WatchGuard Blog

USB-Stick: Kleines Gadget, großes Übel

Laut einer aktuellen Studie ist die Nutzung von USB-Sticks in Industrieunternehmen im Jahresvergleich um 30 Prozent gestiegen. Dieser Trend bleibt natürlich nicht unbemerkt: Gleichzeitig verdoppelte sich auch die Anzahl der davon ausgehenden Bedrohungen. Cyberkriminelle erkennen ihre Chance und instrumentalisieren die kleinen Helferlein gezielt für ihre Zwecke, um zu „größeren Zielen“ vorzudringen. Entsprechend der Analyse könnten 79 Prozent der auf diesem Wege verbreiteten Gefahren kritische Auswirkungen auf OT-Umgebungen (Operational Technology) haben.

Pandemie als Treiber

Im „Industrial Cybersecurity USB Threat Report 2021“ wird die Pandemie als Treiber der spezifischen Gefahr genannt. Die Erklärung, warum gerade Produktions- oder auch Versorgungsunternehmen im Zuge von Corona vor ganz speziellen sicherheitsrelevanten Herausforderungen stehen, ist genauso einfach wie einleuchtend: Viele industrielle Steuerungssysteme arbeiten "air gapped". Das bedeutet, dass das Netzwerk der Industrieanlagen und Maschinen weder direkt mit dem Internet verbunden ist, noch mit anderen Computern, Systemen oder Netzen, die auf das Internet zugreifen. Im Lockdown hat dies dazu geführt, dass die ins Homeoffice verbannten Mitarbeiter vermehrt externe USB-Sticks nutzten, um die für Arbeitsprozesse relevanten Daten von den betrieblichen Systemen zu speichern, damit sie zuhause überhaupt geschäftlich agieren können.

Hacker reagierten prompt, wie die Analyse zeigt: Bei 76 Prozent der insgesamt identifizierten Malware handelte es sich um Trojaner mit Fernsteuerungsfunktionen. Darüber hinaus wurden im Vergleich zu den Vorjahren auch Veränderungen hinsichtlich der verwendeten Techniken beobachtet: Die Gefahr lauerte oftmals in infizierten Dokumenten (meist Excel), wobei sich der Schadcode in Skripten und Makros versteckte.

Beunruhigende Entwicklung

Alle in diesem Bericht aufgezeigten Trends sind in gleich mehrerlei Hinsicht besorgniserregend: So darf beispielsweise nicht vergessen werden, dass die angesprochene Problematik auch Unternehmen betrifft, die zum Bereich der „Kritischen Infrastrukturen“ zählen: Sie stellen wesentliche Dienste für die Gesellschaft bereit, wie z. B. die Energieversorgung. Eine Unterbrechung der jeweiligen Betriebsabläufe kann somit direkte Folgen für die Bevölkerung haben. Der jüngste schwerwiegende Vorfall ereignete sich im Wasserwerk Oldsmar in Florida, wo es Cyberkriminellen gelang, die Natriumhydroxidwerte im aufbereiteten Wasser per Fernzugriff zu verändern.

Darüber hinaus rufen die Erkenntnisse aber auch weitere böse Erinnerungen wach. So lassen sich einige der verheerendsten industriellen Cyberangriffe der Vergangenheit auf den Missbrauch von USB-Sticks zurückführen. Prominentes Beispiel ist der Fall „Stuxnet“. Die Malware legte den Betrieb einer Nuklearanlage im Iran lahm, nachdem ein Arbeiter, der als Insider von einem Geheimdienst rekrutiert wurde, die Malware über eine USB-Verbindung eingeschleust hatte.

Zudem zeigt sich, wie schnell und flexibel Cyberkriminelle ihr Vorgehen an neue Gegebenheiten anpassen. Vor der Pandemie war ein klarer Rückgang der über USB-Sticks verbreiteten Malware erkennbar – nicht zuletzt, da die Hardware immer häufiger durch Cloud-Speicher ersetzt wurden. Diese Entwicklung drehte sich in den letzten Monaten mit Ausbruch von COVID-19 wieder um und USB-Sticks feierten ein furioses Comeback, das sich Hacker prompt zunutze machten.

Eindämmung des Risikos

Ein wichtiger Schritt, um das Übel an der Wurzel zu packen, ist daher vor allem die Definition strenger Vorgaben im Hinblick auf die Nutzung von USB-Sticks im Unternehmen. Die Richtlinien sollten klar festlegen, an welche industriellen Systeme, Rechner oder Anwendungen die mobilen Speichermedien überhaupt angeschlossen werden dürfen. Gleichzeitig gilt es, auf Basis der Mitarbeiterprofile Rollen zu definieren und Berechtigungen zu vergeben. Zudem sollten nur Datenträger zum Einsatz kommen, die vom eigenen IT-Team oder den externen IT-Security-Dienstleistern des Unternehmens bereitgestellt und überprüft wurden. Ebenfalls kommt es darauf an zu gewährleisten, dass sich diese nur auf vom Unternehmen autorisierten und ordnungsgemäß gesicherten Laptops verwenden lassen.

Angesichts des hohen Risikos reichen diese Richtlinien jedoch möglicherweise nicht aus: Gerade Einrichtungen im Bereich der „Kritischen Infrastrukturen“ stehen immer häufiger im Fokus staatlich gelenkter Hacker-Gruppen, die hochentwickelte Tools und Malware einsetzen, um ans Ziel zu kommen. Insofern müssen auch die Unternehmen über Schutzmechanismen verfügen, die höchsten Ansprüchen gerecht werden und vor dem Hintergrund neuer Angriffsmuster stets am Puls der Zeit sind. Dies gilt insbesondere bei der  Endpunktsicherheit. Entsprechende Lösungen sollten maximale Transparenz erzeugen und dafür sorgen, dass sich alle Aktivitäten – einschließlich der USB-Verbindungen – jederzeit im Blick behalten lassen.

WatchGuard Endpoint Security (jetzt auch in der WatchGuard Cloud verfügbar) adressiert exakt diese Anforderungen: Der den Lösungen WatchGuard EDR und WatchGuard EPDR zugrundeliegende Zero Trust Application Service stellt sicher, dass ausnahmslos alle Ereignisse am Endpunkt klassifiziert werden. Nur vertrauenswürdigen Prozessen wird die Ausführung auf dem Endpunkt gestattet. Dadurch reduziert sich die Wahrscheinlichkeit, dass eine auf USB-Stick versteckte Malware unentdeckt einen Rechner infiltriert, erheblich. Cyberkriminellen bietet sich auf diese Weise deutlich weniger Angriffsfläche zur Komprommittierung von Industrieanlagen.