{"id":25897,"date":"2020-12-16T13:25:37","date_gmt":"2020-12-16T11:25:37","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=25897"},"modified":"2022-05-05T14:13:13","modified_gmt":"2022-05-05T12:13:13","slug":"evil-maid-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/evil-maid-attack\/25897\/","title":{"rendered":"Wie Sie einen „Evil Maid“- Angriff verhindern"},"content":{"rendered":"

Eine \u201eEvil Maid\u201c-Attacke<\/a>, also wenn das \u201eDienstm\u00e4dchen\u201c den Computer hackt, ist so ziemlich die primitivste Art von Angriff, die es gibt, aber sie ist auch eine der unangenehmsten. Stellen Sie sich einfach vor, dass die Reinigungskraft Sie bittet, kurz den Raum zu verlassen, um was auch immer zu tun. Weil Sie nat\u00fcrlich ein hilfsbereiter Mensch sind, tun Sie dies bereitwillig. Und weil es schnell gehen muss, lassen Sie Computer & Co. der Einfachheit halber an. Und jetzt kommt die dunkle Seite des Dienstm\u00e4dchens zum Vorschein. Denn die hackende Putzkraft versucht geheime Informationen zu stehlen oder Spyware und Tools f\u00fcr den Fernzugriff zu installieren, um Zugang zum Unternehmensnetzwerk zu erhalten. Hier erfahren Sie, wie Sie sich vor dieser Art von Eindringlingen sch\u00fctzen k\u00f6nnen.<\/p>\n

Ein klassisches Beispiel<\/h2>\n

Im Dezember 2007 reiste eine Delegation des US-Handelsministeriums zu Gespr\u00e4chen \u00fcber eine gemeinsame Strategie zur Bek\u00e4mpfung der Piraterie nach Peking. Nach der R\u00fcckkehr in die USA befand sich jedoch auf dem Laptop des Handelsministers Spyware<\/a>, deren Installation physischen Zugang zum Computer erfordert h\u00e4tte. Der Besitzer des Laptops sagte, er habe das Ger\u00e4t w\u00e4hrend der Verhandlungen st\u00e4ndig bei sich gehabt und es in seinem Hotelzimmer im Safe\u00a0 w\u00e4hrend des Essens im Erdgeschoss zur\u00fcckgelassen.<\/p>\n

Theoretisch kann ein Profi ein Ger\u00e4t innerhalb von 3 bis 4 Minuten kompromittieren, aber so etwas kommt h\u00e4ufig vor, wenn der Computer unbeaufsichtigt und nicht gesperrt (oder nicht kennwortgesch\u00fctzt) bleibt. Aber selbst mit grundlegenden Sicherheitsma\u00dfnahmen hat ein \u201eEvil Maid\u201c-Angriff immer noch gute Chancen.<\/p>\n

Wie Angreifer Zugang zu Informationen erhalten<\/h2>\n

Es gibt eine Vielzahl von M\u00f6glichkeiten, an kritische Informationen zu gelangen. Sie h\u00e4ngen vom Alter und der Sicherheitssoftware auf dem Computer ab. Beispielsweise sind \u00e4ltere Maschinen, die Secure Boot nicht unterst\u00fctzen, von externen Laufwerken startf\u00e4hig und daher gegen \u201eEvil Maid\u201c-Angriffe schutzlos. Moderne PCs neigen dazu, Secure Boot standardm\u00e4\u00dfig aktiviert zu haben.<\/p>\n

Kommunikationsanschl\u00fcsse, die den schnellen Datenaustausch oder die direkte Interaktion mit dem Ger\u00e4tespeicher unterst\u00fctzen, k\u00f6nnen als Abzweigungen dienen, um pers\u00f6nliche oder Firmengeheimnisse zu extrahieren. Thunderbolt zum Beispiel erreicht seine hohe Daten\u00fcbertragungsgeschwindigkeit durch direkten Zugriff auf den Speicher \u2013 was Angriffen durch \u201eb\u00f6sartige Dienstm\u00e4dchen\u201c T\u00fcr und Tor \u00f6ffnet.<\/p>\n

Letzten Fr\u00fchling erz\u00e4hlte der Computersicherheitsexperte Bj\u00f6rn Ruytenberg von einer Methode, die er gefunden hatte, um jedes Thunderbolt-f\u00e4hige Windows- oder Linux-Ger\u00e4t zu hacken<\/a>, selbst wenn es gesperrt ist und Verbindungen von unbekannten Ger\u00e4ten \u00fcber externe Ports deaktiviert sind.\u00a0 Ruytenbergs Methode, Thunderspy genannt, geht von einem physischen Zugriff auf das Ger\u00e4t aus und erfordert das Neuschreiben der Firmware des Controllers.<\/p>\n

Bei Thunderspy muss der Angreifer den Thunderbolt-Chip mit seiner Version der Firmware neu programmieren. Die neue Firmware deaktiviert den eingebauten Schutz, und der Angreifer erh\u00e4lt die volle Kontrolle \u00fcber das Ger\u00e4t.<\/p>\n

Theoretisch behebt die Richtlinie zum Schutz des Kernel-Direktspeicherzugriffs die Schwachstelle, aber nicht jeder nutzt sie (und diejenigen mit Windows-Versionen kleiner als 10 k\u00f6nnen es nicht). Intel k\u00fcndigte jedoch eine L\u00f6sung f\u00fcr das Problem an: Thunderbolt 4.<\/p>\n

Als Angriffskanal kann ebenfalls der gute alte USB-Stick dienen. Ein Miniaturger\u00e4t, das in einen USB-Anschluss eingesteckt wird, wird aktiv, wenn der Benutzer den Computer einschaltet und einen BadUSB-Angriff ausf\u00fchrt.<\/p>\n

Falls die Informationen, hinter denen sie her sind, besonders wertvoll sind, k\u00f6nnten Cyberkriminelle sogar die schwierige und kostspielige Mission wagen, das Ger\u00e4t zu stehlen und es durch ein \u00e4hnliches zu ersetzen, das bereits Spyware enth\u00e4lt. Sicher, das Spoofing wird fr\u00fch genug aufgedeckt werden, aber h\u00f6chstwahrscheinlich erst, nachdem das Opfer sein Passwort eingegeben hat. Gl\u00fccklicherweise ist es, wie wir bereits sagten, sowohl schwierig als auch kostspielig, diesen Weg zu gehen.<\/p>\n

Wie Sie Ihre Risiken minimieren k\u00f6nnen<\/h2>\n

Die einfachste und zuverl\u00e4ssigste Art, sich vor \u201eEvil Maid\u201c-Angriffen zu sch\u00fctzen, besteht darin, Ihr Ger\u00e4t dort aufzubewahren, wo nur Sie Zugriff darauf haben. Es nicht in einem Hotelzimmer liegen zu lassen, kann keinesfalls schaden. Sollten Ihre Mitarbeiter jedoch mit Arbeitslaptops auf Gesch\u00e4ftsreisen gehen m\u00fcssen, finden Sie hier einige Ma\u00dfnahmen, die Sie ergreifen k\u00f6nnen, um das Risiko zu mindern:<\/p>\n