Malware aus dem USB-Port? Warum es klare Regeln braucht

Erlauben Sie in Ihrem Unternehmen den Einsatz eigener USB-Sticks und -Geräte? Falls ja, haben Sie eine gezielte Richtlinie dazu? Laut einer Umfrage von The Software Guild haben 70 Prozent der Unternehmen das nicht.

Ohne eine klare Strategie steigt das Risiko von Datenschutzverletzungen und Malware-Infektionen erheblich.

Mögliche Folgen sind Ausfallzeiten, hohe Kosten für die Behebung von Sicherheitsvorfällen (zum Beispiel DSGVO-Bußgelder) sowie Reputationsschäden. Windows bietet zwar aufgrund seiner weiten Verbreitung die größtmögliche Angriffsfläche, aber auch für macOS und Linux gibt es schädliche Software.

Verseuchte USB-Sticks nicht das einzige Problem

Problematisch ist, dass praktisch alle USB-Geräte als Einfallstor für Angriffe dienen können: Headset, Tastatur, Maus, Hub oder der USB-Tassenwärmer, den es beim letzten Schrottwichteln gab: Der Schadcode liegt im Firmware-Speicher eines Geräts.

Bei einem sogenannten BadUSB-Angriff sind USB-Sticks ein beliebtes Werkzeug, da sie preiswert und zudem weiter verbreitet sind als USB-Headsets.

USB-Geräte melden ihre Funktion dem Endgerät per Firmware. Verseuchte USB-Sticks nutzen das aus. Der Angriff erfolgt ohne infizierte Dateien und ist deshalb schwer zu erkennen.

Das läuft so ab: Normalerweise signalisiert die Firmware im Microcontroller eines USB-Sticks dem PC: „Ich bin ein USB-Massenspeicher“. Für eine Manipulation ändern Hacker diese Firmware. Bei Anschluss an den Computer verkündet der Stick dann fälschlicherweise: „Ich bin eine Tastatur“.

Per USB eingeschleuster Malware: Computer warnt nicht

Schlägt der PC Alarm? Nein! Der Rechner erkennt die angeschlossene „Tastatur” als legitim an und führt Befehle ungefragt aus. Die umprogrammierte Firmware sendet nämlich nach dem Anschluss automatisch Tastatureingaben. Ganz so, als würde ein Mensch den schadhaften Code direkt eintippen. Dieser liegt im Firmware-Speicher des kompromittierten Produkts ab und kann unter anderem den Download einer ausführbaren Datei über die PowerShell anweisen.

Antiviren-Software hilft an der Stelle nicht, denn die ignoriert bei einer Überprüfung den Firmware-Speicher eines verseuchten USB-Sticks. Höchstens eine heruntergeladene .exe-Datei würde sie erkennen – aber dann ist es zu spät.

Sind BadUSB-Angriffe wirklich ein Problem? Ja! Sicherheitsforscher wie Karsten Nohl (SRLabs) haben bereits 2014 gezeigt, wie einfach sich USB-Firmware manipulieren lässt. Und selbst Microsoft hat sich in der Vergangenheit mit der Problematik befasst und beispielsweise 2022 über Raspberry Robin aufgeklärt.

Dies ist ein Wurm, über den erstmals Red Canary öffentlich diskutiert hat. Er verbreitet sich über infizierte USB-Geräte und kann zusätzliche Malware nachladen. Das zeigt: Das Problem der Malware via USB-Port ist real und wird ernst genommen.

Wie können sich Anwender gegen verseuchte USB-Sticks schützen?

Die kurze Antwort: Allein durch Aufmerksamkeit! Unbekannte USB-Geräte und insbesondere Massenspeicher dürfen niemals einfach an einen Computer angeschlossen werden.

Wie lösen Sie als IT-Verantwortliche das Problem mit Malware via USB?

Um zu verhindern, dass Malware auf einem USB-Stick oder manipulierte Peripheriegeräte Ihre Unternehmens-IT kompromittieren, sollten Sie ein unternehmensweites Verbot für persönliche USB-Geräte aussprechen.

1. Stellen Sie stattdessen selbst Hardware bereit. Diese können Sie beim Hersteller Ihres Vertrauens im Direktvertrieb erwerben, beispielsweise bei Logitech, Microsoft oder spezialisierten Business-to-Business-Anbietern.
2. Setzen Sie statt auf USB-Sticks auf Cloudspeicher.

Nur zertifizierte Hardware nutzen

Achten Sie darauf, dass die Geräte über ein Hardware Security Module (HSM) verfügen. Diese ermöglicht eine sichere Speicherung und Verwaltung kryptografischer Schlüssel und unterstützt somit eine eindeutige Identifikation und Authentifizierung. HSM gibt es in verschiedenen Bauformen, unter anderem auch für USB-Geräte. Diese speichern private Schlüssel sicher und führen kryptografische Operationen direkt auf der Hardware aus.

Wie setzen Sie das genau um?

Eine Möglichkeit ist der Device Guard bzw. Credential Guard von Windows. Den können Sie so konfigurieren, dass nur USB-Peripherie mit einem HSM-Chip an den Endgeräten der User funktionieren.

Zudem verfügt jedes USB-Gerät über eine eindeutige Vendor-ID (VID) und Product-ID (PID). HSM-Hersteller wie Yubico oder Nitrokey veröffentlichen diese IDs, sodass Sie sie für Ihr Whitelisting nutzen können.

Mit Lösungen wie Microsoft Intune oder Defender for Endpoint identifizieren Sie USB-Geräte anhand ihrer Hardware-IDs. So erlauben oder blockieren Sie die Komponenten ganz gezielt.

Nur signierte Treiber verwenden

Sein Sie auch auf der Software-Seite wachsam. Signierte Treiber sind ein essenzieller Mechanismus, um das Einschleusen und die Ausführung unsicherer oder manipulierten Programme über USB-Geräte zu verhindern.

Sie gewährleisten, dass nur geprüfte und vertrauenswürdige Treiber mit dem System interagieren dürfen.

Aber wie?

Die wohl einfachste Möglichkeit, einen Treiber zu überprüfen, ist der Gerätemanager von Windows. Öffnen Sie ihn, suchen Sie das betreffende USB-Gerät, klicken Sie mit der rechten Maustaste darauf und wählen Sie nacheinander die Optionen Eigenschaften → Treiber → Treiberdetails aus.

Dort sehen Sie die verwendeten .sys-Dateien. Diese können Sie dann mit dem Explorer (Rechtsklick → Digitale Signaturen) oder im SignTool überprüfen.

Tippen Sie dafür in der Eingabeaufforderung oder in der PowerShell folgenden Code ein:signtool verify /v /kp <treiber-name.sys>Im besten Falle folgt das Ergebnis:Erfolgreich überprüft: <Pfad>\<treiber-name.sys>Windows warnt beim Installieren unsignierter Treiber und blockiert deren Installation standardmäßig auf aktuellen Systemen. Dennoch ist eine regelmäßige Überprüfung ratsam, da ältere oder manipulierte Treiber vorhanden sein könnten.

USB-Sticks zumindest verschlüsseln

Wenn Sie nicht auf USB-Sticks verzichten können oder wollen, sollten Sie diese zumindest mit BitLocker To Go verschlüsseln. So vermeiden Sie im Falle eines Verlusts mögliche Datenschutzprobleme.

Das Programm verwendet den AES-Verschlüsselungsalgorithmus und Ihre User können anschließend über ein Passwort, eine Smartcard oder einen Wiederherstellungsschlüssel auf ihre Daten zugreifen.

Der Stick sollte im NTFS-Format formatiert sein, damit Sie alle BitLocker-Funktionen nutzen können. BitLocker ist in allen Windows Pro-, Enterprise- und Education-Editionen enthalten. In Windows Server ist es ebenfalls verfügbar, aber standardmäßig nicht aktiviert.

Achtung: BitLocker schützt nicht vor BadUSB-Angriffen. Kaufen Sie USB-Sticks daher möglichst bei etablierten Herstellern wie Kingston, SanDisk oder Samsung. Es gibt auch Modelle mit integrierten HSM-Chips (Hardware Security Module), die jedoch deutlich teurer sind.

Cloud als sicherere Lösung für mobile Datenverarbeitung

Anstatt mit USB-Sticks zu hantieren, sie zu verschlüsseln und zu transportieren ist der Upload in die Cloud der bequemere und gleichzeitig sichere Weg. Microsoft 365 mit OneDrive for Business und SharePoint Online stellt eine solide Cloud-Lösung dar.

Statt nur auf einem Stick sind Ihre Daten jederzeit und ortsunabhängig verfügbar. Sie lassen sich in Echtzeit mit Kolleginnen und Kollegen teilen und bearbeiten und sind durch mehrstufige Sicherheitsmechanismen wie Zwei-Faktor-Authentifizierung, Verschlüsselung und feingranulare Zugriffssteuerung geschützt.

Die nahtlose Integration in die Microsoft-365-Umgebung, etwa in Teams, Outlook oder Office-Anwendungen, gewährleistet zudem effizientere Arbeitsabläufe. Darüber hinaus profitieren Sie von zentralen Verwaltungs- und Überwachungsfunktionen, mit denen Sie Compliance-Vorgaben und Datenschutzrichtlinien zuverlässig umsetzen können – auch in regulierten Branchen.

Geräterichtlinien und Cloud machen Schluss mit Malware über USB

Auch wenn USB-Sticks in bestimmten Situationen weiterhin ihre Berechtigung haben, stellen sie aus Sicht der IT-Sicherheit ein nicht zu unterschätzendes Risiko dar. Immer wieder gelangen verseuchte USB-Sticks in Umlauf, um gezielt Sicherheitslücken in Unternehmen auszunutzen.

Auch Peripheriegeräte mit USB-Anschlüssen aus zweifelhaften Shops können kritisch sein. Da Mitarbeiterinnen und Mitarbeiter mit eigenen Geräten von zu Hause arbeiten, ist es daher essenziell, klare Richtlinien und technische Schutzmaßnahmen zu etablieren.

Sie wissen nicht, wo Sie beginnen sollen? Lassen Sie sich unverbindlich von einem erfahrenen Managed Service Provider (MSP) beraten, wie Sie eine sichere und praktikable Strategie entwickeln und gleichzeitig kontrolliert und risikominimiert arbeiten können.

IT-Berater
BUCS IT