Haben Sie schon mal einen USB-Stick gefunden oder geschenkt bekommen? Ja? Und, Hand aufs Herz: Haben Sie ihn ausprobiert? Nein? Gut so! Neugier kann gefährlich sein, für Ihren Rechner und für die Vertraulichkeit Ihrer Daten.
Sie können allerdings nicht davon ausgehen, dass andere ebenso besonnen mit einem herrenlosen Stick umgehen. Ein Versuch, den Studenten der Universitäten Michigan und Illinois durchgeführt haben, hat gezeigt, dass fast jeder zweite Finder eines herrenlosen USB-Sticks diesen an einen Rechner gesteckt hat. Bei der anschließenden Befragung gaben mehr als zwei Drittel an, dass sie auf diese Weise den Eigentümer hatten ausfindig machen wollen, damit sie den Stick zurückgeben können. Andere standen zu ihrer Neugier und gaben an, dass sie über das bessere Wissen gesiegt hat.
Diesen Umstand haben auch Kriminelle für ihr Business entdeckt. Im Sommer 2016 warnte die Polizei Bewohner im Großraum von Melbourne vor USB-Sticks in ihren Briefkästen, wohl mit betrügerischen Streaming-Angeboten. Das ist von den Auswirkungen her nicht mit Schadcode oder Ransomware zu vergleichen, zeigt aber anschaulich das Vorgehen: manipulierte Sticks in einem Zielgebiet auslegen, es werden sich schon Leute finden, die ihn aus Neugier an einen Rechner stecken.
Die Bedrohung, die von Sticks ausgeht, kann unterschiedlich gelagert sein. Der sogenannte USB-Killer, dessen zweite Version unlängst in den Verkauf gekommen ist, könnte sich beispielsweise prima eignen, um sich an jemandem zu rächen. Vom Hersteller als Testinstrument bezeichnet, zerstört dieser Stick mit Spannungsspitzen Platinen und andere Bauteile von PCs und macht sie auf diese Weise unbrauchbar.
Aber während sich der Ersatz von Rechnern höchstwahrscheinlich verschmerzen lässt, können BadUSB-Angriffe an die Substanz eines Unternehmens gehen, weil sie für Datendiebstahl im Zusammenhang mit Wirtschaftsspionage hervorragend geeignet sind. Ihre Entwickler haben berücksichtigt, dass viele Unternehmen neben anderen Schutzlösungen auch eine Geräteüberwachung einsetzen. Um diese Schutzfunktion zu umgehen, wird die Firmware des Sticks so manipuliert, dass er sich am PC als ein erlaubtes Gerät wie eine Tastatur oder eine Maus anmeldet. Wie ein menschlicher Benutzer kann er so Befehle direkt ans Betriebssystem senden und beispielsweise Daten an einen Server übermitteln oder weitere Komponenten und Schadsoftware nachladen. Der eigentliche Diebstahl findet dann statt, indem die Daten verschlüsselt und über erlaubte Protokolle aus der Firma geschafft werden.
Ein harmlos aussehender USB-Stick kann sich also, in Kombination mit menschlichen Neugier und Hilfsbereitschaft, als hocheffizientes Instrument der Wirtschaftsspionage entpuppen. Weil die Sticks in Deutschland nach wie vor zu den beliebtesten Geräten für den Datentransport gehören, sollten Mitarbeiter-Schulungen zu Social Engineering unbedingt auch auf deren Gefahrenpotenzial eingehen. Auf der sicheren Seite sind Unternehmen, die eine Device-Control-Lösung benutzen, mit der sich nicht genehmigte Geräte am Rechner blockieren lassen. Damit kann ausgeschlossen werden, dass ein Mitarbeiter doch mal einen USB-Stick an den Rechner steckt, der zielgerichtet auf dem Unternehmens-Parkplatz platziert wurde.