Zwei Berliner Sicherheitsforscher haben massive Sicherheitslücken bei handelsüblichen USB-Sticks entdeckt. Sie konnten die Datenträger ohne großen Aufwand so umprogrammieren, dass durch simples Anschließen des USB-Sticks der Rechner übernommen und zahlreiche Attacken durchgeführt werden konnten. Die neu entdeckte Angriffsvariante gilt als extrem raffiniert, da das Betrugsopfer nicht wie bei klassischer Malware eine Datei anklicken muss – der USB-Stick kann sogar scheinbar leer sein. Laut dem Kryptologen Christof Paar von der Universität Bochum handelt es sich um eine "neue Dimension" von Angriffen.

Tastenanschläge vortäuschen, Webcam aktivieren

Möglich wird dies durch den Controller-Chip, der sich im USB-Stick befindet. Er sorgt prinzipiell dafür, dass der Datenträger mit dem Rechner, auf dem er angeschlossen wird, kommuniziert. Wird dieser Controller-Chip gehackt und seine Firmware umgeschrieben, kann der USB-Stick vortäuschen, ein anderes Gerät zu sein, etwa eine Tastatur. Dann können Tastenanschläge simuliert werden, sodass sich der vermeintliche USB-Stick mit einem Kontrollzentrum verbindet, durch das der Angreifer dann den Rechner des Opfers übernehmen kann.

Passwörter ausgeforscht

In einem Versuch funktionierte das bei einem Redakteur des WDR einwandfrei. Für die ARD-Sendung "Monitor" ließ er die zwei Sicherheitsforscher des Security Research Labs (SR Labs) an seinen persönlichen Computer, um die Funktionsweise des Hacks zu demonstrieren. Die Forscher waren dann in der Lage, dessen Passwörter auszuspähen und Bilder mit seiner Webcam zu machen. "Technisch ist die Übernahme nichts Besonderes“, so Henryk Plötz gegenüber der Zeit. Er hat die Schwachstelle gemeinsam mit Jakob Lell ausgeforscht, für die Fernsteuerung des Rechners nutzt er das sogenannte "Metasploit Framework“ für Sicherheitstests. Der Angriff funktioniert bei allen Betriebssysteme, also Windows, OS X und Linux.

Virenprogramme erkennen Malware nicht

Was den Angriff laut Zeit besonders heikel macht, ist, dass die Attacke de facto nicht erkennbar ist. Virenprogramme erkennen die Malware nicht, eine Abwehr ist fast unmöglich. Da sehr viele Geräteklassen per USB funktionieren, kann ein manipulierter Stick unzählige Geräte emulieren. Eine Vielzahl von Geräten lässt sich als trojanisches Pferd nutzen, da Hersteller fast immer dieselben Controller-Chips benutzen – was prinzipiell gut ist, da so für einen Standard gesorgt ist.

USB-Standards überarbeiten

In puncto Sicherheit kann dies allerdings leicht ausgenutzt werden, eine Überarbeitung der USB-Standards würde allerdings Jahre in Anspruch nehmen. Für den schleswig-holsteinischen Landesdatenschutzbeauftragten ist der Angriff laut Monitor eine "Katastrophe für den Datenschutz“, er fordert eine sofortige Überarbeitung der Standards. Auch das deutsche Bundesamt für Sicherheit in der Informationstechnik will "technische und organisatorische Maßnahmen“ ergreifen.

Waffe für Geheimdienste oder Cyberkriminelle

Die Forscher warnen besonders davor, dass Geheimdienste oder Hacker aus der organisierten Cyberkriminalität die Angriffsmethode enorm verbessern könnten. Sie selbst hätten mit geringem Aufwand und wenigen Ressourcen den Hack geschafft und wollen sich nicht vorstellen, was mit einem größeren Budget möglich ist. Vorerst empfehlen die Sicherheitsexperten, zum Datenaustausch SD-Karten zu verwenden und wachsam beim Anschluss von Geräten per USB – auch Android-Smartphones – zu sein. Mehr Details dazu wollen die Forscher auf der Black Hat Conference Anfang August vorstellen. (Fabian Schmid, derStandard.at, 31.7.2014)