USB-basierte Angriffe: Wie Unternehmen diesem Sicherheitsrisiko begegnen

Insbesondere in KRITIS-Branchen sind USB-Laufwerke nach wie vor beliebt, da sie bei isolierten Systemen eine praktische Möglichkeit für Datenaustausch und -sicherung bieten

[datensicherheit.de, 28.06.2025] „In Zeiten immer ausgefeilterer Cyberbedrohungen bleibt es für Unternehmen wichtig, vermeintlich althergebrachte Angriffsvektoren nicht zu unterschätzen!“, so Holger Fischer, „Director Sales EMEA Central“ bei OPSWAT, in seiner aktuellen Stellungnahme. Denn weiterhin nutzten Cyberkriminelle z.B. Wechselmedien immer noch erfolgreich für ihre Attacken auf IT-Infrastrukturen: „Insbesondere in KRITIS-Branchen sind USB-Laufwerke nach wie vor beliebt, da sie bei aus Sicherheitsgründen isolierten Systemen eine praktische Möglichkeit für einen Datenaustausch und eine Datensicherung bieten.“ Jedoch sei Wachsamkeit geboten, da mobile Datenträger kostspielige Sicherheitsvorfälle auslösen könnten.

Foto: OPSWAT

Holger Fischer: Selbst Unternehmen, die Wechselmedien in ihren Arbeitsabläufen eher selten verwenden, sollten sich der damit verbundenen Bedrohungen bewusst sein!

USB-Geräte nicht selten in der Fertigung, bei Versorgungsunternehmen oder im Gesundheitswesen genutzt

Fischer erläutert: „USB-Geräte finden nicht selten etwa in der Fertigung, bei Versorgungsunternehmen oder im Gesundheitswesen Gebrauch, um den Datenaustausch bei eingeschränktem oder fehlendem Internetzugang zu ermöglichen.“

• Dies sei notwendig, wenn beispielsweise „Air Gap“-Systeme genutzt werden, „ein Sicherheitskonzept, das eine physische und logische Trennung von IT-Systemen untereinander und von Netzwerken verlangt“.

In absichtlich offline gehaltenen Operational-Technology-Umgebungen (OT) seien USB-Laufwerke oft die einzig praktikable Möglichkeit, kritische Daten zwischen Systemen zu übertragen.

Jüngste USB-basierte Angriffstechniken umgehen oft vorhandene Sicherheitsschichten

Die jüngsten USB-basierten Angriffstechniken umgingen oft die vorhandenen Sicherheitsschichten, indem sie das inhärente Vertrauen zwischen dem USB-Gerät und dem Host ausnutzten. Altbewährte Techniken wie „Rubber Ducky“-Keystroke-Injection-Angriffe, bei denen Benutzeraktivitäten unbemerkt kopiert und Informationen an das Host-System des Angreifers gesendet werden, würden nun auf neue Weise genutzt.

• Zum Beispiel werde die Firmware von HIDs (Human Interface Devices) wie Mäusen und Tastaturen so verändert, dass diese automatisch Malware installiere, indem sie injizierte Tastenanschläge ausführe.

„Diese beliebte Taktik ermöglicht es Angreifern, Social-Engineering-Angriffe durchzuführen, indem sie unvorsichtige Mitarbeiter oder Geschäftspartner dazu verleiten, ein kompromittiertes USB-Gerät in ihren Rechner zu stecken“, warnt Fischer.

Absicherung von Wechseldatenträgern als besondere Herausforderung

Infizierte USB-Laufwerke oder gezielte USB-basierte Angriffe auf kritische Daten in isolierten Systemen stellten eine große Gefahr dar, da aufgrund der fehlenden Netzwerkverbindung die herkömmlichen, netzwerkbasierten Sicherheitsmaßnahmen nicht griffen. Fischer erklärt: „Da keine automatisierte Überwachung von Geräten oder Daten erfolgt, werden Unregelmäßigkeiten bei der Datennutzung häufig erst mit Verzögerung bemerkt!“

• Unautorisierte Zugriffe blieben länger unerkannt und führten dazu, dass eingeschleuste Malware, welche den Zugriff auf sensible Daten ermöglicht, meist erst sehr spät oder gar zu spät entdeckt werde.

Ein weiteres zentrales Sicherheitsproblem bestehe darin, dass Verantwortliche häufig den Überblick darüber verloren hätten, „welche Personen über welche Zugriffsberechtigungen verfügen und welche Devices auf welche Systeme und Daten zugreifen“. Dies wiederum erschwere die Durchsetzung von Compliance-Richtlinien erheblich. Auch der Diebstahl oder Verlust unverschlüsselter Daten auf Wechselmedien stelle in Kritischen Infrastrukturen (KRITIS) ein großes Risiko dar.

Datenträger-Scans zum Schutz vor bösartigen Daten am Point of Entry

Fischer legt dringend nahe: „Es kann daher nicht oft genug betont werden, jeden mobilen Datenträger im Vorfeld auf Malware zu scannen, damit IT-Teams potenzielle Bedrohungen erkennen können, bevor diese ins Netzwerk gelangen und Schaden anrichten!“

• Für Organisationen im KRITIS-Bereich könne eine sichere Lösung darin bestehen, „Air Gap“-Systeme in Verbindung mit einem Cybersecurity-Kiosk am „Point of Entry“ als Datenschleuse einzusetzen. „Solch eine Kiosk-Technologie ist speziell dafür entwickelt, sämtliche eingehenden Medien zu überwachen, indem sie diese in Echtzeit, meist mit mehreren Antiviren-Scannern überprüft und bereinigt.“

Dabei kämen „Deep CDR“-Technologien (Deep Content Disarm and Reconstruction) zum Einsatz, welche die bösartigen Inhalte aus den Dateien entfernten, riskante Dateitypen desinfizierten, die Dateien anschließend rekonstruierten und in sicheren, isolierten Datentresoren ablegten. „Nur bereinigte und validierte Daten aus diesen Tresoren haben Zugang zu den OT-Netzwerken.“

Richtlinien für sicheren Datentransfer auf USB-Wechselmedien

Neben der technischen Kontrolle seien Richtlinien zur Verwendung von Wechseldatenträgern ein wichtiger Bestandteil einer starken Verteidigungsstrategie. „Unternehmen sollten streng kontrollieren, welche USB-Geräte auf kritische Systeme zugreifen dürfen!“ Zudem sollten sie klare Vorgaben dafür festlegen, welche Dateien auf Wechselmedien übertragen werden dürfen. „Indem sie den Zugriff auf wenige autorisierte Personen beschränken und ausschließlich genehmigte Daten zulassen, können sie das Risiko einer Gefährdung ihres Netzwerks wirksam minimieren.“

• Menschliches Versagen gehöre zu den Hauptursachen für USB-basierte Angriffe, welche häufig durch ungesicherte oder nicht autorisierte Geräte verursacht würden. „Umfassende Schulungsmaßnahmen tragen in der Regel dazu bei, diese Risiken wirksam zu mindern. Eine gezielte Aufklärung der Benutzer über Verschlüsselungstechniken, die potenziellen Gefahren beim Einsatz unbekannter USB-Geräte sowie bewährte Verfahren zum sicheren Auswerfen der Geräte kann die Wahrscheinlichkeit von Datenbeschädigungen und Malware-Infektionen deutlich verringern.“

In Hochrisikobereichen trügen regelmäßige Audits zur Überprüfung der Nutzung von USB-Laufwerken und der Einhaltung sicherheitstechnischer Vorgaben wesentlich dazu bei, die Abwehrfähigkeit eines Unternehmens nachhaltig zu erhöhen. Fischers Fazit: „Selbst Unternehmen, die Wechselmedien in ihren Arbeitsabläufen eher selten verwenden, sollten sich der damit verbundenen Bedrohungen bewusst sein. Ein umfassender Ansatz, der Echtzeitüberwachung, Gerätekontrolle und Datenbereinigung mit strengen Zugriffsrichtlinien und Benutzerschulungen kombiniert, deckt alle Bereiche ab und minimiert das Risiko, Opfer von USB-basierten Angriffen zu werden.“

Weitere Informationen zum Thema:

OPSWAT
About OPSWAT: We Protect the World’s Critical Infrastructure / Our Cybersecurity Philosophy: Trust no file. Trust no device.

datensicherheit.de, 06.06.2025
25 Jahre USB-Stick: Ein praktisches, fehleranfälliges Speichermedium / CBL Datenrettung gibt zum Jubiläumsjahr Tipps zum richtigen Umgang und bietet im Fall der Fälle bis einschließlich August 2025 einen Rettungsrabatt

datensicherheit.de, 26.11.2024
Angriffe mittels USB gefährden Kritische IT- und OT-Infrastrukturen / Holger Fischer erörtert Schutz vor nur vermeintlich simpler Angriffsmethode per USB