Vorsicht vor Hacking-Hardware: Fünf Fragen an Tobias Scheible
Wenn Kriminelle jeden Tastaturanschlag mitlesen und Gespräche mithören können, dann war vermutlich ein sogenannter Logger oder ein Mini-Aufnahmegerät im Spiel. IT-Sicherheits- und Forensik-Experte Tobias Scheible kennt sich damit bestens aus. Er ist Dozent an der Hochschule für Polizei Baden-Württemberg. Im Kurz-Interview erklärt er, was es mit der Hacking-Hardware auf sich hat.
1) Wie groß ist die Gefahr durch Hardware-Tools?
Das Problem ist die Vielfalt. Mit Hacking-Hardware können Gespräche abgehört, heimlich Videoaufnahmen gemacht, Netzwerkverbindungen belauscht, Computer über die USB-Schnittstelle mit Schadsoftware angegriffen oder sogar Systeme durch Stromschläge zerstört werden. Leider ist es, wie in vielen Bereichen der IT-Sicherheit, nicht möglich, valide Aussagen über das Gefährdungspotential zu machen, da die Gefährdung immer sehr individuell ist und es eine große Dunkelziffer gibt. Die Hauptgefahr bei Angriffen mit Hardware-Tools besteht jedoch darin, dass viele Unternehmen und öffentliche Einrichtungen keine Schutzmaßnahmen dagegen getroffen haben.
Gleichzeitig ist diese Hacker-Hardware leicht über gängige Online-Shops zu erwerben, sie sind sehr klein und unauffällig und die Angreifer benötigen keine speziellen Kenntnisse, um sie einzusetzen. Ein USB-Keylogger kann etwa einfach über die großen E-Commerce-Portale gekauft werden, die viele von uns regelmäßig nutzen. Diese Geräte müssen ohne Konfiguration nur eingesteckt werden und funktionieren sofort, ohne dass eine Sicherheitssoftware sie erkennen kann.
2) Oft sind die Geräte gut getarnt. Es gibt beispielsweise Kugelschreiber mit Mikrofonen und Kameras, die wie USB-Sticks aussehen. Wo kann sich Hacking-Hardware überall verstecken?
Die Bandbreite ist sehr groß. Sie reicht von Abhörmechanismen, die in Alltagsgegenstände integriert sind, bis hin zu spezieller USB-Hardware, die wie gewöhnliche USB-Sticks aussehen. Audio- und Videoausspähgeräte werden in der Regel in der Nähe des Arbeitsplatzes versteckt oder als Scheinlieferung zugestellt. Ein Klassiker ist zum Beispiel der Blumenstrauß zum Geburtstag mit eingebauter Wanze.
Rechner werden mit getarnten USB-Sticks angegriffen, die wie herkömmliche USB-Sticks aussehen und teilweise mit bekannten Logos bedruckt sind. Aber auch in unauffälligen Kabeln und in typischen Werbegeschenken mit USB-Anschluss kann diese bösartige Hardware versteckt sein. Beispiele sind USB-Ventilatoren für den Sommer und USB-Tassenwärmer für den Winter. Daher sollten niemals fremde USB-Geräte an einen Rechner angeschlossen werden. Wenn es nur um die Stromversorgung geht, sollte ein klassisches USB-Netzteil verwendet werden.
3) Wer sind die Täter?
Im Gegensatz zu Schadsoftware, die per E-Mail verschickt wird, müssen die Angreifer bei diesen Angriffen vor Ort sein. Häufig handelt es sich um Innentäter, die Zugang zum Gelände oder Gebäude haben oder sich dort gut auskennen. Das können ehemalige oder frustrierte Mitarbeiter sein, aber auch externe Lieferanten oder vermeintliche Kunden oder Personen mit einem Anliegen.
Die Motivation dieser Personen ist meist Rache oder der Versuch, sich durch bestimmte Informationen in eine bessere Position zu bringen. Seltener sind es externe Akteure, die einen gezielten Angriff durchführen. Aber auch hier gab es schon Vorfälle mit Ransomware, die durch eine gefälschte Bestellung eines USB-Sticks verschickt wurde.
4) Was können Kommunen zur Vorbeugung tun? Welche Präventionsmaßnahmen helfen?
Grundsätzlich ist die Zutrittskontrolle ein wichtiger Punkt. Damit die internen Bereiche von den Bereichen mit Publikumsverkehr getrennt sind und intern nur die Räume betreten werden können, die auch wirklich betreten werden müssen. In öffentlichen Bereichen sollten Computer durch bauliche Maßnahmen gesichert werden. Dazu gehört, dass der Rechner in einem abschließbaren Bereich des Schreibtisches untergebracht wird, sodass ein Zugriff auf die Schnittstellen nicht möglich ist.
Wenn das nicht geht, können die Schnittstellen entweder softwaremäßig deaktiviert oder durch spezielle Hardwareschlösser blockiert werden. Ein aufgeräumter Arbeitsplatz mit übersichtlichem Kabelmanagement hilft auch, fremde Geräte zu erkennen. Zusätzlich sollte das Personal geschult werden, um diese Art von Angriffen zu verstehen und Hacking-Hardware zu kennen.
5) Wie kann man bei einem Verdacht solche Geräte aufspüren?
Der erste Schritt besteht darin, nach Hardware zu suchen, die normalerweise nicht verwendet wird. Ebenso sollten die Schnittstellen des Computers auf unbekannte Geräte und Adapter untersucht werden. Hacking-Hardware mit Funkverbindungen kann durch die Suche nach Funk-, Bluetooth- oder WLAN-Verbindungen leichter erkannt werden. Hier können bereits spezialisierte Apps auf Smartphones eingesetzt werden, um einen ersten Überblick zu erhalten. Auf professioneller Ebene gibt es Experten mit Detektoren, die sich auf die Suche nach solchen Geräten spezialisiert haben. Grundsätzlich sollte die Polizei eingeschaltet werden, wenn eine Hacking-Hardware entdeckt wird.