Sonderlich sexy sind sie nicht, beeindruckend schon gar nicht. Häufig liegen sie einfach so in Schubladen herum - USB-Sticks. Doch in ihrer Bedeutung sollte man sie deswegen noch lange nicht unterschätzen: USB-Sticks zählen zwar zu jenen Geräten, die viele Menschen einfach so in ihrem Alltag verwenden, ohne sich großartig darüber Gedanken zu machen. Doch das könnte sich nun ändern. Glaubt man Experten für Computersicherheit, dann müssen USB-Sticks in Zukunft vor allem als Sicherheitsrisiko gelten, als ein großes Einfallstor für Angreifer.
Im Internet kursiert seit wenigen Tagen Schadcode, mit dem sich die Speichergeräte quasi nach Belieben manipulieren lassen. So soll es etwa möglich sein, Tastatureingaben zu fälschen, Passwortsperren zu umgehen oder Dateien unsichtbar auf Datenträgern zu verstecken. Angreifer müssen dazu nur den jetzt im Netz kursierenden Schadcode auf das Gerät aufspielen. Das große Problem an der Geschichte: Laut der Einschätzung von Sicherheitsexperten ist es technisch unmöglich, die Lücke wieder so zu schließen, dass USB-Geräte sicher sind.
Der Fehler liegt in der sogenannten Firmware der Speichersticks. Jener Software also, die direkt auf der Hardware aufbaut und sich nicht ohne weiteres vom Nutzer bearbeiten oder verändern lässt. Besonders brisant ist der Fall auch, weil der jetzt veröffentlichte Schadcode nicht in irgendwelchen dubiosen Ecken des Internets auftauchte. Er wurde von den amerikanischen Sicherheitsexperten Adam Caudill und Brandon Wilson ganz bewusst auf der populären Programmierer-Plattform "Github" veröffentlich, um auf das Sicherheitsproblem der USB-Technik hinzuweisen. Dass sich USB-Sticks manipulieren lassen, ist nämlich bereits seit zwei Monaten bekannt. Damals machte der deutsche Sicherheitsexperte Karsten Nohl die Probleme auf der Hackerkonferenz "Black Hat" in Las Vegas vor einflussreichem Publikum öffentlich.
US-Experten: Code muss öffentlich sein
Doch Nohl tat nicht, was Hacker häufig tun, wenn sie auf ein Sicherheitsrisiko stoßen: Er weigerte sich, alle Details des Angriffs zu veröffentlichen. Er verzichtete darauf, den Schadcode zu veröffentlichen. Zu groß sei die Gefahr, dass die Sicherheitslücke dann ausgenutzt werde. Zu seiner Entscheidung steht der Berliner noch heute: Da es keine kurzfristige Möglichkeit gebe, das Problem zu beheben sei er gegen die Veröffentlichung, sagte Nohl der Süddeutschen Zeitung.
Caudill und Wilson sehen das anders. Deshalb haben sie nun getan, was Nohl für zu riskant befand. Sie reproduzierten den Sachverhalt und veröffentlichten den Code. "Wir glauben, dass das alles öffentlich sein sollte. Es sollte nicht zurückgehalten werden", sagte Caudill laut dem Technikmagazin Wired kürzlich auf einer Szenekonferenz in Louisville im US-Bundesstaat Kentucky. Erst wenn der Schadcode öffentlich ist, sei es möglich das ganze Ausmaß des Problems zu analysieren. Auch der Druck auf die Hersteller von USB-Speichergeräten werde dadurch erhöht, glauben die beiden Computer-Experten.
Die große Frage ist nun, welchen Preis die Nutzer von USB-Speichergeräten für die Offenheit der beiden Amerikaner bezahlen müssen. Muss man künftig jeden USB-Stick mit Argwohn betrachten? Sicher ist: Wer über genügend technischen Sachverstand verfügt, kann den Schadcode fortan nun zum Einsatz bringen. Im Umkehrschluss bedeutet das, dass alle USB-Geräte, die nicht permanent vom Besitzer überwacht werden, derzeit als potenziell unsicher betrachtet werden müssen.
Computerbranche in der Pflicht
Sicherheitsforscher Nohl empfiehlt dennoch Ruhe zu bewahren. Das Ausnützen des Schadcodes sei bisher nicht "in freier Wildbahn" zu beobachten gewesen . Wer ganz sicher gehen will, hat ohnehin nur wenige Optionen: "Als letztes Mittel für kritische Anwendungen bleibt der komplette Verzicht auf USB", sagt Nohl.
Ansonsten sieht er nun vor allem die Computerbranche in der Pflicht. Die Hersteller müssten die bei USB-Sticks zum Einsatz kommende Software aktualisieren, dies sei allerdings nur mit dem Einsatz neuer Speicherchips möglich. Bestehende Geräte sind also außen vor. In einem zweiten Schritt könnten die Hersteller von Betriebssystemen Mechanismen einbauen, damit nur neue USB-Geräte Zugriff auf den Computer haben. Außerdem könnten die Hersteller von Antiviren-Software reagieren, indem sie auf bekannte Anomalien wie etwa schnelle Tastatureingaben reagieren, die offensichtlich nicht von einem Menschen stammen. Eins aber ist sich Nohl sicher: "Schnelle Abhilfe wird es erst einmal nicht geben", sagt er.
Immerhin einen positiven Effekt könnte die ganze Misere am Ende dann doch noch haben. In Zeiten der Massenüberwachung durch staatliche Geheimdienste, könnten die Schlagzeilen wieder einmal für mehr Aufmerksamkeit bei Computernutzern sorgen. "Die Leute sehen in den Dingern nicht mehr als ein Speichergerät. Sie erkennen nicht, dass es sich dabei um reprogrammierbare Computer handelt", sagte Hacker Caudill zu Wired. Bald schon könnte diese Erkenntnis von erheblicher Bedeutung sein.