT-Sicherheit umgehen und über den direkten Anschluss an das System Schadsoftware einschleusen. Ist die Malware einmal installiert, kann sie verschiedenen Zwecken dienen. In vielen Fällen bleibt sie auch zunächst inaktiv und die schädlichen Aktionen erfolgen zu einem späteren Zeitpunkt, was die Rückverfolgung erschwert.
In die andere Richtung können USB-Sticks aber auch zum Ausfallstor für Daten werden. Ein kleiner, unscheinbarer Stick kann innerhalb kürzester Zeit große Mengen an Daten kopieren. So kann jede USB-Schnittstelle an jedem Gerät – Computer, Drucker, Scanner, Multifunktionsgeräte – zur Gefahr für die Datensicherheit werden. Spionage, Manipulation oder Verschlüsselung für Erpressung können Ziele sein, die mit einem Datendiebstahl per USB-Stick erreicht werden.
Die 3 häufigsten Sicherheitsrisiken und wie man sie vermeidet
Egal ob es um das Einschleusen von Schadcode oder um Datendiebstahl geht, für Unternehmen stellen USB-Sticks ein Sicherheitsrisiko dar. Insbesondere folgende drei Szenarien sind typische Wege, wie sich Schadsoftware per USB verbreiten kann.
1) Private Sticks
Wenn Mitarbeitende private Sticks zur Arbeit mitbringen, um zum Beispiel Urlaubsfotos oder andere Daten mit Kolleg:innen zu teilen, besteht die Gefahr, dass der Arbeitsrechner infiziert wird. Deshalb sollte in Unternehmen nur die Nutzung explizit zugelassener Datenträger erlaubt werden. Aber auch wenn Beschäftigte umgekehrt einen Arbeits-Stick mit nach Hause nehmen, um am eigenen Rechner damit zu arbeiten, kann das zu einer Infizierung des Systems führen. Wichtig ist deshalb, die zugelassenen USB-Geräte regelmäßig auf Viren zu überprüfen.
2) Werbegeschenke
Auf Messen ist es gang und gäbe, dass Anbieter USB-Sticks mit Werbematerial und Informationen an Messebesucher:innen verschenken. Bei Interesse werden diese Daten gerne im Nachgang am Computer angeschaut oder aber der kostenlose Datenträger für den eigenen Bedarf genutzt. Auch diese Sticks können eine Gefahr darstellen. Nicht, weil etwa die Anbieter bösartige Absichten hätten, sondern weil Dritte die enthaltene Software als Backdoor verwenden könnten. Deshalb sollten auch Werbegeschenke im Unternehmen immer zunächst auf Schadsoftware geprüft werden.
3) „Verlorene“ Sticks
Ähnlich wie in der beschriebenen Studie der University of Michigan werden in diesem Szenario USB-Sticks von jemand Externem auf dem Firmengelände oder im Büro „verloren“. Der Plan ist, dass ein:e Mitarbeiter:in den Stick findet und an einen Computer anschließt, um herauszufinden, wem er gehört. Gegen diese Taktik hilft zum einen eine Absicherung aller USB-Ports gegen unbefugte Nutzung und zum anderen eine Sensibilisierung der Mitarbeitenden für die Risiken.
Bekanntes Beispiel für einen USB-Angriff: Computerwurm Stuxnet
Einer der aufsehenerregendsten Cybervorfälle der letzten Jahre ist auf USB-Sticks zurückzuführen. Der Computerwurm Stuxnet hatte weitreichende Folgen. Stuxnet bremste das Nuklearprogramm des Irans um Jahre aus, indem die Malware die Rotationsgeschwindigkeit der Uran-Anreicherungszentrifugen zu hoch einstellte und so physisch manipulierte. Verbreitet wurde der Wurm per USB-Stick.
Bereits mehrere Jahre vor Aktivierung konnte sich Stuxnet unbemerkt verbreiten und infizierte hunderttausende Computer weltweit. Weil USB-Sticks genutzt wurden, konnte Stuxnet sich auch auf nicht-vernetzten und damit vermeintlich geschützten Geräten und Maschinen verbreiten. Aufgrund der Komplexität und Raffinesse des Angriffs sorgte Stuxnet weltweit für viel Aufsehen und entfachte vor allem eine Diskussion über die IT-Sicherheit von industriellen Systemen.
Auch wenn der Vorfall inzwischen 10 Jahre zurückliegt, wirkt seine Bedeutung bis heute nach und macht deutlich, wie die Manipulation von kleinen, unscheinbaren Geräten wie USB-Sticks gravierende Folgen haben können. Diese Art von Angriffen hat seitdem nicht aufgehört. Weitere Vorfälle und Phänomene wie „Rubber Ducky“ im Jahr 2010, „BadUSB-Hack“ 2014, „P4wnP1“ 2017 oder der vereitelte USB-Angriff auf Tesla 2020, den ein Mitarbeiter meldete, sind nur einige Beispiele für die zahlreichen Cybervorfälle, die auf USB-Sticks zurückzuführen sind.
So reduzieren Sie das Risiko
Trotz der steigenden Nutzung von Cloud-Lösungen für Datenaustausch und -sicherung sind USB-Sticks nach wie vor sehr beliebt. USB-Angriffe können alle Branchen und Unternehmen betreffen, weshalb die Reduzierung dieses Risikos Teil der Sicherheitsstrategie von Unternehmen sein sollte.
Neben den bereits erwähnten technischen Maßnahmen ist bei der USB-Thematik die Aufklärung und Sensibilisierung der Mitarbeitenden sehr wichtig. Je aufmerksamer Ihre Mitarbeiter:innen für das Thema IT- und Informationssicherheit sind, desto schwerer haben es Cyberkriminelle, in Ihr Unternehmen einzudringen. Das größte Potenzial in der Cybersicherheit liegt in der „Schwachstelle Mensch“.
Um Ihre Mitarbeiter:innen entsprechend zu fördern und gezielt zu sensibilisieren, bieten sich Schulungen an. Im Seminarprogramm der isits AG finden Sie dafür zum Beispiel die Schulung zum „Cybersecurity Awareness Beauftragten“ oder das Seminar zum Thema „Cyber Incident – First Response“. Gerne beraten wir Sie individuell zu der passenden Weiterbildung und bieten Ihnen auch Inhouse-Schulungen an, die auf Ihren Bedarf zugeschnitten sind.
geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security
USB Sticks in Companies: The Big Danger of Small Devices
USB sticks are small and convenient, enabling quick data exchange and transport. However, these tiny storage devices pose a significant risk: because they can be directly connected to systems, they are a popular attack vector for cybercriminals. In this article, you’ll learn how USB attacks work and what companies should watch out for.
USB Sticks as a Source of Risk: Understanding the Problem
Despite the widespread use of cloud services, USB sticks remain a popular tool for data transfer and exchange, especially in times of remote work. However, alongside the intended data, USB sticks can also carry malicious software that spreads quickly and unnoticed through direct system connections. Many USB stick users are unaware of this danger.
A study from the University of Michigan has become emblematic of this issue within security circles. Although this study was conducted six years ago, it highlights a problem that remains relevant. In the study, 297 USB sticks were distributed across a large university campus, and it was found that nearly all of them (98 percent) were taken, with nearly half (45 percent) being connected to a computer. The first connection occurred within just six minutes.
This demonstrates how readily people connect unknown USB sticks without being suspicious of their contents or taking any precautionary measures. In the experiment, opening these USB sticks had no negative consequences. However, unknown USB sticks can pose a serious threat to a company’s systems and data.
Harmful in Two Ways
Just as desired data can be exchanged via USB sticks in two directions—from device to system and vice versa—malicious functions in manipulated devices can also operate in both directions. On one hand, cybercriminals can use USB sticks to bypass critical IT security mechanisms and inject malware directly into a system. Once the malware is installed, it can serve various purposes. In many cases, it remains inactive at first, with harmful actions occurring later, making it difficult to trace the source.
In the other direction, USB sticks can also serve as an easy outlet for data exfiltration. A small, inconspicuous stick can copy large amounts of data in a short time. This means any USB port on any device—computer, printer, scanner, multifunction devices—can become a security risk. Espionage, manipulation, or encryption for ransom are just some of the goals that data theft via USB sticks can achieve.
The 3 Most Common Security Risks and How to Avoid Them
Whether it’s about injecting malicious code or data theft, USB sticks present a security risk for companies. The following three scenarios are typical ways in which malware can spread via USB.
1) Personal USB Sticks
When employees bring personal USB sticks to work—perhaps to share vacation photos or other data with colleagues—there is a risk of infecting work computers. For this reason, companies should only allow the use of explicitly approved storage devices. Additionally, if employees take a work USB stick home and connect it to a personal computer, it can also lead to system infection. Regular virus checks on approved USB devices are essential.
2) Promotional USB Sticks
It’s common for vendors at trade shows to give away USB sticks loaded with promotional material and information. Interested recipients may later view these files on their computers or repurpose the free USB stick for personal use. These USB sticks can also pose a risk—not because the vendors have malicious intent, but because third parties could exploit the software on the USB stick as a backdoor. Therefore, promotional USB sticks should always be scanned for malware before use in the company.
3) “Lost” USB Sticks
Similar to the University of Michigan study, this scenario involves someone intentionally „losing“ USB sticks on company premises or in the office. The idea is that an employee will find the stick and connect it to a computer to identify its owner. Defending against this tactic requires securing all USB ports against unauthorized use and raising employees‘ awareness of the risks.
Notable Example of a USB Attack: Stuxnet Worm
One of the most high-profile cyber incidents in recent years involved USB sticks. The Stuxnet computer worm had far-reaching consequences. It set back Iran’s nuclear program by years by physically manipulating the rotation speed of uranium enrichment centrifuges. The worm was spread via USB sticks.
Years before its activation, Stuxnet spread unnoticed, infecting hundreds of thousands of computers worldwide. Because it relied on USB sticks, Stuxnet could even infect isolated, non-networked devices and machines that were believed to be secure. The complexity and sophistication of this attack drew worldwide attention and sparked discussions about the cybersecurity of industrial systems.
Although this incident occurred over ten years ago, its significance persists and demonstrates how the manipulation of small, inconspicuous devices like USB sticks can have serious consequences. This type of attack has not ceased. Other incidents like „Rubber Ducky“ in 2010, the „BadUSB Hack“ in 2014, „P4wnP1“ in 2017, or the foiled USB attack on Tesla in 2020, which was reported by an employee, are just a few examples of numerous cyber incidents linked to USB sticks.
How to Reduce the Risk
Despite the increasing use of cloud solutions for data exchange and storage, USB sticks remain very popular. USB attacks can affect any industry and company, which is why reducing this risk should be part of a company’s security strategy.
In addition to the technical measures mentioned, educating and raising awareness among employees is crucial when it comes to USB security. The more vigilant employees are regarding IT and information security, the harder it is for cybercriminals to breach your company. The greatest potential in cybersecurity lies in the „human factor.“
To enhance employee awareness, training sessions are highly recommended. For instance, the seminar program from isits AG offers courses such as „Cybersecurity Awareness Representative“ or „Cyber Incident – First Response.“ We are happy to provide personalized advice on suitable training options and offer customized in-house training tailored to your needs.
translated by Ann Xu (isits AG International School of IT Security)