Vorsicht beim Datenaustausch mit sich wechselnden Partnern!
Die USB-Schnittstelle eignet sich hervorragend zur Sabotage und Industriespionage, dies hat
Stuxnet eindrucksvoll gezeigt. Das Problem ist nun, dass die USB-Schnittstelle über keinerlei Sicherheitsmechanismen verfügt. Ein unbekannter USB-Stick kann ausreichen, um ein System zu infiltrieren. Über die USB-Schnittstelle kann man die gesamte Hardware ansteuern und auf alle Daten zugreifen, ohne dass es der Anwender bemerkt.
Das tolle an USB ist, dass man auch an besonders gesicherte offline Systeme herankommt, denn auch diese müssen ja irgendwie konfiguriert werden oder Updates erhalten.
Wie Stuxnet nun gezeigt hat, kann man selbst in hochgesicherte Bereiche problemlos per USB eindringen. Ein normaler Anwender kann die daraus resultierenden Gefahren gar nicht mehr überblicken oder auch nur einschätzen.
Der Schaden kann schlimm sein, wenn der PC mit Viren verseucht ist.
Ein gefundener USB-Stick reicht aus. Sobald dieser an den PC angeschlossen wird, kann alles vorbei sein. Die Autostartfunktion von Windows ist dafür nicht notwendig, sollte aus Sicherheitsgründen aber dennoch immer deaktiviert sein. Ein manipulierter USB-Stick könnte sich als USB-Tastatur am Rechner anmelden und beliebige Kommandos an ihn senden, ganz wie eine Tastatur. Der Anwender bekommt davon nichts mit, wenn diese Kommandos geschickt ausgeführt werden. Man könnte auch per Werbegeschenk USB-Mäuse an bestimmte Schlüsselpositionen in Firmen versenden. Diese USB-Mäuse installieren dann beim Anschluss an den PC ihre Trojaner und ermöglichen den Zugriff von außen auf das gesicherte Firmennetzwerk.
Aber inzwischen hat ja fast alles eine USB-Schnittstelle. Wer kommt schon auf die Idee, dass der Fernseher verseucht sein könnte. Ein Film den man per USB am Fernseher gesehen hat kann unbemerkt dort Schadsoftware installieren. Diese verbreitet sich dann weiter über jeden weiteren USB-Stick, der am Fernseher angeschlossen wird.
Jedes Handy hat inzwischen eine USB-Schnittstelle. Ein manipuliertes USB-Ladegerät kann problemlos alle Daten vom Handy runterladen und einen Trojaner auf dem Handy installieren. Das Ladegerät kann dann auch gleich unbemerkt über das Stromnetz angesteuert werden und die erbeuteten Daten versenden.
Oder es wird ein teures Handy zum Testen zugesendet. Sobald es am PC angeschlossen wird, um das Adressbuch oder Termine abzugleichen, kann das Handys den PC übernehmen.
Keine Panik, die Hacker sind die Guten!
Die Komplexität eines PC kann schon lange nicht mehr von einem normalen Anwender überblickt werden. Es wäre sehr naiv zu glauben, dass ein normaler Anwender alle sich ständig ändernden Sicherheitslücken kennt und weiß wie er auf sie reagieren muss. Selbst das Betriebssystem auf dem neusten Stand zu halten, kann über die Auto-Update-Funktion zur Gefahr werden, denn wer weiß schon was da alles von wo nachinstalliert wird. Die Banken wissen dies längst. Wer aber beim Homebanking Probleme hat muss der Bank erst einmal nachweisen, dass er alles richtig gemacht hat. Dies ist unmöglich bei heutigen Systemen und die Homebanking-Software müsste ganz anders konstruiert sein, um auf diese Gefahren reagieren zu können. Statt dessen stellen viele Banken ihr Verfahren so um, dass sie die Transaktionscodes über das Mobilfunknetz senden. Wohl wissend, dass diese Übertragung nicht abhörsicher ist und das Handy auch eine sehr unsichere Plattform ist.
Auch der elektronische Personalausweis, kann nur so sicher sein, wie sein Lesegerät, das per USB angeschlossen wird. Von der Regierung ist es mehr als naiv zu erwarten, der Bürger könne ein sicheres System betreiben, auf dem er dann den neuen Personalausweis einsetzt. Identitätsdiebstahl wird, sobald das System verbreiteter und damit lohnender für Kriminelle ist, ein großes Problem werden.
Da Sicherheit auch immer eine Kostenfrage ist und Profit die einzige Antriebskraft im Kapitalismus ist, stehen uns unsichere Zeiten bevor.
)
