Riskantes Werbegeschenk: USB-Stick der Zurich-Versicherung

Heute noch ein kurzer Blog-Beitrag zum Thema Sicherheit, getreu dem Motto 'Und sie lernen es nicht'. Ein Versicherer verschickte USB-Sticks an Kunden, um für seine neusten Angebote zu werben. Das potentielle Sicherheitsrisiko wurde dabei geflissentlich ignoriert.


Anzeige

Ich hatte vor gut einem Jahr im Blog-Beitrag Rittal Werbegeschenk: USB-Stick, der als HID-Tastatur agiert schon einmal auf das Problem hingewiesen. Damals verschickte die Firma Rittal 'Werbegeschenke' in Form eines USB-Sticks an Kunden. Das Werbegeschenk in Form eines USB-Sticks agierte dabei als HID-Tastatur, um eine Webseite zu öffnen. Natürlich hätte ein solches Werbegeschenk auch ganz anderes machen können (z.B. eine Malware-Datei per Tastatureingaben auf dem Zielsystem anlegen und scharf schalten).

Zurich-Marketing legt nach

Vor einiger Zeit hat Blog-Leser Michael mich auf den nächsten Flopp in dieser Kategorie hingewiesen (die Info ist hier etwas liegen geblieben, passt aber nach wie vor). Die Zurich Insurance plc, Niederlassung Deutschland verschickte im Februar/März 2018 – möglicherweise auch noch heute – eine Werbesendung an Kunden. Hier eine Kopie dieses Schreibens, in dem für einen PrivatSchutz von Zurich geworben wird.

Zurich PrivatSchutz-Werbung

Das Ganze ging wohl, das entnehme ich dem Schreiben, an Versicherungsmakler. Im Brief wird dann erwähnt, dass die Produktdetails und Verkaufsunterlagen auf einer angegebenen Webseite zu finden sind. Und dann kommt es: 'Noch schneller erhalten Sie Zugang zum PrivatSchutz mit dem beiliegenden Webkey – einfach einstecken und die zeitgemäße Welt der Absicherung erleben!' Nachfolgende ist ein Foto des Webkey zu sehen.


Anzeige

USB-Stick des Zurich-Marketing

Angesichts der Tatsache, dass es um PrivatSchutz geht und man mit dem Webkey jeden beliebigen Trojaner auf die Systeme der Anwender schmuggeln könnte, fungiert der oben zitierte Satz aus dem Marketing-Schreiben als Real-Satire. Der Blog-Leser schreibt dazu:

Anschreiben und die Fotos vom Stick (als USB-Karte Scheck).

Auf unseren Rechnern läuft "G-Data USB Keyboard Guard". Hier hat es mal funktioniert.

Offenbar hat "G-Data USB Keyboard Guard" funktioniert und den Zugriff auf den Webkey (USB-Stick) blockiert.  Etwas, was eigentlich jedem Administrator sicherheitstechnisch die Nackenhaare sträuben lässt (denn die G-Data-Lösung könnte ja versagen).

Nur mal angemerkt: Die Firma IBM verbietet Mitarbeitern neuerdings die Verwendung von Speicherkarten und USB-Stick. Zitat von Golem: Das Risiko für den Ruf des Unternehmens und die Finanzen sei zu hoch.

Mit (der) Sicherheit in guten Händen?

Der Blog-Leser wies mich darauf hin, dass der Versicherer wohl auch CYBER SECURITY AND PRIVACY-Versicherungen anbietet. Hier die auf der verlinkten Webseite hervorgehobenen Highlights dieser Versicherung.

  • Zeitgemässe Versicherungslösung für mittlere und grosse Unternehmen
  • Weltweite Absicherung gegen Kostenfolgen aufgrund von Datenverlusten und vielfältigen Cyber-Attacken 
  • Breite Deckung für Haftpflicht sowie Folgekosten im eigenen Betrieb
  • Sinnvolle Ergänzung Ihres internen Risikomanagements
  • Unterstützung durch spezialisierte Juristen und IT-Fachleute vor (Pre-Breach), während und nach Schadenereignissen (Post-Breach)
  • Modulare Versicherungsstruktur, bei der je nach Bedarf diverse Versicherungsbausteine zusammengestellt werden können

Die Versicherung schließt auch die Vermittlung an professionelle Dienstleister ein (siehe). Hier ist ein Screenshot der betreffenden Webseite, wo ein Experte sich über die Cyber-Risiken auslässt und ein USB-Stick als Gefahr im Logo der Webseite gezeigt wird.

Zurich-Versicherung: Cyber-Ernstfall

Verknüpft man die Aussagen des Artikels 'Nach der Cyber-Attacke – Cyber-Ernstfall: Warum Unternehmen auf externe Krisenprofis setzen sollten' mit der obigen Information, dass das eigene Marketing solche Sticks an Versicherungsmakler schickt, ist man bei diesem 'Krisenprofis' mit Sicherheit in guten Händen. Danke an den Blog-Leser für den Tipp.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

20 Antworten zu Riskantes Werbegeschenk: USB-Stick der Zurich-Versicherung

  1. Herr IngoW sagt:

    Da muss man also bevor man den Stick der "Zurich-Versicherung" einsteckt eine Versicherung abschließen die die Dateien auf dem Stick bewerben sollen oder? :-(

    Hätten sie ja gleich so in das Schreiben reinschreiben können. ;-)

  2. Rainer Friedrich sagt:

    Klasse Artikel, gleich mal einen Screenshot und Link in meinen Vortrag zu Datenschutz/DSGVO rein ;-)

  3. deoroller sagt:

    Mit so was macht man heutzutage nur noch Sammlern eine Freude. Für den normalen Gebrauch sind die Kapazitäten und Geschwindigkeiten zu gering.

    • Cmd.Data sagt:

      Wahrscheinlich sollen so die Lagerbestände bei den Chipherstellern abgebaut werden.

      Inzwischen sind die USB-Sticks von Sandisk langsamer als die vor 3 oder 4 Jahren erhältlichen. Die haben wohl auch Überbestände, die jetzt abgebaut werden.

      • Dekre sagt:

        …das kann sein. Beim PC-Händler "Saturn" gibt es externe USB-3-Festplatten von Western Digital (WD) vom Typ Elements mit 1TB und zusätzlich einen 32GB-USB-Stick von Scandisk. Das ist Original von WD und keine Zugabe von "Saturn".

  4. nook sagt:

    Verschickte Werbe Sticks "sollten" eigentlich wenig Reiz ausüben.

    Vor längerer Zeit sah ich einen Versuch bei dem präparierte Sticks "verloren" wurden. Und nun fasse sich jeder mal an die eigene Nase, wenn so ein Stick vor einem liegt: "Was mag da wohl drauf sein, wer hat den verloren …?"

    Na? … ;-)

  5. Cmd.Data sagt:

    Zitat: Die Firma IBM verbietet Mitarbeitern neuerdings die Verwendung von Speicherkarten und USB-Stick.

    Das gäbe bei uns (kleineres Unternehmen) einen RIESENaufstand.

    • Dekre sagt:

      Also ich habe es in meinem Kleinstunternehmen verboten, solche Werbe-Sticks ohne Genehmigung zu verwenden. Unternehmen bieten darauf Ihre Pressemappen etc. an. Die PDF-Dateien werden dann mehrfach überprüft und zur Verwendung auf dem PC abgespeichert. Der USB-Stick darf dann nicht mehr verwendet werden und wird vernichtet. Man kann diese auch nicht formatieren, hatte paar solche Fälle. Fremd-Werbe-USB-Sticks, auch diese no-name-Sticks, sind ein Sicherheitsrisiko.

      Günter hat hierzu auch schon berichtet. Das wäre dann das Ergebnis für diesen guten Blogartikel:
      https://www.borncity.com/blog/2017/05/17/rittal-werbegeschenk-usb-stick-der-als-hid-tastatur-agiert/

      Für meine Arbeit habe ich einige, aber doch dann Original gekaufte. man kommt nicht da vorbei. Ich habe einige sehr teure von Kingston. Diese sind aber so dick, dass an den Nebenanschluss dann keine ansteckbar sind.
      NB – Eine EDV-Versicherung für solche Fälle des Mißbrauchs habe ich auch, aber zum Glück nicht bei Zurich-Versicherung (ist generell ein etwas schwierigeres Versicherungsunternehmen).

  6. Buchhalter sagt:

    Unsere Kunden kann man fast alle in die Kategorie "Digital Illiterate" einordnen. Betreffend IT – Sicherheit möchte ich jedenfalls keinem von denen vertrauen.

    Einer dieser Kunden kommt mit einem USB – Stick, auf dem Daten sind (z.B. Journale einer Registrierkasse). Wenn ich diese Daten kopieren möchte, was würdet ihr tun?

    • dekre sagt:

      Das ist grenzwertig und kommt im täglichen Leben oft vor. Man sollte mit den Kunden klar und eindeutig eine Vereinbarung schließen und auch ihm auf das Risiko hinweisen. Das Risiko gilt dann auch umgegehrt. Man will ja keinen verprellen.
      Bei HP-Computer ist ein Sicherheitsprogramm von HP installiert, damit kann man USB-Sticks blocken. Im Jan 2018 habe ich einen neuen HP-Computer eingereichtet und auch habe über 1 Stunde gebraucht, um dann endlich herauszubekommen, dass die Voreinstellung bei diesem Programm es auf "USB-Sticks blocken" gestellt war. Es ist mir so nicht augefallen, weil Daten über Netzwerk und USB-Drucker funktionierten.

  7. Charles sagt:

    Kann man nicht einfach nach dem Einstecken,den Stick formatieren,also säubern,bevor man ihn öffnet?

  8. Alfred E. Neumann sagt:

    Jeder nicht völlig bescheuerte oder ahnungslose Administrator unterbindet seit gut 12 Jahren die automatische Installation neuer Geräte per
    [HKEY_LOCAL_MACHINE"SOFTWAREPoliciesMicrosoftWindowsDeviceInstallRestrictions]
    (siehe sowie lesenden/schreibenden/ausführenden Zugriff per
    [HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsRemovableStorageDevices]

    FYI: der bescheuerte Hinweis, ich würde der Verwendung von Cookies durch die "weitere" Nutzung der Seite zustimmen, ist DSGVO-widrig. STELL' DIESEN BLÖDSINN AB!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.