Der Trick ist alt, funktioniert aber dennoch immer wieder: Ein zufällig im Konferenzraum vergessener oder auf dem Flur verloren gegangener USB-Stick macht den Finder neugierig. Am Arbeitsplatz-PC eingesteckt, macht sich ein Trojaner sogleich an die Arbeit und schafft ein Einfallstor ins Firmennetzwerk. Ohne geeignete Sicherheitsmaßnahmen können sich Angreifer beispielsweise Zugriff auf wichtige Dokumente verschaffen. Diebstahl und Manipulation sind Tür und Tor geöffnet. Damit es nicht soweit kommt, sind in den meisten Unternehmensnetzwerken entsprechende Sicherheitsmaßnahmen aktiv, die einen USB-Stick beim Einstecken am PC automatisch erkennen und auf Schädlinge überprüfen beziehungsweise den Zugriff generell sperren. Mit dem passenden Know-how können Sie auch Ihren Windows-Rechner schützen.
Tipp: Die besten USB-Tipps und -Tools
So verbreiten sich Schädlinge vom infizierten USB-Stick aus
PC-Schädlinge, die sich über USB-Sticks verbreiten, sind seit Jahren bekannt. Sie nutzen meist Autorun-Dateien auf älteren Windows-Rechnern, um automatisch gestartet zu werden. Ein vom Sicherheitsunternehmen ESET entdeckter und Win32/PSW.Stealer.NAI benannter Datenspion ist noch tückischer: Er nutzt die Mechanismen portabler Anwendungen und hängt sich in deren Kommandokette ein. Zur Tarnung nutzt er eine AES-Verschlüsselung und bildet Dateinamen aus kryptografischen Eigenschaften der Dateien. Im deutschen ESET-Blog beschreibt Tomáš Gardon die Entdeckung und die Eigenschaften des Schädlings. Die relativ komplexe Malware besteht aus sechs Dateien, von denen vier ausführbar sind und zwei Konfigurationsdaten enthalten. Die Dateien sind mit einer 128-Bit- AES-Verschlüsselung geschützt. Der Schlüssel wird aus der Geräte-ID und weiteren Eigenschaften des USB-Sticks gebildet. Die Malware kann somit stets nur von diesem einen USB-Stick aus gestartet werden. Der Ausführung des eigentlichen Schad-Code geht ein dreistufiger Ladeprozess voraus. Dabei überprüfen die einzelnen Loader, ob sie von einem nicht schreibgeschützten USB-Stick gestartet wurden, ob es auch der richtige Speicher ist und ob ein Antivirusprogramm aktiv ist. Erst dann wird die so genannten Payload gestartet, also der Daten stehlende Prozess, der seine Daten verschlüsselt auf dem USB-Stick ablegt. Welche Daten er sammeln soll, entnimmt er den Konfigurationsdateien.
Aufgedeckt: Die fünf häufigsten Sicherheitsrisiken von USB-Sticks
1. USB-Sticks haben kein Sicherheitsnetz: Es gibt keine Passwortschutz oder Verschlüsselung der auf einem Standard-USB-Stick gespeicherten Daten. Dies kann für die Familienfotos in Ordnung sein, ist aber für betrieblich bezogene Daten risikobehaftet.
2. USB-Sticks sind schnell verlegt: Die Daten darauf sind dann unwiderruflich verloren oder müssen erneut erzeugt werden. Weltweit gingen im vergangenen Jahr über 20 Millionen USB-Sticks verloren, wie eine Studie der britischen Sicherheitsbehörde NHS aufzeigt.
3. Ungesicherte USB-Ports sind Backdoors: Die Windows-Autorun-Funktion bei Windows XP und Vista besteht aus zwei Dateien. Die autorun.inf zeigt auf eine zweite Datei, das ausführbare Ziel oder Programm. Diese Autorun-Funktion von Windows kann beim Einstecken eines USB-Sticks von Schadprogrammen ausgenutzt werden, bevor das Virenschutzprogramm gegriffen hat. Auch lassen sich durch die Kombination Autorun und USB-Stick Daten unkontrolliert und vor allem unprotokolliert aus dem Unternehmen oder in das Unternehmensnetzwerk kopieren. Erstmals bekannt wurde dies als Problem durch den Wurm Conficker im Jahr 2008. Das Risiko erschien Microsoft so hoch, dass Autorun für USB-Laufwerke seit Windows 7 nicht mehr vorhanden ist.
4. Billig-USB-Sticks: Bei besonders günstigen USB-Sticks schrumpft die verfügbare Speichergröße in vielen Fällen überraschend schnell. Die gespeicherten Dateien und Ordner sind plötzlich nicht mehr auffindbar, sie gehen verloren. Ein Grund mag die unsolide Herstellung der Flash-Switches innerhalb des Chips sein. Dies bedeutet, die gespeicherten Dateien sind nicht sicher vor Datenverlust.
5. Unbeaufsichtigte USB-Sticks: Wenn ein USB-Speicher verloren geht oder er kurz unbeaufsichtigt ist – etwa auf einem Auslandsflughafen – könnten Daten manipuliert werden. Selbst wenn Dateien mit einer Sicherheits-Software verschlüsselt sind, lassen sich die verschlüsselten Dateien kopieren. Ein Angriff mit Rainbow-Tabellen- und Manipulations-Software ist dann wahrscheinlich.
Windows-Login bequem per USB-Stick – so geht’s
So schützen Sie Ihre wichtigen Daten auf einem USB-Stick
Der richtige und sorgsame Umgang mit USB-Sticks hilft dabei, die meisten Gefahren abzuwehren.
Sicherheitsfunktionen: Verwenden Sie Passwörter und eine Verschlüsselung auf Ihrem USB-Laufwerk, um Ihre Daten vor dem Zugriff Unbefugter zu schützen. Stellen Sie sicher, dass die Informationen auf Ihrem USB-Stick gesichert sind, etwa auf dem heimischen Computer oder auf dem Büro-Rechner.
Zwei USB-Sticks: Trennen Sie persönliche und geschäftliche USB-Laufwerke. Verwenden Sie keine privaten USB-Sticks und externe USB-Festplatten an Unternehmens-Computern.
Sicherheits-Software: Nutzen Sie Sicherheitssoftware und halten Sie diese auf dem neuesten Stand. Verwenden Sie eine Firewall, Antiviren-Software und eine Anti-Spyware. Damit wird Ihr PC weniger anfällig für Angriffe.
Unbekannte Herkunft: Schließen Sie an einem PC keinesfalls ein USB-Laufwerk an, dessen Herkunft für Sie unklar ist. Es sind Fälle bekannt, dass Besucher absichtlich einen mit Spionage-Tools versehenen Stick verloren haben. Einmal an einen PC angesteckt, nimmt das Spionage-Tool seine Arbeit auf.
Autostart abschalten: Deaktivieren Sie Autorun bei älteren Windows-Versionen. Die Autorun-Funktion bewirkt, dass bei Windows XP und Vista Wechselmedien wie CDs, DVDs und USB-Laufwerke automatisch geöffnet werden, wenn sie in ein Laufwerk eingelegt werden. Durch das Deaktivieren der Autorun-Funktion, können Schadcode von einem infizierten USB-Laufwerk vermieden werden. Ab Windows 7 ist Autorun für USB-Sticks aber ohnehin bereits deaktiviert.
Schutz vor fremden USB-Geräten
USB-Speichergeräte stellen ein potenzielles Sicherheitsrisiko dar. Die mögliche Nutzung der Geräte lässt sich jedoch mit wenigen Handgriffen geschickt einschränken.
Von Haus aus bindet Windows jedes beliebige USB-Gerät automatisch ein. Dieses Verhalten können Sie jedoch ändern. Nur die Pro-Editionen und höher von Windows Vista, 7 oder 8 enthalten mit dem „Editor für lokale Gruppenrichtlinien“ ein Tool, über das sich bestimmte Beschränkungen entweder systemweit oder für einzelne Benutzer festlegen lassen. Benutzer der Home-Edition können die Einstellungen direkt in der Registry ändern.
Bei Wechseldatenträgern ist es möglich, den Schreibzugriff und den Lesezugriff zu unterbinden. Letzteres führt dazu, dass ein USB-Stick beim Anstöpseln zwar einen Laufwerksbuchstaben erhält, aber kein Zugriff möglich ist. Das wirkt sich dann allerdings auf alle USB-Speichergeräte aus und ist daher nur sinnvoll, wenn Sie selbst in der Regel keine USB-Laufwerke verwenden.
Ein anderer Weg ist, die Installation nur von neuen USB-Laufwerken zu unterbinden.
Registry-Einstellungen ändern: Ebenso ist es möglich, die Einstellungen direkt in der Registry zu ändern – für Benutzer der Home-Editionen von Windows ist das der richtige Weg. Starten Sie den Registrierungs-Editor, indem Sie „regedit“ ins Suchfeld der Taskleiste eingeben und anschließend die Eingabetaste drücken. Gehen Sie zum Eintrag HKEY_LOCAL_ MACHINE/SOFTWARE/Policies/Microsoft/Windows“. Klicken Sie mit der rechten Maustaste auf den Schlüssel „Windows“ und wählen Sie im Kontextmenü „Neu -> Schlüssel“. Geben Sie dem neuen Schlüssel den Namen „Removable StorageDevices“. Im nächsten Schritt klicken Sie mit der linken Maustaste auf den neu angelegten Schlüssel und fügen Sie im rechten Teil des Editor-Fensters einen Eintrag hinzu. Nach einem rechten Mausklick auf eine freie Stelle im Fenster wählen Sie im Kontextmenü „Neu -> DWORD-Wert (32-Bit)“ aus. Benennen Sie den neuen DWORD-Wert mit „Deny_all“ und klicken Sie ihn danach doppelt mit der linken Maustaste an. Im Bearbeitungsfenster ändern Sie den Wert von „0“ auf „1“, Bestätigen Sie die Eingabe mit einem Klick auf „OK“. Durch diese Änderung werden die USB-Speicher am PC blockiert. Wenn Sie zu einem späteren Zeitpunkt wieder Zugriff auf den USB-Speicher haben möchten, ändern Sie den Wert wieder zurück von „1“ auf „0“. Schließen Sie den Registrierungs-Editor und starten Sie den PC neu. Die Änderungen führen dazu, dass ein USB-Stick beim Anstecken zwar einen Laufwerksbuchstaben erhält, aber kein Zugriff möglich ist. Das wirkt sich dann allerdings auf alle USB-Speichergeräte aus und ist daher nur sinnvoll, wenn Sie keine USB-Laufwerke verwenden.
Einsatz des PC-WELT-Tools: Um die Konfiguration so einfach wie möglich zu machen, haben wir das kostenlose Tool PC-WELT-Secure-USB . Kopieren Sie das Programm auf die Festplatte und starten Sie die für Ihr System passende Variante: pcwSecureUSB_x64.exe für ein 64-Bit-System oder die 32-Bit-Version pcwSecureUSB_x86. exe. Bestätigen Sie die Meldung der Benutzerkontensteuerung mit „Ja“. Aktivieren Sie dann die Optionen, die Sie benötigen.
Mit dem ersten Schalter aktivieren Sie den Schreibschutz für USB-Laufwerke. Diese Einstellung gilt nur für den gerade angemeldeten Nutzer. Wenn Sie die Option darunter auf „Ja“ setzen, wirkt die Einstellung systemweit, also für alle Benutzer. Der zweite Schalter definiert die Richtlinie „Lesezugriff verweigern“, die Option darunter setzt die Einstellung wieder systemweit. Wenn Sie den dritten Schalter auf „Ja“ stellen, verhindern Sie, dass neue USB-Speichergeräte von Windows installiert werden. Alle Einstellungen, die Sie mit PC-WELT-Secure-USB vornehmen, gelten sofort. Wenn ein USB-Laufwerk angeschlossen ist, wird es beim System abgemeldet und danach gleich wieder angemeldet.
Sollte das Laufwerk gesperrt sein, beispielsweise weil Dateien darauf geöffnet sind, wird es nicht abgemeldet. In jedem Fall wirken sich die Einstellungen nach einem Windows-Neustart aus.
Daten auf dem USB-Stick verschlüsseln
Besitzer von USB-Sticks sollten unbedingt vorsorgen, damit ihre persönlichen Daten bei einem Verlust des Geräts von Unbefugten nicht eingesehen werden können.
Microsoft Bitlocker: Windows 7 Ultimate und Enterprise sowie Windows 8/8.1 Pro und Enterprise bieten mit Bitlocker eine Funktion, mit der Sie komplette Laufwerke so verschlüsseln, dass alle Benutzer nur noch nach Eingabe eines Passworts darauf Zugriff haben. Bitlocker besitzt einen Modus, mit dem sich auch ein Wechsellaufwerk wie ein USB-Stick verschlüsseln lässt. Der Assistent taucht im Bitlocker-Fenster in der Systemsteuerung auf, sobald Sie einen Stick eingesteckt haben. PC-WELT Datensafe: Das Programm verschlüsselt und versteckt sensible Daten auf dem USB-Stick. Dank moderner Verschlüsselungsverfahren sind Ihre vertraulichen Daten vor neugierigen Blicken gut geschützt. Für 24,90 Euro können Sie die Vollversion kaufen. Für fünf Euro mehr erhalten Sie die Familien-Lizenz für drei Rechner.