Sicherheitsforscher von Google haben erneut die Awareness hinsichtlich unbekannter USB-Sticks getestet. Das Ergebnis: de facto jeder nimmt gefundene USB-Sticks mit, die Hälfte schließt sie an einen Computer an und öffnet Dateien.

Die Gefahr, die von unbekannten USB-Sticks ausgeht, ist seit langem bekannt. Angreifer infizieren sie mit Malware, Zero Day-Exploits oder Trojanern. Die Folgen können gekaperte IT-Systeme, infizierte IT-Strukturen, Wirtschaftsspionage und Datendiebstahl sein. Sicherheitsforscher des „Anti-Abuse Team“ von Google haben zum wiederholten Male getestet, wie Menschen mit gefundenen unbekannten USB-Sticks umgehen und welches Sicherheitsrisiko sie mit ihrem Verhalten für ein Unternehmen darstellen können.

Fast jeder steckt USB-Sticks ein, die Hälfte öffnet Dateien

Für ihren Test legten die Sicherheitsforscher 297 USB-Sticks auf öffentlichen Plätzen aus: Parkplätze, Universitätsgelände, Hörsäle und Flure. Auf diesen Sticks befanden sich HTML-Dateien, u.a. als JPEG und Word getarnt, die unerkannt Informationen an die Rechner der Forscher übermittelten und so bestätigten konnten, falls sie angeschlossen wurden. Das Ergebnis lässt bzgl. einer vorherrschenden Awareness skeptisch stimmen. De facto jeder nahm den gefunden USB-Stick mit (98 %), ca. die Hälfte (45 %) aller Personen schloss den USB-Stick an einen Computer an und öffnete hinterlegte Dateien. Bei einer anschließenden Befragung wollen die Forscher die Motivation der Testpersonen ermitteln. Von den Befragten gaben 68 % an, dass sie den Besitzer über die gespeicherten Dateien ermitteln wollten. Fast jeder Fünfte (18 %) gab zu einfach neugierig gewesen zu sein. Am häufigsten wurden Sticks auf Parkplätzen mitgenommen (53 %). War an dem USB-Stick zusätzlich ein Schlüssel befestigt, öffneten die Finder am meisten vorhandene Bilddateien, mutmaßlich um den Besitzer identifizieren zu können.

Awareness steigern, Angreifer können gezielt vorgehen

Die Ergebnisse dieser Studie lassen u.a. zwei Schlüsse zu.

Awareness der Mitarbeiter steigern

Die Awareness für das Risiko unbekannter USB-Sticks muss erhöht werden. Die meisten Angreifer kompromittieren Sticks mit Schadprogrammen, die von einem Virenscanner nicht entdeckt werden. Sicherheitsforscher kritisieren weiter, dass die Computersysteme so programmiert sind, dass sie USB-Sticks nicht ausreichend überprüfen. Solange dieser Zustand anhält bleibt Unternehmen kaum eine andere Möglichkeit, als ihre Mitarbeiter gezielt auf den Umgang mit unbekannten Datenträgern zu schulen. Die nun veröffentliche Studie zeigt deutlich, dass viele Personen noch nicht ausreichend für die Thematik sensibilisiert sind und so ein Sicherheitsrisiko für ihr Unternehmen darstellen.

Angreifer können gezielt vorgehen

Angreifer können gezielt mit infizierten Datenträgern vorgehen und sie tun es auch. Die Studie zeigt Hochrisiko-Orte sowie Hochrisiko-Szenarien. Auf Parkplätzen sind Findern am meisten geneigt, USB-Sticks mitzunehmen. Um die Wahrscheinlichkeit eines erfolgreichen Angriffs zu erhöhen, nutzen Angreifer Firmenparkplätze. Sind die Parkplätze mit einer Zutrittskontrolle gesichert und schafft es ein Angreifer diese zu überwinden (bspw. mittels Social Engineering), dürfe die Bereitschaft sogar noch höher ausfallen.

Sind an einem Stick persönliche Gegenstände befestigt, wie vorliegend ein Schlüssel, zeigen die Testpersonen eine hohe Bereitschaft zum Öffnen von Bilddateien. Angreifer können ein solches Verhalten gezielt nutzen, um den Finder gezielt zu manipulieren. Um die Wahrscheinlichkeit zu erhöhen, können besonders unverdächtige Gegenstände verwendet werden. Ein Plüschtier könnte auf einen kindlichen Besitzer hinweisen, Werbemittel der eigenen Firma auf einen Kollegen, der auf dem Parkplatz seinen Stick verloren hat. Beide Beispiele lassen vermuten, dass der Finder das Risiko als sehr gering bzw. nicht existent einstufen wird.

Ein größeres Risiko entsteht zusätzlich dadurch, dass Angreifer diese Methode mit weiteren, wie Social Engineering, kombinieren können. Um sog. Zero Day-Exploits (Schwachstellen eines Programms, die bei Entwicklung nicht berücksichtigt wurden) auszunutzen, muss i.d.R. das verwendete Betriebssystem bekannt sein. Um dies herauszufinden können Social Engineers unter Vorspielen falscher Tatsachen in ein Unternehmen eindringen und so in Erfahrung bringen, welche Betriebssysteme zum Einsatz kommen.

Wir empfehlen daher eine intensive Schulung der Mitarbeiter, das Erstellen und Bekanntmachen von Richtlinien im Unternehmen, regelmäßige Tests und möglichst immer up to date zu bleiben.