« Anscheinend erste Konsequenzen für illegale Datenhändler
SPON.de: Rechtsirrtümer-Quiz »

Social Engineering - “Einbrüche” mit Hilfe von USB-Sticks

(Auszug aus einer Veröffentlichung von mir, Steuer Consultant 1/09, S. 51, leicht angepasst)

USB hat sich zu einer der wichtigsten Schnittstellen an PCs entwickelt, da sie sehr einfach handzuhaben ist und eine große Vielfalt an Geräten angeschlossen werden kann. Aber gerade die Einfachheit in der Bedienung und die Vielfalt der anschließbaren Geräte birgt für Netzwerke ein hohes Gefahrenpotenzial.

Steve Stasiukonis von der Secure Network Technologies Inc. wurde von einer Genossenschaftsbank beauftragt, das firmeneigene Netzwerk auf Sicherheitslücken zu überprüfen. Neben technischen Prüfungen wird von Angreifern eine Methode angewendet, die sich Social Engineering nennt. Beim Social Engineering wird unter Vorspielung falscher Tatsachen versucht, Mitarbeiter dazu zu bewegen, Zugangsdaten zur EDV zu offenbaren. In dem vorliegenden Fall wurden zum Erschleichen von Daten USB-Sticks eingesetzt.

Vor Dienstbeginn wurden auf dem Firmengelände an belebten Stellen (Firmenparkplatz, Raucherecke etc.) „zufällig“ 20 USB-Sticks „verloren“. Die USB-Sticks waren mit einem Trojaner präpariert. Bei der Nutzung des USB-Sticks gab der Trojaner eine Meldung an einen Rechner zurück, dass der Stick benutzt wird. Innerhalb von drei Tagen meldeten 15 Trojaner, dass sie im Firmennetzwerk verwendet werden. Die Neugier verleitete die Mitarbeiter also dazu, sofort fremde Hardware unkontrolliert einzusetzen und somit das Firmennetzwerk zu kompromittieren.

Bevor USB-Sticks in einer Firma/Behörde eingesetzt werden, sollten auf jeden Fall die folgenden vier Gesichtspunkte bedacht und geregelt sein:

  1. Durch den Einsatz eines fremden USB-Sticks können Schadprogramme in ein Netzwerk eingespielt werden.
  2. Durch den Einsatz fremder USB-Sticks können Daten aus einem Netzwerk abfließen.
  3. Eigene USB-Sticks können verloren oder - im Falle der Entsorgung - nicht korrekt vernichtet werden und Daten können abfließen.
  4. Eigene USB-Sticks werden an fremden Rechnern verwendet und Daten können unbemerkt vom Stick kopiert oder Schadprogramme auf den Stick aufgespielt werden.

Tags: , ,

Der Beitrag wurde am Montag, den 19. Januar 2009 um 13:29 Uhr veröffentlicht und wurde unter Datenschutzmanagement, IT-Sicherheit abgelegt. du kannst die Kommentare zu diesen Eintrag durch den RSS 2.0 Feed verfolgen. du kannst einen Kommentar schreiben, oder einen Trackback auf deiner Seite einrichten.

Hinterlasse eine Antwort