USB-Sticks in Unternehmen IT Security

USB-Sticks in Unternehmen: Die große Gefahr der kleinen Geräte

USB-Sticks sind klein und praktisch und ermöglichen einen schnellen Datenaustausch und -transport. Doch die kleinen Datenträger bergen eine große Gefahr: Weil sie direkt an Systeme angeschlossen werden, sind sie ein beliebter Angriffsweg für Cyberkriminelle. Wie USB-Angriffe funktionieren und worauf man als Unternehmen achten sollte, erfahren Sie in diesem Artikel.



Gefahrenquelle USB-Sticks: Worin liegt das Problem

USB-Sticks sind in Zeiten von Homeoffice trotz verbreiteter Cloud-Nutzung immer noch ein beliebtes Mittel zum Datentransport und -austausch. Neben den gewünschten Daten können USB-Sticks jedoch auch bösartige Software enthalten, die sich über die direkte Schnittstelle ans System schnell und unbemerkt verbreiten kann. Diese Gefahr ist vielen Nutzer:innen von USB-Sticks allerdings nicht bewusst.

In Sicherheitskreisen ist in diesem Kontext eine Studie der University of Michigan zum Sinnbild geworden. Diese Studie liegt zwar inzwischen sechs Jahre zurück, verdeutlicht aber ein Problem, das immer noch gilt. Für die Studie wurden 297 USB-Sticks auf einem großen Unigelände verteilt und festgestellt, dass fast alle davon (98 Prozent) mitgenommen und knapp die Hälfte (45 Prozent) an ein Computersystem angeschlossen wurden. Der erste Anschluss fand bereits innerhalb von sechs Minuten statt.

Das zeigt, wie viele Menschen unbekannte USB-Sticks einfach öffnen, ohne dem Inhalt gegenüber misstrauisch zu sein oder besondere Vorsichtsmaßnahmen zu ergreifen. Im Rahmen des Experiments hatte das unvorsichtige Öffnen der Sticks keine negativen Folgen. Doch unbekannte USB-Sticks können eine ernsthafte Gefahr für Systeme und Daten eines Unternehmens darstellen.



In zweierlei Hinsicht schädlich

Ebenso wie gewünschte Daten per USB-Stick auf zwei Wegen ausgetauscht werden – vom Gerät auf das System und umgekehrt – können schädliche Funktionen bei manipulierten Geräten in zwei Richtungen wirken. Zum einen können Cyberkriminelle per USB-Stick wichtige Mechanismen der IT-Sicherheit umgehen und über den direkten Anschluss an das System Schadsoftware einschleusen. Ist die Malware einmal installiert, kann sie verschiedenen Zwecken dienen. In vielen Fällen bleibt sie auch zunächst inaktiv und die schädlichen Aktionen erfolgen zu einem späteren Zeitpunkt, was die Rückverfolgung erschwert.

In die andere Richtung können USB-Sticks aber auch zum Ausfallstor für Daten werden. Ein kleiner, unscheinbarer Stick kann innerhalb kürzester Zeit große Mengen an Daten kopieren. So kann jede USB-Schnittstelle an jedem Gerät – Computer, Drucker, Scanner, Multifunktionsgeräte – zur Gefahr für die Datensicherheit werden. Spionage, Manipulation oder Verschlüsselung für Erpressung können Ziele sein, die mit einem Datendiebstahl per USB-Stick erreicht werden.



Die 3 häufigsten Sicherheitsrisiken und wie man sie vermeidet

Egal ob es um das Einschleusen von Schadcode oder um Datendiebstahl geht, für Unternehmen stellen USB-Sticks ein Sicherheitsrisiko dar. Insbesondere folgende drei Szenarien sind typische Wege, wie sich Schadsoftware per USB verbreiten kann.


1) Private Sticks

Wenn Mitarbeitende private Sticks zur Arbeit mitbringen, um zum Beispiel Urlaubsfotos oder andere Daten mit Kolleg:innen zu teilen, besteht die Gefahr, dass der Arbeitsrechner infiziert wird. Deshalb sollte in Unternehmen nur die Nutzung explizit zugelassener Datenträger erlaubt werden. Aber auch wenn Beschäftigte umgekehrt einen Arbeits-Stick mit nach Hause nehmen, um am eigenen Rechner damit zu arbeiten, kann das zu einer Infizierung des Systems führen. Wichtig ist deshalb, die zugelassenen USB-Geräte regelmäßig auf Viren zu überprüfen.


2) Werbegeschenke

Auf Messen ist es gang und gäbe, dass Anbieter USB-Sticks mit Werbematerial und Informationen an Messebesucher:innen verschenken. Bei Interesse werden diese Daten gerne im Nachgang am Computer angeschaut oder aber der kostenlose Datenträger für den eigenen Bedarf genutzt. Auch diese Sticks können eine Gefahr darstellen. Nicht, weil etwa die Anbieter bösartige Absichten hätten, sondern weil Dritte die enthaltene Software als Backdoor verwenden könnten. Deshalb sollten auch Werbegeschenke im Unternehmen immer zunächst auf Schadsoftware geprüft werden.


3) „Verlorene“ Sticks

Ähnlich wie in der beschriebenen Studie der University of Michigan werden in diesem Szenario USB-Sticks von jemand Externem auf dem Firmengelände oder im Büro „verloren“. Der Plan ist, dass ein:e Mitarbeiter:in den Stick findet und an einen Computer anschließt, um herauszufinden, wem er gehört. Gegen diese Taktik hilft zum einen eine Absicherung aller USB-Ports gegen unbefugte Nutzung und zum anderen eine Sensibilisierung der Mitarbeitenden für die Risiken.



Bekanntes Beispiel für einen USB-Angriff: Computerwurm Stuxnet

Einer der aufsehenerregendsten Cybervorfälle der letzten Jahre ist auf USB-Sticks zurückzuführen. Der Computerwurm Stuxnet hatte weitreichende Folgen. Stuxnet bremste das Nuklearprogramm des Irans um Jahre aus, indem die Malware die Rotationsgeschwindigkeit der Uran-Anreicherungszentrifugen zu hoch einstellte und so physisch manipulierte. Verbreitet wurde der Wurm per USB-Stick.

Bereits mehrere Jahre vor Aktivierung konnte sich Stuxnet unbemerkt verbreiten und infizierte hunderttausende Computer weltweit. Weil USB-Sticks genutzt wurden, konnte Stuxnet sich auch auf nicht-vernetzten und damit vermeintlich geschützten Geräten und Maschinen verbreiten. Aufgrund der Komplexität und Raffinesse des Angriffs sorgte Stuxnet weltweit für viel Aufsehen und entfachte vor allem eine Diskussion über die IT-Sicherheit von industriellen Systemen.

Auch wenn der Vorfall inzwischen 10 Jahre zurückliegt, wirkt seine Bedeutung bis heute nach und macht deutlich, wie die Manipulation von kleinen, unscheinbaren Geräten wie USB-Sticks gravierende Folgen haben können. Diese Art von Angriffen hat seitdem nicht aufgehört. Weitere Vorfälle und Phänomene wie „Rubber Ducky“ im Jahr 2010, „BadUSB-Hack“ 2014, „P4wnP1“ 2017 oder der vereitelte USB-Angriff auf Tesla 2020, den ein Mitarbeiter meldete, sind nur einige Beispiele für die zahlreichen Cybervorfälle, die auf USB-Sticks zurückzuführen sind.



So reduzieren Sie das Risiko

Trotz der steigenden Nutzung von Cloud-Lösungen für Datenaustausch und -sicherung sind USB-Sticks nach wie vor sehr beliebt. USB-Angriffe können alle Branchen und Unternehmen betreffen, weshalb die Reduzierung dieses Risikos Teil der Sicherheitsstrategie von Unternehmen sein sollte.

Neben den bereits erwähnten technischen Maßnahmen ist bei der USB-Thematik die Aufklärung und Sensibilisierung der Mitarbeitenden sehr wichtig. Je aufmerksamer Ihre Mitarbeiter:innen für das Thema IT- und Informationssicherheit sind, desto schwerer haben es Cyberkriminelle, in Ihr Unternehmen einzudringen. Das größte Potenzial in der Cybersicherheit liegt in der „Schwachstelle Mensch“.

Um Ihre Mitarbeiter:innen entsprechend zu fördern und gezielt zu sensibilisieren, bieten sich Schulungen an. Im Seminarprogramm der isits AG finden Sie dafür zum Beispiel die Schulung zum „Cybersecurity Awareness Beauftragten“ oder das Seminar zum Thema „Cyber Incident - First Response“. Gerne beraten wir Sie individuell zu der passenden Weiterbildung und bieten Ihnen auch Inhouse-Schulungen an, die auf Ihren Bedarf zugeschnitten sind.




geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security