Gerade bei den aktuellen Meldungen über Hackerangriffe in Unternehmen ist jedem klar, dass gerade große Unternehmen einer zunehmenden Bedrohung der eigenen IT-Sicherheit ausgesetzt sind. Dabei spielt die Beachtung des IT-Grundschutz des BSI eine tragende Rolle bei der Schaffung eines Mindeststandarts für die IT-Sicherheit des eigenen Unternehmens. Der Folgende Artikel beleuchtet die Auswirkung der Bedrohung durch manipulierte Hardware auf den IT-Grundschutz.
Aufgrund der Mitarbeit in einer Arbeitsgruppe für IT-Sicherheit beschäftige ich mich seit Kurzem mit dem IT-Grundschutz des BSI. Im Zuge dessen ist mir ein Artikel über die Manipulation einer harmlosen USB-Maus zum Ausspähen des Firmen-PCs, an den Sie durch den unwissenden Mitarbeiter (glaubt es wäre Werbegeschenk) angeschlossen wird, aufgefallen (http://www.heise.de/meldung/Angriff-der-Computer-Maus-1269684.html).
Dabei habe ich mir überlegt, dass es zwar bei den Rechnern, auf denen das IT-System läuft vom Betriebssystem verhindert wird, dass dort ein USB-Stick erfolgreich angeschlossen wird. Da immer mehr USB-Mäuse eingesetzt werden, könnte aus dieser neuen Angriffsmethode (so scheint mir) eine Gefährdung für die Sicherheit eines beliebigen IT-Systems entstehen. Der PC ist nicht in der Lage zu unterscheiden, ob es sich hier um eine zur Firmenausstattung gehörende, d.h. unbedenkliche USB-Maus, oder um eine mit Schadsoftware präparierte handelt.
In wieweit ist dieser neue Angriff im IT-Grundschutz abgedeckt?
Auch die „trojanische Maus“ fällt unter die Grundschutzmaßnahme M 4.200 Umgang mit USB-Speichermedien. Hier sollte jedoch klargestellt werden, dass jedes USB-Gerät unter den IT-Grundschutz fällt, da alle mit Schadsoftware über das Teensy USB Development Board präpariert werden können.
Auszug aus IT-Grundschutz:
Unter anderem können auch USB-Drucker und USB-Kameras zum Speichern der Daten „missbraucht“ werden. Dies gilt insbesondere für „intelligente“ USB-Geräte wie PDAs, die jede beliebige USB-Identität annehmen können, wenn sie mit spezieller Software ausgestattet sind.
Durch die Deaktivierung des Gerätetreibers kann jedoch Windows XP der Einsatz von USB-Massenspeichergeräten nicht global verhindert werden. Ab Service Pack 2 bietet Windows XP die Möglichkeit, zumindest den Schreibzugriff auf USB-Blockspeichergeräte zu unterbinden. Damit wird die USB-Schnittstelle einem CD-ROM-Laufwerk gleichgesetzt, das nur das Lesen eines Mediums erlaubt.
Das Überwachen des Rechners (Registrierung zu überwachen), wie in der Grundschutzmaßnahme dargestellt, ist nicht einfach in der Praxis umzusetzen, sondern es werden häufig nur die Gerätetreiber für Massenspeichermedien deaktiviert.
Was kann man tun?
Der Artikel folgert:
Sicherheitsbeauftrage in Unternehmen dürfte dies vor das Problem stellen, künftig Peripherie-Geräte einer Prüfung unterziehen zu müssen, bevor Anwender sie an ihren PC anschließen dürfen.
Auf Nachfrage beim BSI kommt folgende Antwort:
Eine entsprechende Dienstvereinbarung durch die Leitungsebene „die explizit den Anschluss von Fremdgeräten am Firmen-PC verbietet“ kann ebenso hilfreich sein wie auch die vorherige Prüfung firmeneigener Peripheriegeräte.
Es sollte daher im IT-Grundschutz bei der Maßnahme aufgenommen werden, dass der Einsatz von fremden USB-Geräten generell verboten werden sollte. Die gesamte im Unternehmen beschaffte Hardware muss vor dem Einsatz im Unternehmen einem Test unterzogen werden, damit durch Lieferanten keine manipulierte Hardware untergeschoben werden kann.