Sicherheitsforscher Scheible: "Mit diesen Gadgets kann jeder angreifen"
Der Sicherheitsforscher Tobias Scheible hat ein Faible für angriffslustige Gadgets. Besonders gefährlich findet er frei zugängliche Schnittstellen.
(Bild: dpa)
- Ronald Eikenberg
Sicherheitsforscher Tobias Scheible ist ein Experte für Hacking mit eigens dafür entwickelten Geräten, sogenannten Hacking-Gadgets. Wir haben mit ihm darüber gesprochen, wie groß die Gefahren durch solche Hardware-Angriffe sind und was man dagegen tun kann.
c’t: Kommen die Hacking-Gadgets, die wir in c’t vorstellen, bei tatsächlichen Angriffen zum Einsatz?
Tobias Scheible: Definitiv – gerade die jüngste Vergangenheit hat gezeigt, dass Angreifer solche Geräte etwa für Ransomware-Angriffe einsetzen. So hat das FBI in den USA vor einer Bande von Cyberkriminellen gewarnt, die präparierte USB-Sticks an Unternehmen geschickt hat. In einer Angriffswelle gaben die Täter vor, es handele sich um Corona-Richtlinien, in einer weiteren ahmten sie Lieferungen von großen Elektronikhändlern nach – inklusive bedruckter Verpackung mit passendem Paketklebeband und fingiertem Lieferschein.
Beim Einstecken der Sticks melden sie sich als USB-Tastatur am Rechner (BadUSB-Angriff) und infizierten die Systeme mit einem Kryptotrojaner, der die Daten der Unternehmen verschlüsselt. Weiterhin gibt es auch immer wieder Berichte über gefundene Keylogger, unter anderem bei Zeitungen und sogar bei der Polizei. Mit einem USB-Killer, der den angeschlossenen Rechner durch Überspannung zerstört, hat eine Person zudem viele Computer lahmgelegt.
c’t: Das klingt besorgniserregend. Wie oft kommt das vor?
Scheible: Anders als bei großen Schadsoftware-Kampagnen gibt es nur sehr wenige Berichte darüber, da die Angreifer immer nur einzelne Unternehmen oder Personen attackieren. Die tatsächliche Anzahl der Angriffe kann man daher gar nicht einschätzen. Gleichzeitig fliegen viele Angriffe nicht auf, etwa wenn der Täter den Keylogger nach einer bestimmten Zeit wieder mitnimmt, bevor jemand das Gerät entdeckt. Die Dunkelziffer an erfolgreichen und nie erkannten Angriffen mit Hacking-Gadgets ist daher hoch.
c’t: Wird man mit den Hacking-Gadgets auf Knopfdruck zum Hacker oder sind weiterhin gewisse Vorkenntnisse erforderlich?
Scheible: Viele dieser Geräte sind sehr einfach und ohne spezielles Know-how zu bedienen. Einen USB-Keylogger zum Beispiel schließt man einfach an, konfigurieren oder programmieren muss man ihn zuvor nicht. Genauso einfach funktionieren USB-Killer, die Rechner zerstören: anschließen reicht. Allerdings gibt es auch komplexere Tools, die raffinierte Angriffe durchführen können. Diese muss man speziell konfigurieren, was einiges an Wissen und Erfahrung voraussetzt.
c’t: Wann sind Sie auf die Hacking-Gadgets aufmerksam geworden und welches war Ihr erstes?
Scheible: Das müsste so 2014 gewesen sein, als ich auf das Peensy-Projekt von Offensive Security gestoßen bin. Zu dieser Zeit wurde auch auf der Black-Hat-Konferenz in den USA das BadUSB-Konzept vorgestellt. Dabei ging es um die Manipulation der Firmware von normalen USB-Sticks. Mit der "Teensy Penetration Testing Payload" (Peensy) konnte man dies auch mit einem Teensy realisieren. Der Teensy ist ein für seine Größe sehr leistungsstarkes USB-Development-Board mit guter Dokumentation. Den Angriff habe ich dann in der Lehre mit Studenten durchgeführt.
c’t: Ist es problematisch, dass jeder diese Geräte einfach so im Internet bestellen kann?
Scheible: Grundsätzlich ja – aber auch hier gilt das gleiche Prinzip wie in anderen Bereichen der IT-Sicherheit. Würden diese Geräte nicht so einfach zu bestellen sein, würde es sie trotzdem geben. Dann vielleicht in Form von Anleitungen zum Selbstbauen oder als Produkte auf dem Schwarzmarkt. Oftmals kommen auch Standardkomponenten zum Einsatz, die nur mit einer angepassten Software ihre spezielle Funktionsweise bekommen. Diese Standardkomponenten könnte man gar nicht verbieten.
"Technische Sicherheitsmaßnahmen bieten keinen kompletten Schutz gegen Hacking-Gadgets."
Auf der anderen Seite ist es aber auch immer wichtig, dass Sicherheitsbeauftragte die Möglichkeit haben, ihre eigenen Systeme zu testen. Wäre der Verkauf verboten, würden Angreifer trotzdem dran kommen, aber die Personen auf der Gegenseite, die ihre Systeme schützen möchten und müssen, nicht mehr. Viele Beispiele, auch in der physischen Welt, haben gezeigt, dass ein Verbot die Sicherheit nicht erhöht.
c’t: Muss man im Zweifel also darauf vorbereitet sein, unfreiwillig Bekanntschaft mit den Hacking-Geräten zu machen?
Scheible: Die bisher bekannten Fälle zeigen, dass häufig Innentäter diese Hacking-Geräte einsetzen. Das heißt, dass Angreifer zum Beispiel externes Personal anheuern, zum Beispiel schlecht bezahlte Reinigungskräfte, Geräte an einen Rechner anzuschließen. Oder dass ehemaliges Personal oder frustrierte Mitarbeiter Hacking-Gadgets einsetzen, um sich zu rächen oder durch Ausspähen von Informationen versuchen, sich einen Vorteil zu verschaffen.
Und da ein Großteil dieser Gadgets so einfach zu bedienen ist, kann damit auch jeder angreifen. Daher gibt es einige Szenarien für fast jedes Unternehmen, bei dem es mit Hacking-Geräten attackiert werden kann.
