Sie sind hier: Home > Digital > Internet & Sicherheit > Sicherheit >

Neue Sicherheitslücke: Jeder USB-Stick wird zur Gefahr für den PC

...
t-online.de ist ein Angebot der Ströer Content Group

Unkontrollierbare Sicherheitslücke  

Jedes USB-Gerät ist eine Gefahr für den PC

01.08.2014, 10:18 Uhr | Melanie Ulrich

Neue Sicherheitslücke: Jeder USB-Stick wird zur Gefahr für den PC. Von USB-Geräten kann echte Gefahr ausgehen. (Quelle: Thinkstock by Getty-Images)

Von USB-Geräten kann echte Gefahr ausgehen. (Quelle: Thinkstock by Getty-Images)

USB-Sticks und andere USB-Geräte sind ein viel größeres Sicherheitsrisiko als bisher angenommen. Berliner Forscher haben eine neue Angriffsmethode entwickelt, wie sie mit manipulierten USB-Geräten fremde PCs steuern können. Das Gefährliche daran: Weder Antivirenprogramme, noch die Nutzer bekommen von den Angriffen etwas mit. Das Ausspähen von Nutzerkonten, Passwörtern und Bankdaten könnte dadurch sehr einfach werden.

USB-Geräte sind so allgegenwärtig, dass sich die wenigsten Nutzer Gedanken über Sicherheitsrisiken machen. USB-Sticks durchlaufen den gelegentlichen Virenscan, aber ansonsten werden USB-Geräte wie Festplatten, Kameras oder Smartphones ständig an PC und Notebook angeschlossen. So sorglos sollten wir Nutzer ab sofort aber nicht mehr sein.

Die Berliner Sicherheitsforscher von Security Research Labs (SRLabs) um den IT-Experten Karsten Nohl haben eine neue Angriffsmethode entwickelt, die sie am 7. August auf der Sicherheitskonferenz BlackHat in Las Vegas vorstellen wollen. Vorab haben sie die Methode auf ihrer Website beschrieben und Zeit Online und dem WDR gezeigt, wie sie funktioniert. Die Sendung Monitor zeigt das Vorgehen am 31. Juli 2014 um 21.45 Uhr in der ARD.

Schwachstelle in USB-Geräten

Für ihre Methode nutzen die Forscher eine Schwachstelle im USB-System aus. In jedem USB-Gerät steckt ein Controller-Chip, der – vereinfacht ausgedrückt – zwischen dem USB-Gerät und dem PC vermittelt. Dieser Chip arbeitet mit einer Firmware, die ihm sagt, was für ein Gerät er steuert – das kann ein USB-Stick sein, ein Smartphone, eine Tastatur, eine Webcam und vieles mehr.

Bei der Angriffsmethode wird nun diese Firmware manipuliert. Das ist recht einfach möglich, da die meisten Controller gegen solche Manipulationen nicht geschützt sind, sagen die Experten. Sie werden für viele verschiedene Geräte genutzt und müssen deshalb leicht umprogrammiert werden können.

USB-Stick gibt sich als Tastatur aus

Ein manipuliertes USB-Gerät gibt sich dann einfach als etwas anderes aus, als es ist. Beispielsweise täuscht ein am PC angeschlossener USB-Stick vor, er sei eine Tastatur. Durch Tastatureingaben im Hintergrund führt er dann Befehle aus und installiert einen Trojaner. Oder er protokolliert alle Tastatureingaben des Nutzers und kommt so an wichtige Passwörter.

Weitere Beispiele gibt es viele: Ein angeschlossenes Smartphone kann sich als Netzwerkkarte ausgeben und so allen Internetverkehr des PC abfangen oder ihn auf gefälschte Webseiten lenken. Eine präparierte externe Festplatte kann einen Virus laden, mit dem das Betriebssystem noch während des Startens infiziert wird.

Unbemerkte Gefahr

Der Nutzer merkt von all dem nichts. Der USB-Stick kann vollkommen leer sein, es gibt keine verseuchte Datei, die ein Antivirenprogramm entdecken könne. Er mag für wenige Sekundenbruchteile ein kleines Fenster sehen, was sich jedoch sofort wieder schließt. Aber da die Angriffe so programmiert sein können, dass sie erst längere Zeit nach dem Einstecken eines Geräts beginnen, ist dem Nutzer der Zusammenhang nicht klar.

Die Methode ist auch deshalb so gefährlich wie erfolgversprechend, weil sie auf Windows-, Linux- und Apple-Rechnern gleichermaßen funktioniert. Darüber hinaus kann die Schadsoftware so programmiert werden, dass sie sich vom ersten USB-Gerät auf den PC kopiert und von dort auf alle anderen angeschlossenen USB-Geräte.

Problem für die nächsten Jahre

Eine Lösung des Problems ist derzeit nicht in Sicht. Der gesamte USB-Standard müsste geändert und um Schutzvorkehrungen erweitert werden, sagte Nohl der Zeit. Das werde aber zehn Jahre dauern, da die Standards von vielen Beteiligten entwickelt und beschlossen werden müssen.

Auch einen Schutz gibt es nicht wirklich – Antiviren-Programme haben keinen Zugriff auf die Firmware von USB-Geräten. Nutzer können lediglich auf USB-Sticks verzichten und stattdessen SD-Karten verwenden, sagt Nohl. Diese können sich nicht als etwas anderes ausgeben. Bei anderen USB-Geräten gibt es bislang keine Alternativen.

Die Sendung Monitor zeigt den Angriff am Beispiels eines WDR-Redakteurs am 31. Juli 2014 um 21.45 Uhr in der ARD.

Weitere spannende Digital-Themen finden Sie hier.

Liebe Leser, bitte melden Sie sich an, um diesen Artikel kommentieren zu können. Mehr Informationen.
Neue Kommentare laden
Leserbrief schreiben

Für Kritik oder Anregungen füllen Sie bitte die nachfolgenden Felder aus. Damit wir antworten können, geben Sie bitte Ihre Adresse an.

Name
E-Mail
Betreff
Nachricht
Artikel versenden

Empfänger

Absender

Name
Name
E-Mail
E-Mail
Video des Tages

Shopping
Shopping
Nur online: neue Wiesn-Looks für Damen, Herren & Kinder
bei tchibo.de
KlingelBabistabonprix.deLidl.deStreet OneCECILMADELEINEdouglas.deBAUR
Mehr zum Thema
Sie sind hier: Home > Digital > Internet & Sicherheit > Sicherheit

shopping-portal
Das Unternehmen
  • Ströer Digital Publishing GmbH
  • Unternehmen
  • Jobs & Karriere
  • Presse
Weiteres
Netzwerk & Partner
  • Stayfriends
  • Erotik
  • Routenplaner
  • Horoskope
  • billiger.de
  • t-online.de Browser
  • Das Örtliche
  • DasTelefonbuch
  • Erotic Lounge
Telekom Tarife
  • DSL
  • Telefonieren
  • Entertain
  • Mobilfunk-Tarife
  • Datentarife
  • Prepaid-Tarife
  • Prepaid-Aufladung
  • Magenta EINS
Telekom Produkte
  • Kundencenter
  • MagentaCLOUD
  • Homepages & Shops
  • De-Mail
  • Freemail
  • Mail & Cloud M
  • Sicherheitspaket
  • Hotspot
  • Telekom Fotoservice
  • Hilfe
© Ströer Digital Publishing GmbH 2017