Damaschkes Daily abonnieren (RSS 2.0)
Noch einmal “Sicherheitslücke USB”
Gestern ging es an dieser Stelle um die Sicherheitsprobleme, die mit der eigentlich so schön bequemen USB-Schnittstelle verbunden sind.
MP3-Player sind nicht nur Musikmaschinen
Und wie zur Bestätigung lese ich heute eine Meldung bei “CIO Online” über eine Studie der Marktforscher von Meetbiz-Research. Die nämlich befragten 400 Unternehmen zu ihren Sicherheitsvorkehrungen gegen den Missbrauch von USB-Sticks und MP3-Playern (die ja auch als Datenträger mit zum Teil beträchtlichem Fassungsvermögen im zweistelligen GB-Bereich genutzt werden können).
Das Ergebnis dieser Umfrage ist ernüchternd: Nur ein knappes Viertel der Befragten haben Vorkehrungen getroffen, um dem Sicherheitsrisiko USB zu begegnen. 58 Prozent gaben an, dass ihnen diese Schwachstelle in ihrem Netzwerk überhaupt nicht bewusst war, 23 Prozent gehen kurzerhand davon aus, dass es keine Sicherheitsprobleme gibt bzw. schätzen das Risiko als gering ein.
Wenn sie sich da mal nicht täuschen.
Vielen IT-Verantwortlichen in Unternehmen scheinen Memory-Sticks, MP3-Player und ähnliches als ungefährliches Spielzeug einzustufen – dass es sich dabei vielfach auch um externe Festplatten handelt, die genügend Platz für ein komplettes System-Backup bieten, müssen sie wohl erst noch lernen.
Hoffen wir, dass sie nicht erst durch Schaden klug werden.
Soll man auf USB komplett verzichten?
Zum gestrigen Beitrag erreichte mich eine Anfrage des “Business-PC Daily”-Lesers Marko J., die wohl von allgemeinerem Interesse ist und daher an dieser Stelle beantwortet werden soll.
Herr J. schreibt mir:
“Bei mir auf der Arbeit war es immer mal wieder im Gespräch, die Disketten- und CD-Laufwerke zu deaktivieren. Ich habe mich bisher erfolgreich dagegen ausgesprochen, weil es aus meiner Sicht wenig Sinn hat, solange die USB-Ports funktionieren.”
Da hat Herr J. völlig recht – wer ein CD-Laufwerk deaktiviert, aber die USB-Port unberührt lässt, der sperrt zwar die eine Tür zu, lässt aber das große Fenster daneben sperrangelweit offen.
Weiter fragt Herr J.:
“Ich bin davon ausgegangen, dass die nicht deaktiviert werden können, weil daran ja Drucker, Maus etc. angeschlossen sind.”
Auch da hat Herr J. nicht ganz unrecht, eine vollständige Deaktivierung der USB-Schnittstellen (im radikalsten Fall etwa durch deren physikalischen Ausbau) zieht einige Probleme nach sich.
Denn man kann zwar Tastatur, Maus und Drucker über die traditionellen seriellen bzw. parallelen Schnittstellen anschließen, aber viele Peripheriegeräte werden heute nur noch mit USB-Schnittstellen ausgeliefert.
Hier müsste man dann zu speziellen Adaptern greifen, was nicht nur lästig ist, sondern mitunter auch nicht funktioniert. Denken Sie zum Beispiel an Scanner, die auf den Datendurchsatz einer USB-2.0-Schnittstelle ausgelegt sind. Die würden, wenn sie sich überhaupt betreiben lassen, von einem parallelen Port erheblich ausgebremst – schließlich ist USB 2.0 rund 15 mal schneller.
Bei einem radikalen Verzicht auf USB müsste man also einen hohen Preis zahlen.
USB-Schnittstelle für Datenträger sperren
Wenn man mit Windows XP arbeitet, ist das allerdings nicht nötig. Denn hier ist es möglich, USB so zu konfigurieren, dass zwar Geräte wie Drucker oder Tastaturen angeschlossen werden können, die Zusammenarbeit mit Datenträgern – USB-Sticks, MP3-Playern, digitale Kameras und so weiter – aber verweigert wird.
Wie das im Detail funktioniert, erläutert der Beitrag “How to disable the use of USB storage devices / So deaktivieren Sie die Verwendung von USB-Speichergeräten” der “Knowledge Base” auf den Webseiten von Microsoft.
“So deaktivieren Sie die Verwendung von USB-Speichergeräten”
Wer sich nicht mit der nicht ganz trivialen Konfiguration plagen will, der kann auch auf spezielle Programme zurückgreifen, die diese Arbeit für ihn erledigen.
Eines der populärsten Programme dieser Art ist “Drivelock” der Firma Centertools aus Ludwigsburg (mit dem sich übrigens auch die übrigen Schnittstellen sperren bzw. nur für bestimmte Geräte / Anwender öffnen lassen).