Heute noch ein kurzer Blog-Beitrag zum Thema Sicherheit, getreu dem Motto 'Und sie lernen es nicht'. Ein Versicherer verschickte USB-Sticks an Kunden, um für seine neusten Angebote zu werben. Das potentielle Sicherheitsrisiko wurde dabei geflissentlich ignoriert.
Anzeige
Ich hatte vor gut einem Jahr im Blog-Beitrag Rittal Werbegeschenk: USB-Stick, der als HID-Tastatur agiert schon einmal auf das Problem hingewiesen. Damals verschickte die Firma Rittal 'Werbegeschenke' in Form eines USB-Sticks an Kunden. Das Werbegeschenk in Form eines USB-Sticks agierte dabei als HID-Tastatur, um eine Webseite zu öffnen. Natürlich hätte ein solches Werbegeschenk auch ganz anderes machen können (z.B. eine Malware-Datei per Tastatureingaben auf dem Zielsystem anlegen und scharf schalten).
Zurich-Marketing legt nach
Vor einiger Zeit hat Blog-Leser Michael mich auf den nächsten Flopp in dieser Kategorie hingewiesen (die Info ist hier etwas liegen geblieben, passt aber nach wie vor). Die Zurich Insurance plc, Niederlassung Deutschland verschickte im Februar/März 2018 – möglicherweise auch noch heute – eine Werbesendung an Kunden. Hier eine Kopie dieses Schreibens, in dem für einen PrivatSchutz von Zurich geworben wird.
Das Ganze ging wohl, das entnehme ich dem Schreiben, an Versicherungsmakler. Im Brief wird dann erwähnt, dass die Produktdetails und Verkaufsunterlagen auf einer angegebenen Webseite zu finden sind. Und dann kommt es: 'Noch schneller erhalten Sie Zugang zum PrivatSchutz mit dem beiliegenden Webkey – einfach einstecken und die zeitgemäße Welt der Absicherung erleben!' Nachfolgende ist ein Foto des Webkey zu sehen.
Anzeige
Angesichts der Tatsache, dass es um PrivatSchutz geht und man mit dem Webkey jeden beliebigen Trojaner auf die Systeme der Anwender schmuggeln könnte, fungiert der oben zitierte Satz aus dem Marketing-Schreiben als Real-Satire. Der Blog-Leser schreibt dazu:
Anschreiben und die Fotos vom Stick (als USB-Karte Scheck).
Auf unseren Rechnern läuft "G-Data USB Keyboard Guard". Hier hat es mal funktioniert.
Offenbar hat "G-Data USB Keyboard Guard" funktioniert und den Zugriff auf den Webkey (USB-Stick) blockiert. Etwas, was eigentlich jedem Administrator sicherheitstechnisch die Nackenhaare sträuben lässt (denn die G-Data-Lösung könnte ja versagen).
Nur mal angemerkt: Die Firma IBM verbietet Mitarbeitern neuerdings die Verwendung von Speicherkarten und USB-Stick. Zitat von Golem: Das Risiko für den Ruf des Unternehmens und die Finanzen sei zu hoch.
Mit (der) Sicherheit in guten Händen?
Der Blog-Leser wies mich darauf hin, dass der Versicherer wohl auch CYBER SECURITY AND PRIVACY-Versicherungen anbietet. Hier die auf der verlinkten Webseite hervorgehobenen Highlights dieser Versicherung.
- Zeitgemässe Versicherungslösung für mittlere und grosse Unternehmen
- Weltweite Absicherung gegen Kostenfolgen aufgrund von Datenverlusten und vielfältigen Cyber-Attacken
- Breite Deckung für Haftpflicht sowie Folgekosten im eigenen Betrieb
- Sinnvolle Ergänzung Ihres internen Risikomanagements
- Unterstützung durch spezialisierte Juristen und IT-Fachleute vor (Pre-Breach), während und nach Schadenereignissen (Post-Breach)
- Modulare Versicherungsstruktur, bei der je nach Bedarf diverse Versicherungsbausteine zusammengestellt werden können
Die Versicherung schließt auch die Vermittlung an professionelle Dienstleister ein (siehe). Hier ist ein Screenshot der betreffenden Webseite, wo ein Experte sich über die Cyber-Risiken auslässt und ein USB-Stick als Gefahr im Logo der Webseite gezeigt wird.
Verknüpft man die Aussagen des Artikels 'Nach der Cyber-Attacke – Cyber-Ernstfall: Warum Unternehmen auf externe Krisenprofis setzen sollten' mit der obigen Information, dass das eigene Marketing solche Sticks an Versicherungsmakler schickt, ist man bei diesem 'Krisenprofis' mit Sicherheit in guten Händen. Danke an den Blog-Leser für den Tipp.
Anzeige
Da muss man also bevor man den Stick der "Zurich-Versicherung" einsteckt eine Versicherung abschließen die die Dateien auf dem Stick bewerben sollen oder? :-(
Hätten sie ja gleich so in das Schreiben reinschreiben können. ;-)
Klasse Artikel, gleich mal einen Screenshot und Link in meinen Vortrag zu Datenschutz/DSGVO rein ;-)
Mit so was macht man heutzutage nur noch Sammlern eine Freude. Für den normalen Gebrauch sind die Kapazitäten und Geschwindigkeiten zu gering.
Wahrscheinlich sollen so die Lagerbestände bei den Chipherstellern abgebaut werden.
Inzwischen sind die USB-Sticks von Sandisk langsamer als die vor 3 oder 4 Jahren erhältlichen. Die haben wohl auch Überbestände, die jetzt abgebaut werden.
…das kann sein. Beim PC-Händler "Saturn" gibt es externe USB-3-Festplatten von Western Digital (WD) vom Typ Elements mit 1TB und zusätzlich einen 32GB-USB-Stick von Scandisk. Das ist Original von WD und keine Zugabe von "Saturn".
Verschickte Werbe Sticks "sollten" eigentlich wenig Reiz ausüben.
Vor längerer Zeit sah ich einen Versuch bei dem präparierte Sticks "verloren" wurden. Und nun fasse sich jeder mal an die eigene Nase, wenn so ein Stick vor einem liegt: "Was mag da wohl drauf sein, wer hat den verloren …?"
Na? … ;-)
Führe uns nicht in Versuchung….
Zitat: Die Firma IBM verbietet Mitarbeitern neuerdings die Verwendung von Speicherkarten und USB-Stick.
Das gäbe bei uns (kleineres Unternehmen) einen RIESENaufstand.
Also ich habe es in meinem Kleinstunternehmen verboten, solche Werbe-Sticks ohne Genehmigung zu verwenden. Unternehmen bieten darauf Ihre Pressemappen etc. an. Die PDF-Dateien werden dann mehrfach überprüft und zur Verwendung auf dem PC abgespeichert. Der USB-Stick darf dann nicht mehr verwendet werden und wird vernichtet. Man kann diese auch nicht formatieren, hatte paar solche Fälle. Fremd-Werbe-USB-Sticks, auch diese no-name-Sticks, sind ein Sicherheitsrisiko.
Günter hat hierzu auch schon berichtet. Das wäre dann das Ergebnis für diesen guten Blogartikel:
https://www.borncity.com/blog/2017/05/17/rittal-werbegeschenk-usb-stick-der-als-hid-tastatur-agiert/
Für meine Arbeit habe ich einige, aber doch dann Original gekaufte. man kommt nicht da vorbei. Ich habe einige sehr teure von Kingston. Diese sind aber so dick, dass an den Nebenanschluss dann keine ansteckbar sind.
NB – Eine EDV-Versicherung für solche Fälle des Mißbrauchs habe ich auch, aber zum Glück nicht bei Zurich-Versicherung (ist generell ein etwas schwierigeres Versicherungsunternehmen).
Unsere Kunden kann man fast alle in die Kategorie "Digital Illiterate" einordnen. Betreffend IT – Sicherheit möchte ich jedenfalls keinem von denen vertrauen.
Einer dieser Kunden kommt mit einem USB – Stick, auf dem Daten sind (z.B. Journale einer Registrierkasse). Wenn ich diese Daten kopieren möchte, was würdet ihr tun?
Das ist grenzwertig und kommt im täglichen Leben oft vor. Man sollte mit den Kunden klar und eindeutig eine Vereinbarung schließen und auch ihm auf das Risiko hinweisen. Das Risiko gilt dann auch umgegehrt. Man will ja keinen verprellen.
Bei HP-Computer ist ein Sicherheitsprogramm von HP installiert, damit kann man USB-Sticks blocken. Im Jan 2018 habe ich einen neuen HP-Computer eingereichtet und auch habe über 1 Stunde gebraucht, um dann endlich herauszubekommen, dass die Voreinstellung bei diesem Programm es auf "USB-Sticks blocken" gestellt war. Es ist mir so nicht augefallen, weil Daten über Netzwerk und USB-Drucker funktionierten.
Kann man nicht einfach nach dem Einstecken,den Stick formatieren,also säubern,bevor man ihn öffnet?
Nein, denn einmal kann man die Firmware manipulieren, so dass das "Formatieren" nichts nutzt. Zudem kann der USB-Stick sich als beliebiges USB-Gerät wie Tastatur, Maus, UTMS-Stick etc. zu erkennen geben. Dann interagiert der munter während des Formatierens (sofern das überhaupt zugelassen wird) mit dem Gerät.
Besteht dieses Risiko auch, wenn man den Stick unter WinPE mit diskpart löscht?
Wenn die Firmware des USB-Sticks infiziert wurde, nutzt das Löschen mit diskpart nichts.
Jeder nicht völlig bescheuerte oder ahnungslose Administrator unterbindet seit gut 12 Jahren die automatische Installation neuer Geräte per
[HKEY_LOCAL_MACHINE"SOFTWAREPoliciesMicrosoftWindowsDeviceInstallRestrictions]
(siehe sowie lesenden/schreibenden/ausführenden Zugriff per
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsRemovableStorageDevices]
FYI: der bescheuerte Hinweis, ich würde der Verwendung von Cookies durch die "weitere" Nutzung der Seite zustimmen, ist DSGVO-widrig. STELL' DIESEN BLÖDSINN AB!
"FYI: der bescheuerte Hinweis, ich würde der Verwendung von Cookies durch die "weitere" Nutzung der Seite zustimmen, ist DSGVO-widrig. STELL' DIESEN BLÖDSINN AB!"
Ekel Alfred jetzt hier unterwegs?
Zum FYI und DSGVO-widrig – das ist mir zu dünne. Die Sachlage mit den Details ist in der Datenschutzerklärung geregelt.
Welcher Teil des in der DSGVO explizit ausgesprochenen Kopplungsverbots ist Dir unverständlich?
"Jeder nicht völlig bescheuerte …"
Und was machst du, wenn du trotzdem so bescheuert bist und die Daten kopieren möchtest? ;-)