Opswat erläutert Schutz vor vermeintlich simpler Angriffsmethode
USB-basierte Angriffe bedrohen kritische IT- und OT-Infrastrukturen
Freitag, 29. November 2024
| Redaktion
Teilen auf:
Holger Fischer, Director EMEA Central bei Opswat
Holger Fischer, Director EMEA Central bei Opswat, Bild: Opswat

Angesichts der sich ständig weiterentwickelnden Cyber-Bedrohungen und Angriffe auf Unternehmen, kritische Infrastrukturen und Behörden verschärft Deutschland seine Cyber-Vorschriften. Dazu gehören das IT-Sicherheitsgesetz 2.0 und die erweiterten Kritis-Sicherheitsvorschriften und -Meldepflichten. Die Compliance-Richtlinien haben erhebliche Auswirkungen auf industrielle Hersteller und Betreiber kritischer Infrastrukturen.

Das BSI als Cyber-Sicherheitsbehörde des Bundes und Hauptarchitekt der sicheren Digitalisierung ist für die Durchsetzung der Einhaltung dieser Gesetze und Vorschriften verantwortlich. Kritis-Betreiber sind verpflichtet, Cyber-Angriffe zu erkennen, obligatorische Systeme und Prozesse zu deren Erkennung zu implementieren, Vorfälle zu melden und sich beim BSI zu registrieren. Darüber hinaus hat Deutschland seine Klassifizierung der Kritis-Betreiber um kommunale Entsorgungsunternehmen, die Rüstungsindustrie und „Unternehmen mit besonders hoher wirtschaftlicher Bedeutung“ erweitert.

Holger Fischer, Director EMEA Central bei Opswat, erläutert die reale Bedrohung durch Schadsoftware, die von USB-Geräten vor allem auch im kritischen OT-Umfeld eingeschleust werden kann. In einer Zeit, in der die Risiken von KI-gestützten und fortschrittlichen, per E-Mail übertragenen Sicherheitsbedrohungen die Nachrichten dominieren, könnte man leicht die Gefahren einiger der uralten Angriffsvektoren übersehen, die von Cyber-Kriminellen weiterhin ausgenutzt werden. Für Branchen, die auf Wechselmedien wie USB-Laufwerke angewiesen sind, besteht weiterhin Grund zur Wachsamkeit. Denn diese Geräte haben das Potenzial, schädliche und äußerst kostspielige Cyber-Angriffe auszulösen.

Wiederaufleben USB-basierter Angriffe

USB-Geräte werden häufig in einer Reihe von Kritis-Sektoren wie Infrastrukturbetreiber, Versorgungsunternehmen und dem Gesundheitswesen eingesetzt. Diese Sektoren sind auf USB-Laufwerke angewiesen, um Daten in Umgebungen mit eingeschränktem oder keinem Internetzugang zu übertragen, wie z. B. in Air-Gapped-Systemen, die kritische Vermögenswerte und Daten aus Sicherheitsgründen von externen Netzwerken isolieren. 

In Umgebungen der Betriebstechnik (OT) sind USB-Laufwerke oft die einzige praktische Möglichkeit, Daten zwischen Systemen zu übertragen, die bewusst offline gehalten werden. Das macht sie zu einem gängigen Werkzeug für Software-Updates oder Datenmigration. Diese weit verbreitete Nutzung macht USB-Laufwerke zu einem Hauptziel für Cyber-Angriffe. Ein prominentes Beispiel ist die Sogu-Malware, die von der Hackergruppe „UNC53“ eingesetzt wurde. Im vergangenen Jahr wurden mehrere Unternehmen infiltriert. 

Die neuesten USB-basierten Angriffstechniken sind immer ausgefeilter. Sie umgehen häufig erweiterte Sicherheitsschichten, indem sie das Vertrauen zwischen dem USB-Gerät und dem Host ausnutzen. Tastatureingabeangriffe, bei denen Benutzeraktivitäten unbemerkt kopiert und Informationen an das Hostsystem des Angreifers zurückgesendet werden, werden auf neue Weise eingesetzt. Beispielsweise kann Firmware einiger Devices wie Mäuse und Tastaturen so verändert werden, dass Tastenanschläge zur Installation verdeckter Malware genutzt werden. Dies ist ein beliebtes Mittel für Penetrationstester und Social Engineers, die unachtsame Mitarbeiter oder Partner dazu verleiten sollen, ein kompromittiertes USB-Gerät in die Hand zu nehmen und einzustecken.

Sicherheit von Wechselmedien stellt besondere Herausforderung dar

Die Verwaltung von Wechselmedien stellt insbesondere in OT-lastigen Umgebungen eine Herausforderung dar. USB-basierte Angriffe umgehen herkömmliche Netzwerksicherheit und ermöglichen Angreifern, sensible Daten zu exfiltrieren oder sich langfristigen Zugriff auf Systeme zu verschaffen. Diese Angriffe sind besonders gefährlich in isolierten Systemen, in denen die fehlende Netzwerkkonnektivität die Erkennung verzögern. Denn diese kann die Verweildauer der Angreifer verlängern.

Dies macht sie zu einem perfekten Vektor für Malware-Infektionen, Datenlecks und unbefugten Zugriff. Infizierte USB-Laufwerke können leicht schädliche Software in Systeme einschleusen, die nicht regelmäßig überwacht werden. Das kann zu potenziellen Datenverlusten oder Betriebsunterbrechungen führen. Ohne strenge Geräte- und Datenkontrollen können USB-Laufwerke Malware einschleusen oder unbefugten Zugriff auf sensible Systeme ermöglichen.

Eine der größten Herausforderungen für Unternehmen bei der Bewältigung dieser Sicherheitsrisiken besteht darin, dass sie oft nicht genau wissen, welche Personen und welche Geräte sie mit ihren Systemen verbinden oder wie Daten übertragen werden, was die Durchsetzung von Richtlinien erschwert. Nicht nur die Sicherheitsrisiken durch Malware stellen ein Problem dar. Auch der Diebstahl oder Verlust unverschlüsselter Daten auf Wechselmedien stellt ein erhebliches Risiko dar, insbesondere in hochsicheren Umgebungen.

Schädliche Daten von USB-Laufwerken aus dem System fernhalten

Um diese Risiken zu minimieren, ist ein mehrschichtiger Sicherheitsansatz erforderlich, der sowohl technische als auch richtlinienbasierte Lösungen kombiniert. Die Echtzeitüberwachung von Geräten ist unerlässlich. Jeder an ein System angeschlossene USB-Stick sollte auf Malware und verdächtige Aktivitäten gescannt werden, damit Bedrohungen erkannt werden können, bevor sie das Netzwerk gefährden.

Die Datenbereinigung spielt in diesem Prozess eine Schlüsselrolle. Durch die Bereinigung von Dateien, die über USB übertragen werden, können Unternehmen versteckte Malware oder schädliche Inhalte entfernen. So können sie sicherstellen, dass nur sichere Daten in ihr Netzwerk gelangen.

Air-Gapped-Systeme in Kombination mit einem Cyber-Sicherheitskiosk

Für Unternehmen im Kritis-Sektor könnte eine robustere Lösung aus Air-Gapped-Systemen in Kombination mit einem Cyber-Sicherheitskiosk bestehen. Dieser scannt und bereinigt alle ein- und ausgehenden Medien. Alle Dateien werden mithilfe von CDR-Techniken von schädlichen Inhalten befreit und in sicheren, isolierten Datentresoren abgelegt. Nur bereinigte und validierte Daten aus diesen Tresoren dürfen auf die operativen Technologienetzwerke zugreifen. Diese Systeme stellen sicher, dass jedes Gerät, das in eine sichere Umgebung gelangt, zunächst von potenziellen Bedrohungen befreit wird, was eine zusätzliche Schutzebene bietet.

Zugriffsrechte und Richtlinien für Controller sind entscheidend

Zusätzlich zu diesen technischen Kontrollen sind Richtlinienmaßnahmen, die die Verwendung von Wechselmedien regeln, ein wesentlicher Bestandteil einer starken Verteidigung. Unternehmen sollten strenge Kontrollen darüber einführen, welche USB-Geräte auf kritische Systeme zugreifen können, und die Arten von Dateien regeln, die auf Wechselmedien übertragen werden dürfen. Durch die Beschränkung des Zugriffs auf autorisiertes Personal und genehmigte Daten können Unternehmen das Risiko minimieren, dass Geräte ihr Netzwerk gefährden. Richtlinien und Verfahren sollten vorschreiben, dass jedes USB-Laufwerk gescannt und sein Inhalt bereinigt werden muss, bevor die Daten in das Unternehmen gelangen dürfen. Dies kann in großem Umfang mithilfe einer dedizierten Scan-Kiosk-Anwendung erreicht werden.

USB-Laufwerke auf der Cyber-Sicherheitsagenda belassen 

USB-Geräte stellen nach wie vor eine erhebliche Sicherheitsbedrohung dar, insbesondere in Sektoren, in denen sie für die Datenübertragung unerlässlich sind. Selbst Unternehmen, die in ihren Arbeitsabläufen nicht routinemäßig Wechselmedien verwenden, sollten sich der von ihnen ausgehenden Bedrohung bewusst sein. Ein umfassender Ansatz, der Echtzeitüberwachung, Gerätesteuerung und Datenbereinigung mit strengen Zugriffsrichtlinien und Benutzerschulungen kombiniert, deckt alle Grundlagen ab und minimiert das Risiko, Opfer von USB-Bedrohungen zu werden.

Auch interessant für Sie

Laut DXC sollten Unternehmen für mehr Cybersecurity die neuen Risiken von KI-unterstützten Angriffen sehr ernst nehmen und die eigene Cyber-Abwehr entsprechend anpassen
Mobile IT/OT-Hardwaredemonstratoren, die im neuen Cyber-Sicherheit-Schulungsformat „Hack the Grid: Mission OT-Sicherheit für Energie- und Wasserversorgung“ zum Einsatz kommen
Endian CEO Raphael Vallazza
Mit den neuen Funktionen der Managed Security Services werden erhebliche Fortschritte bei der Anlagentransparenz und dem Schwachstellenmanagement erzielt.
Jörg von der Heydt, Regional Director DACH bei Bitdefender, hat zusammengefasst, wie sich auch kleinere Unternehmen gegen einen Cyber-Angriff wappnen können
Cyber Security: Endress+Hauser hat die weltweit anerkannte Zertifizierung IEC 62443-4-1 mit Reifegrad 3 für einen sicheren Produktentwicklungsprozess erhalten
Keywords:
Cybersecurity Security