Schnittstellen-Schutz mit Smart Keeper

Physische IT-Sicherheit für IT-Schnittstellen und -Geräte

| Autor / Redakteur: Ralph Dombach / Peter Schmitz

Deer Einsatz von Hardware-Schlössern für IT-Schnittstellen bietet sich als zusätzliche Sicherheitsschicht für Geräte in sensiblen Bereichen an.
Deer Einsatz von Hardware-Schlössern für IT-Schnittstellen bietet sich als zusätzliche Sicherheitsschicht für Geräte in sensiblen Bereichen an. (© rock_the_stock - stock.adobe.com)

Hacker und Cyberkriminelle suchen sich bekanntlich immer die schwächste Stelle für einen Angriff aus. Eine geradlinige Security-Strategie, die auf bekannte Elemente wie Proxy, Firewall, Anti-Malware oder Sandboxing setzt und dabei „triviale“ Bedrohungen weitestgehend ignoriert kann aber zu einem Eigentor werden. Bestes Beispiel ist dabei der Hardware-Zugriff.

Ein Cyberkrimineller, der den Auftrag hat, Daten zu stehlen wird erst nach Analyse der Ausgangssituation handeln. Die elektronischen Zugänge von außen anzugreifen, ist dabei ggf. weniger erfolgversprechend, als von innen zu agieren. Gelingt es dem Angreifer Zugang zum Geschäftsgebäude zu erhalten, ist die Situation deutlich erfolgversprechender.

Dies ist, abhängig vom Unternehmen, mit verschiedenen „Hindernissen“ verbunden. Das erste und oft auch schwierigste ist dabei der Werkschutz, der durch einen Pförtner und unterstützt durch Zutrittssysteme eine Besucher- und Mitarbeiter-Zutrittskontrolle durchführt. Üblich ist heute eine Vereinzelungsanlage (Drehkreuz), um Personen den Zugriff zu gestatten.

Kommuniziert der Firmenausweis dabei über eine kontaktlose Art von Near-Field-Kommunikation (NFC), besteht hier die Chance für einen Cyberkriminellen, Zugangsdaten abzugreifen, mit denen er einen eigenen Ausweis anfertigen kann. Aber auch ein talentierter Taschendieb kann hier ggf. bei der „Beschaffung“ eines Ausweises weiterhelfen.

Am einfachsten ist es aber oft, sich als Besucher auszugeben und an der Pforte um Zugang zu einer Toilette zu bitten. Auf dem Weg dorthin kann man dann nach zugänglichen PCs suchen, die angreifbar sind. Und falls die Toilette getrennt von den Mitarbeitern im Empfangsbereich liegt, gibt es auch hier Chancen, dem interessierten Mitarbeiter einen USB-Speicherstick „zuzuspielen“. Denn ein am Boden liegender 8 GB Stick wird vermutliche ignoriert oder an der Pforte abgeben („Altes Ding“), aber ein 2TB Speicherstick („Oh interessant“) mit einem entsprechenden Aufkleber „Entlassungen 2018“ wird eventuell durch den Mitarbeiter, welcher der Neugier unterliegt, am PC eingesteckt.

Man sollte sich daher nicht auf die Stupidität der Angreifer verlassen, sondern bedenken, dass diese Personengruppe immer a) kreativ und b) zielorientiert agiert. Wenn es einfacher ist, die Personen-Zutrittskontrolle zu manipulieren bzw. diese zu umgehen, werden Angreifer dies auch tun. Und dank Social Media und einer (unüberlegten) Selbstdarstellung kann man oft auf einfachste Art und Weise an hilfreiche Daten über Mitarbeiter(innen) gelangen, die einen Bezug haben und ggf. den Unternehmens-Zugang erleichtern (Einschreiben für Fr. A, die gerade im Urlaub ist.).

Wie kann man dem entgegenwirken?

Die etablierte Vorgehensweise ist natürlich Security Awareness, die Mitarbeiter unter anderem schult, auf verdächtige Personen und auf seltsame Umstände zu achten. Alternativ empfehlen sich Lösungen zur physischen IT-Sicherheit wie zum Beispiel Smart Keeper. Die Produkte der Firma Smart Light Solutions zielen darauf ab, Software-Schutzmethoden mittels eines „Locks“ zu unterstützen und den Zugriff auf HW-Schnittstellen zu verhindern – respektive deutlich zu erschweren.

Schnittstellen-Schutz

Das Unternehmen bietet dabei ein sinnvolles Produktangebot, welches der Entwendung mobiler PCs entgegenwirkt, den Zugriff auf USB-Schnittstellen reglementiert und auch im Netzwerkumfeld LAN-Buchsen und optische Ports nicht ungeschützt lässt.

Video: Schutz der LAN-Buchse

Das Einsatzfeld der Hardware-Locks sind Systeme, auf denen man einen Datenfluss verhindern möchte und die Nutzung von (USB-)Devices, um beispielsweise keine Spionagetools zum Einsatz bringen zu können. Dies müssen nicht nur öffentliche Informations-PCs oder Ausstellungsgeräte sein, auch administrative Systeme im Rechenzentrum oder mit einer Cloud-Verbindung lassen sich so sichern.

Eine etablierte Angriffsmethode besteht darin, die Tastatureingaben abzufangen – denn so können ggf. auch Passwörter und Kennungen protokolliert werden, die es einem Kriminellen ermöglichen, Systeme zu kompromittieren. Üblicherweise wird dabei ein Hardware-Keylogger in die USB-Tastatur eingefügt. Dazu wird einfach der Tastatur-USB-Stecker in den Keylogger gesteckt und dieser dann in die PC-USB-Buchse.

Mit einem Link Lock ist dies nicht mehr möglich, denn der Tastatur-Stecker wird durch den Link Lock so im Gerät fixiert, dass er nicht (ohne Gewaltanwendung oder passenden Schlüssel) entfernt werden kann. Damit ist das einschleifen eines Keyloggers ohne mechanische Gewalt und entsprechenden Zeitaufwand nicht mehr möglich. Ein Keylogger-Angriff ist damit deutlich erschwert. Wie sich dies in der Praxis gestaltet, zeigt die PDF-Anleitung des Herstellers.

Hardware-Schwachstellen eines PC, wie das CD-ROM-Laufwerk, weitere Schnittstellen (DVI, LAN, Serial Ports) lassen sich ebenfalls mit geeigneten Komponenten abschotten. Der Vorteil dieser Methode liegt darin, dass kein Ausbau, kein Abstecken oder andere Maßnehmen erforderlich sind, um den PC abzusichern und die Locks oft preiswerter sind als alternative Maßnahmen (Ein USB Port Lock kostet 5,49 Euro Listenpreis). Die Nutzung von Locks ist schnell umgesetzt und jederzeit reversibel. Für die Montage und Demontage der Locks wird dabei ein sogenannter „Universal Lock Key“ genutzt, der die genutzten Locks sperrt und verschließt.

Sicherheit durch Abschreckung

Der physische Schutz durch versperrte bzw. nicht mehr zugängliche Schnittstellen und Devices liegt auf der Hand. Der ungewollte Datenabfluss wird minimiert aber auch die in Einschleusung von Schadsoftware oder Spionagetools durch eine ungeschützte System-Schnittstelle deutlich erschwert. Darüber hinaus kann recht einfach kontrolliert werden, ob die Locks mit Gewalt bearbeitet wurden und ein Grund für weitere Kontrollen gegeben ist.

Auch für Tabletts und andere Geräte, die über keine entsprechende Aussparung zur Aufnahme eines Stahlkabels verfügen, bietet Smart Keeper eine Lösung an. Mit dem „Secure USB & Secure Connector“ wird in einen USB-Port am Computer ein Lock-Modul eingeführt, welches seinerseits eine Vorrichtung enthält, um daran ein Anti-Diebstahl-Kabel zu befestigen. Beides kann nur von Personen entfernt werden, die einen entsprechenden Schlüssel haben. Vor allem für hochwertige Tabletts ist dies ein wirksamer Schutz, gegen den „Diebstahl im Vorbeigehen“.

Fazit

Auch klassische Produkte, die ein Öffnen des Gehäuses bei Desktop- und Tower-PCs erschweren bietet Smart Keeper an. Erweiterungen, die den Zugriff auf Netzwerk-Ports (RJ45) blockieren und erschweren runden das Produktangebot ab. Für die nahe Zukunft sind auch weitere Locks, wie beispielsweise für USB-Type C, die HDMI Schnittstelle, den CF-Port (Compact Flash; Speicherkarte) oder die eSATA-Schnittstelle geplant.

Das Konzept und Produktangebot ist durchdacht und bietet ein breites Nutzungsspektrum, dass CISOs und anderen Security-Verantwortlichen sicherlich Freude bereiten wird. Wobei man sich immer darüber im Klaren sein sollte, genügend Energie und Zeit vorausgesetzt, lässt sich jede Sicherungsmaßnahme brechen – auch wenn sie nicht aus binären Nullen und Einsen besteht, sondern aus Plastik, Blech und Stahl.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45421438 / Security-Devices und -Tools)