Die unterschätzte Cybergefahr: USB & Co.

Ein Beitrag unserer Gastautorin Karin Eichholz, Lead Software Consultant KORAMIS Cybersecurity by Telent 

A. Wie sieht der ideale Schutz vor eingeschleppter Schadsoftware aus?

Die größte Cybergefahr für Systeme der Fertigungs- und Prozessautomatisierung – in Fachkreisen Industrial Control Systems (ICS) genannt - droht von Schadsoftware, die über USB-Sticks und andere Wechseldatenträger eingeschleust wird. Das ist das Resultat der Veröffentlichung Industrial Control System Security – Top 10 Bedrohungen und Gegenmaßnahmen 2019 des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Auch jenseits der produktionsnahen IT, insbesondere in Office-Umgebungen, ist ein nicht unerheblicher Teil der Incidents auf einen zu nachlässigen Umgang mit USB-Sticks, Speicherkarten und Co zurückzuführen.

Quelle: Die Top-10-Bedrohungen für Industrial Control Systems 2019 (Quelle: BSI)

B. Fehlende Securityprozesse bei Wechseldatenträgern sind das Problem

Ohne die Kontrolle von Wechseldatenträgern durch eine effiziente Datenschleuse können Viren, Schadprogramme und Malware ins Firmennetzwerk gelangen und mitunter großen Schaden verursachen. Vor allem in sensiblen Umgebungen wie industriellen Anlagen, Kritischen Infrastrukturen, Entwicklungsabteilungen oder Forschungseinrichtungen, aber auch in Verwaltungen und Büroumgebungen, kann es zu drastischen Datenverlusten kommen. Egal ob in der Produktion oder im Office, solche Vorfälle stören den Betriebsablauf massiv, und die wirtschaftlichen Folgen sind mitunter unberechenbar. Das Problem dabei: Meistens ist den Verursachern gar nicht bewusst, dass überhaupt und welche Gefahr von ihrem kleinen Helferlein ausgehen kann.

C. Verbot ist auch keine Lösung

Natürlich wäre eine einfache und zugleich extrem wirkungsvolle Maßnahme, den Einsatz von Wechseldatenträgern aller Art einfach zu verbieten und zeitgleich alle vorhandenen Schnittstellen physikalisch zu sperren.
Allerdings ist das in dieser Form kaum umsetzbar, da der Import und Export von Daten, wie Updates, Programmstände oder Logdateien, nur auf diesem Wege möglich ist. Daher muss eine Lösung her, die den Einsatz der mobilen Datenträger ermöglicht und zugleich sicherstellt, dass keine Schadsoftware über USB-Sticks und Co auf diesem Weg in das eigene IT- oder OT-Netz gelangt.

D. Wie eine Datenschleuse Abhilfe schafft

Mit dem Einsatz einer Datenschleuse, einer dezidierten Lösung aus Hard- und Software, ist es möglich, USB-Sticks und andere Wechseldatenträger auf Schadsoftware zu untersuchen. Der Clou dabei: Eine Datenschleuse, wie etwa das Gerät InDEx von KORAMIS, dient als Pförtner für externe Daten und prüft diese, fbevor Sie in die eigene Infrastruktur eingebracht werden.

Quelle: Telent GmbH

E. Technik und Prozess für mehr Sicherheit

Wichtig ist, dass es einen sauberen Prozess, eine klare Richtlinie zum Einsatz der Lösung gibt. Beispielsweise könnte dieser folgendermaßen aussehen.

Grundsätzlich ist das Einbringen von Wechseldatenträgern verboten. Ist dies nicht vermeidbar, müssen diese zuvor an der vorhandenen Datenschleuse gescannt werden und ihre Verwendung abhängig vom Ergebnis von einer befugten Person erlaubt oder untersagt werden. Zusätzlich sollten Prozesse für die erwartbaren Scanergebnisse vorab definiert werden.

F. Mehr Sicherheit durch Teamplay

Dieser Lösungsansatz wird, bei recht geringem Aufwand, die Gefahr eingeschleppter Schadsoftware schon signifikant verringern. Allerdings baut er voll und ganz auf das Mitwirken aller Beteiligter. Umgeht jemand diese Vorgaben, bewusst oder unbewusst, ist die Schutzwirkung erst einmal ausgehebelt.

Hier kommt die DriveLock Zero Trust Plattform ins Spiel. Eines ihrer Features ist Device Control. Also ein System, das es ermöglicht, nur bestimmte externe Medien an bestimmten Endgeräten zuzulassen. Diese Funktion, im Zusammenspiel mit der KORAMIS-Datenschleuse InDEx, sorgt für ein Höchstmaß an Security.

Auf der Datenschleuse werden, wie vom BSI empfohlen, externe Datenträger auf Schadsoftware gescannt und bei Unbedenklichkeit freigegeben. Dank der eingesetzten Device Control aber nicht für das gesamte Netzwerk, sondern nur für ausgewählte Bereiche oder Endpunkte - und auch nur für einen gewissen Zeitraum.

Diese Form des Teamplay führt zu größtmöglicher Sicherheit in Bezug auf über Wechseldatenträger eingeschleppte Malware, ohne die Nutzerfreundlichkeit und Usability außer Acht zu lassen.