Damaschkes Daily abonnieren (RSS 2.0)
Sicherheitslücke USB
Die USB-Schnittstelle ist eine feine Sache. Hier kann man alle möglichen Geräte anschließen, die fast immer auf Anhieb verfügbar sind und ohne lästiges Treibergefrickel einfach funktionieren. Besonders beliebt sind “Memorysticks”, also kleine, feuerzeuggroße Speicherbausteine, die, kaum eingestöpselt, schon als Laufwerk zur Verfügung stehen.
Einfacher ist der Datenaustausch zwischen Computern fast nicht zu haben. Dank USB fallen auch lästige Systemschranken. Früher, als man den Datenaustausch noch mit Disketten erledigte, stolperte man immer wieder über Formatprobleme. Mal konnten Daten nicht gelesen, mal nicht geschrieben werden. Dergleichen gehört heute der Vergangenheit an.
Es ist problemlos möglich, ein Dokument von einem Linux-PC via USB-Stick auf einen Windows-Computer zu kopieren, dort zu bearbeiten und es anschließend, erneut via USB-Stick, in ein DTP-Programm auf dem Macintosh zu laden.
Da man nie weiß, wann man so einen Speicherstick benötigt, habe ich eine 512-MB-Version in meinem Schlüsseletui. Nicht, dass ich nun jeden Tag Daten zwischen verschiedenen Computern hin und her kopiere, aber mein Memorystick hat mir schon manche gute Dienste geleistet.
Heute habe ich den Stick zum Beispiel während eines Besuches beim Elektro-Discounter benutzt. Dort nämlich waren Apples neues iMacs mit integrierter Kamera aufgebaut. Man konnte damit beliebig herumspielen und unter anderem allerlei lustige Fotos machen. Da jede Mac-Tastatur über einen USB-Port verfügt, war es ein Klacks, meine Fotos rasch von der Demo-Maschine auf meinen Memorystick zu kopieren und vom Mac zu löschen.
So weit, so gut und harmlos.
Kaum waren die Bilder auf dem Datenstick und dieser wieder samt Schlüsselbund in meiner Hosentasche verschwunden, wurde mir klar, was ich da gerade gemacht hatte: Ich hatte einen mobilen Datenträger an einen öffentlich zugänglichen Computer angeschlossen und offensichtlich völlig unbemerkt Daten kopiert.
Nun war das in diesem Fall zwar völlig harmlos, aber was wäre, wenn ich nicht ganz so harmlose Dinge im Schilde führte? Die aufgebauten Mac-Computer waren vollständig installiert und boten jede Menge Programme und Daten. Es wäre ein Leichtes, diese Daten unbemerkt zu kopieren und mitzunehmen.
Doch nicht nur das – die Macs waren allesamt via WLAN online, ein Missbrauch der Maschinen (etwa zum illegalen Download oder zur Verbreitung von Schadenssoftware) mag etwas komplizierter sein, aber unmöglich ist er nicht.
Und da ich natürlich nicht der einzige Kunde war, der an den Geräten herumgespielt habe, gab es alle möglichen Datenspuren anderer Benutzer. Die meisten davon waren völlig harmlos, manche jedoch nicht. So fanden sich etwa im Mailprogramm einige E-Mails, die vielleicht nicht unbedingt so öffentlich zugänglich sein sollten, wie sie es waren. Auch diese Daten lassen sich natürlich via USB-Stick ruckzuck kopieren.
Wie schnell man ohne es zu wollen eine Datenspur hinterlässt, wurde mir selbst klar, als ich schon längst wieder zuhause war. Ich hatte die Bilder zwar auf den Memorystick kopiert und auf dem Mac gelöscht – aber ich hatte vergessen, den Papierkorb zu leeren.
Diese alltägliche USB-Erfahrung hat mir wieder einmal gezeigt, wie nahe beieinander Komfort & Missbrauch liegen. Nun mag man beim Elektro-Discounter noch darauf bauen, dass die ausgestellten Maschinen keinen Zugang zu sensiblen Daten bieten.
Doch die alltägliche Erfahrung lässt mich etwas anderes vermuten – es ist den Mitarbeitern vermutlich überhaupt nicht bewusst (oder es ist ihnen egal), welche Möglichkeiten sie übelwollenden Mitmenschen unter Umständen eröffnen.
Kürzlich unterhielt ich mich mit einem IT-Beauftragten eines Unternehmens über die Sicherheitsprobleme in einem normalen Netzwerk und wir kamen sehr schnell auf den Punkt, dass genau darin, nämlich im mangelnden Problembewusstsein der Mitarbeiter, das vielleicht größte Problem liegt.
“Ich mache mir keine Sorgen um böswillige Mitarbeiter, die dem System absichtlich schaden wollen,” meint er, “das kann ich sowieso nicht verhindern. Aber ich kann schusselige Mitarbeiter daran hindern, mir via USB-Stick Viren ins Haus zu bringen.”
Seine Konsequenz: Bei sämtlichen PCs des Unternehmens sind die USB-Schnittstellen deaktiviert, der Datenaustausch erfolgt ausschließlich über genau definierte Wege.
Denn so bequem die USB-Schnittstelle auch ist – so gefährlich kann sie auch sein.