Datensicherheit:Achillesferse USB

Der beste Virenscanner hilft nichts: Berliner IT-Sicherheitsexperten zeigen, wie sich Hacker über manipulierte USB-Geräte Zugriff auf den PC eines Opfers verschaffen können. Das weiß auch die NSA zu schätzen.

Von Matthias Huber

Virenscanner? Installiert. Der Spam-Filter im E-Mail-Programm sortiert zuverlässig die Phishing-Mails aus. Das Betriebssystem ist auf dem neuesten Stand. Die wichtigsten Daten sind hinter bombensicherer Krypto-Software versteckt. Und dass alle verwendeten Passwörter 16-stellig sind und aus Groß- und Kleinbuchstaben sowie Ziffern und Sonderzeichen bestehen, ist selbstverständlich. Aber ist das genug? Nein, sagt die Berliner IT-Sicherheitsberatung Security Research Labs SR Labs. Weil auch im USB-Stick die Gefahr lauern kann.

Gegenüber Zeit Online erklärten die IT-Experten von SR Labs, dass sich Hacker verhältnismäßig leicht über angeschlossene USB-Geräte Zugriff auf den PC eines Opfers verschaffen können. Selbst wenn dieser gegen herkömmliche Bedrohungen bestmöglich geschützt ist. Dagegen helfen auch die üblichen Sicherheitsvorkehrungen nicht, die sich gegen Schadsoftware auf externen Speichergeräten wie USB-Sticks oder -Festplatten richten. Schon in dem Moment, in dem das manipulierte USB-Gerät über die entsprechende Schnittstelle mit dem PC verbunden wird, kann es zu spät sein. Anfang August wollen die Mitarbeiter von SR Labs ihre Methode auf der IT-Sicherheitskonferenz BlackHat in Las Vegas vorstellen, in der ARD-Sendung "Monitor" soll am Donnerstagabend ein solcher Angriff nachgestellt werden.

Der Trick der Experten besteht darin, dem PC des Opfers vorzuspielen, dass ein ganz anderes Gerät angeschlossen wurde, als der Nutzer eigentlich glaubt. So könnte beispielsweise ein angeschlossener USB-Stick dem PC vorspielen, dass es sich nicht nur um ein Speichergerät handelt, sondern gleichzeitig um eine Tastatur - und so den PC überzeugen, dass die Befehle, die er von dieser angeblichen Tastatur erhält, vom rechtmäßigen Nutzer stammen. In Wahrheit ist es aber ein Hacker im Hintergrund, der entweder vorab ein automatisches Programm auf dem manipulierten USB-Gerät installiert hat, oder gar live über das Internet den Rechner des Opfers übernimmt.

Welche Geräte sind betroffen?

Es geht nicht (nur) um USB-Speicher wie Sticks oder Festplatten, und welche Daten darauf abgelegt sind. Sondern es geht potentiell um jedes Gerät, das per USB mit dem Rechner verbunden wird - im Extremfall könnte es sogar über das USB-Ladekabel eines Smartphones funktionieren. All diese Geräte können, so die Forscher, entsprechend manipuliert werden.

Die Vielseitigkeit des USB-Anschlussstandards sei "gleichzeitig seine Achillesferse", heißt es im Bericht der IT-Experten. Fast jeder Gerätetyp - Festplatte, Webcam, Lautsprecher, Tastatur, Maus bis hin zum Wlan-Empfänger - kann per USB mit dem PC verbunden werden. Für fast jede denkbare Anwendung gibt es ein entsprechendes USB-Gerät, deshalb ist in aktuellen Betriebssystemen über diesen Anschluss auch fast alles denkbare erlaubt. Genau diese Offenheit kann beim Schutz vor Hacker-Angriffen zum großen Nachteil werden.

Wie kann man sich dagegen schützen?

Deshalb ist es nach Ansicht der SR-Labs-Experten aktuell auch nicht möglich, sich zuverlässig gegen einen solchen Angriff zu schützen. Theoretisch kann jedes USB-Gerät betroffen sein, wirksame Schutzprogramme vergleichbar mit herkömmlichen Virenscannern gibt es für den Anwender bislang nicht. Außerdem sei es extrem schwer, die "BadUSB"-Geräte anhand ihres verdächtigen Verhaltens zu identifizieren. Das liegt daran, dass es für entsprechende Software so aussehen kann, als würde der Nutzer einfach nur ein neues Gerät einstecken oder einen USB-Verteiler benutzen. Dazu kommt, dass ein solcher Angriff auf einer sehr hardware-nahen Ebene erfolgt: Selbst wenn das manipulierte USB-Gerät identifiziert und entfernt wurde, ist es theoretisch denkbar, dass es bereits andere PC-Komponenten manipuliert hat.

Grund zur Panik besteht für den normalen Nutzer allerdings nicht. Für massenhafte Hacker-Angriffe ist der Einsatz manipulierter USB-Hardware viel zu aufwendig und teuer. Und wer seine USB-Geräte nicht gerade beim dubiosen Ebay-Händler aus Fernost bezieht, dürfte kaum Gefahr laufen, zufällig ein manipuliertes Gerät in die Finger zu bekommen. Auch für massenhafte Überwachung durch Regierungsbehörden und Geheimdienste ist die Technologie kaum geeignet. Wohl aber für gezielte Angriffe gegen Einzelpersonen: Bereits vor einigen Monaten wurde bekannt, dass die NSA eine ganze Reihe manipulierter Computer-Hardware benutzt, um auf die Rechner von Überwachungszielen zuzugreifen. Darunter befinden sich auch manipulierte USB-Stecker.

© Süddeutsche.de/jab
Zur SZ-Startseite

Lesen Sie mehr zum Thema

Süddeutsche Zeitung
  • Twitter-Seite der SZ
  • Facebook-Seite der SZ
  • Instagram-Seite der SZ
  • Mediadaten
  • Newsletter
  • Eilmeldungen
  • RSS
  • Apps
  • Jobs
  • Datenschutz
  • Kontakt und Impressum
  • AGB