Sicherheitslücke USB
Unsicherer Bus

Gefahrenpotential USB-Port

Sicherheitslücke USB

Mit einem hinterhältigen Security-Test deckten Experten bei einer Kreditgenossenschaft auf, wie unsicher ungeschützte USB-Ports sind. Auf dem Firmengelände verteilten sie 20 scheinbar verlorene USB-Sticks. 15 davon wurden gefunden und in Firmenrechner gesteckt. Was die unehrlichen Finder nicht wussten: Auf den Sticks waren Keylogger versteckt, die munter Login-Daten, Passwörter und Systeminfos per E-Mail versenden.

Der Test zeigt, welches Gefahrenpotenzial in ungeschützten USB-Ports steckt. So können über die Schnittstelle entweder Schad-Software per USB-Stick, iPod oder Speicherkarte eingeschleppt oder sensible Firmendaten gestohlen werden. Das Problem dabei: Windows XP kennt keine wirksamen Mechanismen, den Zugriff auf USB-Ports wirksam, aber gleichzeitig flexibel abzusichern. PCpro zeigt, wie Sie USB-Ports schützen.

1. BIOS-Einstellungen: USB-Start abschalten

Sicherheitslücke USB

Schalten Sie im BIOS, das natürlich passwortgeschützt ist, die Bootfähigkeit von USB-Medien ab. Denn alle Windows-Sicherheitseinstellungen sind nutzlos, wenn der Datendieb den Rechner über einen USB-Stick zum Beispiel mit einer Linux-Version neu bootet. Die Mini-Distribution Damn Small Linux lässt sich auch auf USB-Sticks installieren und startet PCs dann unabhängig vom installierten Windows.

Komfortabler geht das sogar noch mit Windows-basierten Boot-Medien. Meist sind die Einstellungen unter Boot Settings zu finden, beim AMI BIOS etwa auch unter Removeable Drives. Die Radikalmethode, USB im BIOS komplett deaktivieren, ist zwar möglich, hat aber den Nachteil, dass dann auch USB-Mäuse und -Tastaturen nicht funktionieren.

2. Windows-Trick: USB-Sticks nur lesbar

Sicherheitslücke USB

Windows XP bietet keine ausgefallenen Security-Features für USB-Ports an. Mit dem Service-Pack 2 können Administratoren jedoch den Lesezugriff von USB-Sticks erlauben. So lassen sich keine Daten auf den Stick kopieren und der Datenklau wird verhindert.

Um dies umzusetzen, muss in der Registry der Schlüssel HKLM\System\CurrentControlSet\Control\StorageDevicePoliciesangelegt werden. In diesem Ast können Sie dann per Kontextmenü den DWORD-Wert WriteProtect anlegen. Setzen Sie ihn auf den Wert 1 und starten Sie neu.

3. Software-USB-Wächter: Zugriffskontrolle über Windows

Sicherheitslücke USB

Mit Zusatz-Software wie USB-Port-Administration von WDW Consulting lernt Windows gezielt Regeln für den USB-Zugriff. Der Admin bestimmt, wie welcher Nutzer auf USB-Geräte zugreifen darf. USB-Geräte werden gemäß ihrer Funktionalität in Klassen eingeteilt und im Test ohne Ausnahme angezeigt. Mäuse und Tastaturen befinden sich in Klasse 3, Speichermedien in Klasse 8, Drucker in Klasse 7.

Über Drag and Drop werden die Benutzer oder Benutzergruppen zu dem entsprechenden Gerät (USB-Stick) hinzugefügt. Jeder autorisierte Nutzer kann dann ohne Einschränkungen einen Stick benutzen. Bei allen anderen Usern passiert beim Einstecken eines USB-Sticks in den PC nichts. Die Einzellizenz kostet 15 Euro.

4. Hintergrund-Wächter: Drivelock für Firmen

Sicherheitslücke USB

Ein sehr umfangreiches Tool ist Drivelock von Centertools. Das Programm arbeitet versteckt im Hintergrund und wird erst aktiv, wenn ein USB-Stick oder MP3-Player an den Rechner gestöpselt wird. Wie ein Spamfilter arbeitet es mit Black- und White-Lists, also mit explizit verbotenen und erlaubten USB-Geräten. So kann beispielsweise die Digitalkamera weiterhin an dem Rechner angeschlossen werde, der USB-Speicherstick am selben Port ist dagegen nutzlos. Eine Reporting-Funktion dokumentiert genau, welcher Nutzer wann worauf zugreift.

Drivelock ist in erster Linie für Firmen mit mehr als 25 Mitarbeitern gedacht. Die Mindestbestellmenge an Lizenzen beträgt 25, eine Lizenz kostet 25 Euro.

5. Nicht nur USB ist betroffen: Firewire, PCMCIA und Cardreader

Sicherheitslücke USB

Was für den USB-Port gilt, trifft auch auf die anderen Schnittstellen im Rechner wie Firewire, Parallel-Port oder Bluetooth zu. Über jede I/O-Schnittstelle, über die Daten gesendet und empfangen werden, kann theoretisch unerlaubt zugegriffen werden. Auch für diese Schnittstellen hat Windows keine Security-Tools an Bord; die Software-Industrie hat aber Tools parat, die eine Rechte- und Zugriffskontrolle erlauben.

So kann das bereits oben genannte Programm USB-Port-Administration die Nutzung von Firewire- und PCMCIA-Geräten sowie DVD- und CD-Rom-Laufwerken steuern.

Windows Vista schützt USB-Ports

Sicherheitslücke USB

Microsoft legt mit Windows Vista bei den Security-Funktionen nach. Über Gruppenrichtlinien lassen sich gezielt USB-Geräte für den Zugriff sperren und erlauben. Stecken Sie das Gerät an und wählen Sie es im Gerätemanager aus. Über das Kontextmenü und Eigenschaften können Sie bei Details die Hardware-ID auswählen. Kopieren Sie die erste Zeile in eine Textdatei und speichern Sie sie ab – die ID ist später nötig. Klicken Sie das Gerät im Gerätemanager mit der rechten Maustaste an und wählen Sie Deinstallieren.

Öffnen Sie über den Windows-Button mit mmc gpedit.msc den Gruppenrichtlinien-Editor. Unter Computer-Konfiguration wählen Sie Administrative Templates/System und dann Device Installation. Wählen Sie Prevent installation of devices not described by other policy und setzen Sie ihn über das Kontextmenü auf Enabled. Das Gleiche machen Sie mit dem Eintrag Allow administrators to override device installation policy. Schließen Sie den Editor, starten Sie eine Kommandozeile und tippen Sie den Befehl gpupdate /force ein.

Im letzten Schritt wählen Sie die Richtlinie Allow installation of devices that match any of these device IDs aus und setzen sie auf Enabled. In die Liste kopieren Sie dann die Hardware-ID des zu erlaubenden USB-Sticks.