Netzwerk-Sicherheit Hier kommt der Maus-Trojaner

Von infizierten E-Mail-Anhängen hat jeder schon gehört, aber von infizierten Computermäusen? Mit einer präparierten USB-Maus schleusten Sicherheitsforscher Schadsoftware in ein Firmennetz. Der Fall zeigt: Selbst gut geschützte Netze sind nicht sicher vor dem größten Risikofaktor - dem Menschen.

Von Kathrin Dorscheid

Spionageangriff: Kriminelle wüten in Privatrechnern und Firmennetzen
Corbis

Spionageangriff: Kriminelle wüten in Privatrechnern und Firmennetzen


Es war ein Paket wie jedes andere, und der Mitarbeiter, an den es adressiert war, dürfte sich nicht viel dabei gedacht haben, als er es öffnete. Darin enthalten: ein paar Werbeflyer und eine Computermaus in Originalverpackung. Ein ganz normales Werbegeschenk. Was er nicht ahnte: Das Geschenk war in Wahrheit eine manipulierte, trojanische Maus und darauf ausgerichtet, das Firmennetzwerk seines Arbeitgebers zu infiltrieren. Der Mitarbeiter stöpselte die Maus in seinen Bürorechner - und öffnete damit den Angreifern das Tor. Ihr Plan war aufgegangen, schon hatten sie Zugriff auf das Firmennetzwerk und konnten aus der Ferne wichtige Informationen abgreifen.

Zum Glück des Betroffenen handelte es sich bei dem Angriff nur um einen Test: Die IT-Sicherheitsfirma Netragard war beauftragt worden, von außen in das Firmennetzwerk einzudringen - genau so, wie es auch ein Hacker versuchen könnte. Um Schwachstellen aufzuspüren und Sicherheitsvorkehrungen zu verbessern. Und mal wieder zeigte sich: Die größte Schwachstelle ist der Mensch.

Trojanische Mäuse, Tastaturen und Smartphones

Für ihren fingierten Hacker-Angriff manipulierten die Netragard-Profis die Computermaus, in die sie einen Mikrokontroller mit USB-Unterstützung (ein sogenanntes Teensy-Board) einbauten. Vom Unternehmensverzeichnis Jigsaw kauften sie eine Liste der Angestellten des Unternehmens; einem von ihnen schickten sie die manipulierte Maus zu.

Zuvor hatten sie in Erfahrung gebracht, welches Antivirenprogramm das Unternehmen benutzt - ein anderer Mitarbeiter hatte sich öffentlich auf Facebook darüber beklagt. Entsprechend programmierten die Netragard-Leute eigens dafür ein Schadprogramm - das gleichzeitig auch das Kontrollfenster unterdrückt, das den Nutzer normalerweise darauf aufmerksam macht, wenn ein Außenstehender per Fernsteuerung auf den Rechner zugreifen will.

Keine drei Tage, nachdem Netragard das manipulierte Werbepaket in die Post gegeben hatte, schloss der angeschriebene Mitarbeiter die Maus an seinen Computer an - und Netragard hatte unbemerkt vollen Zugriff auf das System erlangt.

Die Methode ist zwar nicht ganz neu, schon 2007 wies Sicherheitsprofi Luis Miras auf die Möglichkeiten hin, über USB-Geräte wie Mäuse, Tastaturen oder Aufnahmegeräte die Kontrolle über einen fremden Computer zu übernehmen. Auch über manipulierte Smartphones können PCs derart gehackt werden.

Viele Firmen konfigurieren deshalb ihre Systeme inzwischen so, dass Mitarbeiter keine Installationsrechte mehr haben und die Autorun-Funktion deaktiviert ist. Trotzdem funktioniert die Masche mit den herumliegenden USB-Sticks noch immer.

Ein Experiment des US-amerikanischen Heimatschutzministeriums hat laut der Nachrichtenagentur Bloomberg wieder gezeigt, wie leicht Menschen zu überlisten sind: Mitarbeiter ließen absichtlich CDs und USB-Sticks auf den Parkplätzen der Behördengebäude liegen. Das ernüchternde Ergebnis: Rund 60 Prozent der arglosen Finder steckten die Speichermedien wie selbstverständlich in ihre Rechner. Waren darauf offizielle Aufkleber angebracht, schlossen sogar 90 Prozent die herrenlosen Fundstücke am Computer an.

"Es gibt kein Gerät, das Menschen davon abhält, sich idiotisch zu verhalten", zitiert Bloomberg den Sicherheitsexperten Mark Rasch von der Firma Computer Sciences Corp (CSC), der den Test begleitete. Die ausführlichen Ergebnisse der Studie sollen zu späterem Zeitpunkt veröffentlicht werden.

Gezieltes "Spear Phishing"

Auch Sascha Pfeiffer, Sicherheitsberater beim Softwareanbieter Sophos, sieht Menschen als kritischste Schwachstellen für Angriffe auf Firmennetzwerke. Neben manipulierter Hardware wie im oben genannten Beispiel schicken Hacker inzwischen häufig gezielt verseuchte E-Mails an Personen in Entscheider-Positionen, die auf möglichst viele sensible Daten in einem Firmennetzwerk zugreifen können.

Laut Pfeiffer ein typisches Beispiel für diese Variante: Ein Hacker schickt eine Mail an einen Finanzvorstand und gibt sich als Wirtschaftsprüfer aus, der Finanzvorstand leitet die Mail ungelesen an seine Sekretärin weiter. Die wiederum öffnet den infizierten Anhang der Nachricht, ohne Verdacht zu schöpfen, da diese schließlich von ihrem Chef kommt.

Auf ähnliche Weise schafften es Anfang des Jahres Hacker, in das System der Sicherheitsfirma RSA einzudringen: Sie schickten eine Excel-Datei mit dem Namen "Einstellungsplan 2011" an mehrere Mitarbeiter. Ein Neugieriger unter ihnen öffnete das Dokument - woraufhin die Hacker seinen PC steuern und wichtige Informationen über das Authentifizierungssystem "SecurID" der Firma RSA auslesen konnten.

Mit diesem Wissen konnten die Hacker Monate später in die Server des Rüstungskonzern Lockheed Martin eindringen - sie hatten das mehrstufige Sicherheitssystems mit personalisierten Tokens geknackt.

Solche gezielten Attacken auf bestimmte Empfänger, die neuere Variante des Phishings, werden - nach dem englischen Wort für Speer - als Spear Phishing bezeichnet.

Ebenfalls beliebt: Ein fingiertes Bewerbungsschreiben mit einem PDF-Anhang wird an die Personalabteilung geschickt - ein klassischer PDF-Exploit. "Oft werden gezielt Anhänge mit Schadsoftware verschickt, die zum Beispiel frische Lücken des Acrobat Readers ausnutzen", erläutert Pfeiffer. "Die Personalabteilung ist ein beliebter Startpunkt für solche Angriffe."

Schnüffler in soziale Netzwerken

Und auch soziale Netzwerke sind eine wichtige Informationsquelle für Hacker mit unlauteren Absichten, wie schon das Beispiel mit der Maus zeigt. Dort plaudern Mitarbeiter von Unternehmen häufig allzu freizügig interne Informationen aus. Dort lässt sich gezielt herausfinden, mit welchen Informationen man Menschen ködern kann, die Zugriff auf Firmennetzwerke haben. Viele kennen ihren Bekanntenkreis in Business-Netzwerken wie Xing oder LinkedIn nur oberflächlich. "Im Zweifelsfall klickt man in sozialen Netzwerken viel eher einen Link an, den ein Bekannter geteilt hat - obwohl der Schaden genauso groß sein kann wie beim Herunterladen eines E-Mail-Anhangs", sagt Pfeiffer.

Wie viele Hacker-Angriffe genau pro Tag auf Konzerne gestartet werden, lässt sich schwer quantifizieren - es gibt keine Meldepflicht. Und manche Attacken dürften wohl lange Zeit unbemerkt bleiben.

Forum - Diskutieren Sie über diesen Artikel
insgesamt 23 Beiträge
Alle Kommentare öffnen
Seite 1
kosmohuman 06.07.2011
1. Sicherheit!
Deshalb ist es bei vielen Firmen verboten, jegliche USB-Hardware an Firmen-PC anzuschliessen. In vielen Firmen, wo man auf Sicherheit achtet, sind sogar keine USB-Slots vorhanden. Keine Neuigkeit!
mmueller60 06.07.2011
2. x
Zitat von kosmohumanDeshalb ist es bei vielen Firmen verboten, jegliche USB-Hardware an Firmen-PC anzuschliessen. In vielen Firmen, wo man auf Sicherheit achtet, sind sogar keine USB-Slots vorhanden. Keine Neuigkeit!
Ich habe da so meine Zweifel, ob dieser Mehraufwand auch nur für 10% aller PC-Arbeitsplätze getrieben wird. Mir fällt im Moment nur ein Unternehmen ein, in dem das mal der Fall war, daß USB-Anschlüsse ausgeschaltet waren. Und selbst dort ging man dann mit dem Stick halt zu dem einen Kollegen, von dem man wußte, der hatte einen PDA und dafür einen freigeschalteten USB-Anschluß. Der Kollege war dann so nett, die Files vom USB-Stick auf das Netzlaufwerk zu schieben...
taggert 06.07.2011
3. ....
Es gibt aber auch Software (wie zum Beispiel "DriveLock") mit der Administratoren ganz einfach, ohne erheblichen Aufwand alle USB Ports an den Computern blockieren können. Mit eindeutigen Hardware-IDs lässt sich dann sicher stellen das nur "Firmen-Eigene" Mäuse / Tastaturen / Smartphones / Sticks etc. benutzt werden können. Ist bei der Ersteinrichtung ein bisschen Aufwand, aber der Rest danach ist Pipifax... und die Software ist super flexibel so kann man diverse Geräte Firmenweit und Dauerhaft "freischalten" oder einem Rechner "für die nächsten 30 Minuten" den USB Port nur für "Kameras" freischalten... etc etc etc. Also ich denke Berufs-Administratoren sind sich der Gefahr (hoffentlich) bewusst und haben dagegen bereits Vorkehrungen getroffen.
schweineigel 06.07.2011
4. Fluch der Bequemlichkeit
Mich als Privatanwender ärgern auch oft solche "bequemen, automatischen Dinge" Schon oft habe ich (als Experte) irgend etwas gemacht, und schwupp schwupp schwup, ist irgendwas ganz automatisch im Hintergrund gemacht worden. Irgendwas wurde installiert, eingestellt oder verändert. Die ganze Sache wird zu 90% durch irgendwelche "Komfortroutinen" erzeugt. Programme auf CD's USB-Sticks, Webseiten,PDF's,Emails werden einfach so ausgeführt, ohne dass nervig nachgefragt wird. Das ungeliebte WindowsVISTA wurde so programmiert, dass es eben oft nachgefragt hat. Aber das war dann auch irgendwie lästig. Und weil der normale User sich gestört wurde, wurde dann dann auch wieder gemeckert. Der "normale User" wusste einerseits nicht, wie man diese Warnungen ausschalten konnte, doch VOR ALLEM wollte er nicht die Verantwortung übernehmen, wenn er es getan hätte. Anstatt dessen hat er alle Probleme dann auf die Technik geschoben. Der Vorwurf "Dummheit" ist also eigentlich falsch. "Faulheit" trifft es besser. Die Sache mit der Maus ist aber ziemlich an den Haaren herbeigezogen. Wahrscheinlicher wäre irgendjemand, der einen Angestellten kidnappt, ihn ausfragt, möglicherweise unter Drogeneinfluss Nachts über einen längeren Zeitraum; und dann einen Doppelgänger trainiert. Ist schon oft passiert -- in Spionagethrillern.
Der Meyer Klaus 06.07.2011
5.
Zitat von taggertEs gibt aber auch Software (wie zum Beispiel "DriveLock") mit der Administratoren ganz einfach, ohne erheblichen Aufwand alle USB Ports an den Computern blockieren können. Mit eindeutigen Hardware-IDs lässt sich dann sicher stellen das nur "Firmen-Eigene" Mäuse / Tastaturen / Smartphones / Sticks etc. benutzt werden können. Ist bei der Ersteinrichtung ein bisschen Aufwand, aber der Rest danach ist Pipifax... und die Software ist super flexibel so kann man diverse Geräte Firmenweit und Dauerhaft "freischalten" oder einem Rechner "für die nächsten 30 Minuten" den USB Port nur für "Kameras" freischalten... etc etc etc. Also ich denke Berufs-Administratoren sind sich der Gefahr (hoffentlich) bewusst und haben dagegen bereits Vorkehrungen getroffen.
... Linux installiert? Da bin ich schon froh wenn der USB-Stick überhaupt zu mounten ist. Und wenn der das erst dank Hacker tut: Mehr davon! :D
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.