Bundesamt für Sicherheit in der Informationstechnik

M 4.200 Umgang mit USB-Speichermedien

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Über die USB-Schnittstelle lassen sich eine Vielzahl von Zusatzgeräten an PCs anschließen. Beispiele sind Festplatten, CD / DVD -Brenner und Memory-Sticks. USB-Memory-Sticks bestehen aus einem USB-Stecker und einem Speicherchip. Trotz großer Speicherkapazität sind sie so handlich, dass sie beispielsweise in Form von Schlüsselanhängern hergestellt werden und in jede Hosentasche passen. Die Preise sind so stark gefallen, dass USB-Sticks auch im Privatbereich Disketten überflüssig machen können. In modernen Betriebssystemen sind die Treiber für USB-Massenspeichergeräte bereits integriert, so dass zum Betrieb keine Softwareinstallation mehr notwendig ist. Im Allgemeinen bezieht sich diese Maßnahme nicht ausschließlich auf USB-Speichermedien, sondern generell auf alle USB-Geräte, die Daten speichern können. Unter anderem können auch USB-Drucker und USB-Kameras zum Speichern der Daten "missbraucht" werden. Dies gilt insbesondere für "intelligente" USB-Geräte wie PDAs, die jede beliebige USB-Identität annehmen können, wenn sie mit spezieller Software ausgestattet sind.

Ähnlich wie über Disketten können über USB-Speichermedien unkontrolliert Informationen und Programme ein- oder ausgelesen werden. Daher ist mit USB-Speichermedien generell genauso wie mit herkömmlichen Speichermedien umzugehen. Der Zugriff auf Diskettenlaufwerke kann relativ einfach verhindert werden (siehe M 4.4 Geeigneter Umgang mit Laufwerken für Wechselmedien und externen Datenspeichern ). Der Betrieb von USB-Speichermedien lässt sich dagegen nur sehr schwer verhindern, wenn die USB-Schnittstelle für andere Geräte genutzt wird. So werden beispielsweise Notebooks ausgeliefert, die zum Anschluss einer Maus nur die USB-Schnittstelle zur Verfügung stellen. Deswegen ist es meist nicht sinnvoll, ein "USB-Schloss" zu verwenden oder die Schnittstelle durch andere mechanische Maßnahmen zu deaktivieren. Die Nutzung von Schnittstellen sollte daher durch entsprechende Rechtevergabe auf Ebene des Betriebssystems oder mit Hilfe von Zusatzprogrammen geregelt werden. Alternativ kann das Hinzufügen von Geräten überwacht werden. Beim Anschluss von Datenspeichern an externen Schnittstellen werden oftmals vom Betriebssystem Treiber bzw. Kernelmodule geladen oder Einträge in Konfigurationsdateien (wie der Windows-Registry) erzeugt, die detektiert werden können. Nachdem die Veränderungen festgestellt wurden, kann dann beispielsweise eine Protokolldatei erstellt oder ein Administrator benachrichtigt werden. Dies alles kann jedoch nur mit Hilfe von Zusatzsoftware realisiert werden. Hierfür ist entweder eine Eigenentwicklung oder ein Drittprodukt notwendig.

Im Folgenden werden die technischen Details für Windows 2000 und XP beschrieben.

Gerätetreiber deaktivieren

  • Windows 2000
    Unter Windows 2000 kann das Starten des Gerätetreibers für USB-Speichermedien deaktiviert werden. Mit dieser Möglichkeit wird dem Standard-Benutzer die Möglichkeit, USB-Massenspeichergeräte hinzuzufügen, komplett entzogen, da er die Startart des Gerätetreibers nicht verändern kann. Auch einem Standard-Benutzer mit erschlichenem Administratorkennwort wird der Datendiebstahl zumindest schwerer gemacht.
    USB-Sticks werden unter Windows 2000 als USB-Massenspeichergeräte registriert. Zum Ausführen wird der Gerätetreiber als Dienst gestartet.
    In der Registrierung kann hinterlegt werden, wie der Dienst gestartet wird (Manuell, Automatisch oder Deaktiviert). So wird unter HKLM/System/CurrentControlSet/Services der Dienst USBStor als Gerätetreiber für die USB-Massenspeichergeräte bereitgestellt. Die unterschiedlichen Startarten können unter dem Unterschlüssel Start eingestellt werden. Die Festlegung, dass das Starten des Gerätetreibers USBStor deaktiviert (0x00000004) ist, verhindert, dass Massenspeichergeräte installiert oder hinzugefügt werden können.
  • Windows XP
    Windows XP verhält sich anders als Windows 2000. Wird ein dem Rechner bekanntes Massenspeichergerät hinzugefügt, wird der Treiber geladen, und wenn in der Registrierung die Startart auf deaktiviert steht, wird der Einsatz des Massenspeichergeräts verhindert. Sobald jedoch ein dem Rechner unbekanntes USB-Massenspeichergerät hinzugefügt wird, werden neue Treiber installiert und die Einstellungen des Dienstes USBStor in der Registrierung überschrieben. Die Startart wird dabei auch wieder zurückgesetzt, so dass unter Windows XP der Einsatz von USB-Massenspeichergeräten nicht global verhindert werden kann.
    Ab Service Pack 2 bietet Windows XP die Möglichkeit, zumindest den Schreibzugriff auf USB-Blockspeichergeräte zu unterbinden. Damit wird die USB-Schnittstelle einem CD-ROM -Laufwerk gleichgesetzt, das nur das Lesen eines Mediums erlaubt. Die Deaktivierung des Schreibzugriffs erfolgt durch das Erstellen des Registrierungs-Schlüssels HKLM\System\CurrentControlSet\Control\StorageDevicePolicies\WriteProtect, der auf den Wert 1 gesetzt wird.

Überwachen des Rechners

  • Windows 2000/XP
    Sehr vielversprechend ist unter beiden Betriebssystemen die Möglichkeit, die Registrierung zu überwachen und damit nur auf das Hinzufügen zu reagieren. Ein Missbrauch würde sofort auffallen.
    Wenn das Hinzufügen von neuen Geräten beobachtet wird, können Aktionen initiiert werden. Jedes neue USB-Gerät wird in der Registrierung unter HKLM\System\CurrentControlSet\Enum\USB aufgeführt. Mit Hilfe eines Skriptes oder Programms könnte dieser Schlüssel daraufhin überwacht werden, ob ein Gerät unerlaubt hinzugefügt wird. Es kann eine Positivliste für erlaubte Geräte in dem Programm abgearbeitet werden, so dass auf möglicherweise benötigte Geräte nicht reagiert wird. Wird das unerlaubte Hinzufügen eines Geräts erkannt, kann eine Aktion (Herunterfahren des Systems, Benachrichtigen des Administrators per net send oder E-Mail) ausgeführt werden. Für eine solche Überwachung der Registrierung ist spezielle Software notwendig, die ein Drittprodukt sein oder aus Eigenentwicklung stammen kann.

Prüffragen:

  • Wird der Anschluss von USB -Geräten protokolliert und werden diese Protokolle regelmäßig ausgewertet?

Stand: 13. EL Stand 2013