"USB-Schnittstelle als Sicherheitsrisiko

Der Rechner ist ausgeschaltet und mit einem Passwort gesichert. Eigentlich eine recht sichere Sache. Doch findige IT-Experten können dennoch an die geheimen Daten auf der Festplatte kommen ? ohne den Rechner zu demontieren. Mit der am PC offenliegenden USB-Schnittstelle stehen den Datendieben alle Tore offen. Davor warnt der Datenschutzbeauftragte des Landes Baden-Württemberg.

Im Tätigkeitsbericht für das vergangene Jahr beschreibt die Behörde die USB 2.0-Schnittstelle als deutliches Sicherheitsrisiko. ?Es besteht keine akute Gefahr, aber man sollte Vorsichtsmaßnahmen treffen?, kommentierte ein Sprecher des Datenschutzbeauftragten die Warnung gegenüber unserer Nachrichtenredaktion.
Binnen weniger Sekunden könne man über die USB-Schnittstelle die Sicherheitsfunktionen des Betriebssystems umgehen, komplette Datenpakete von der Festplatte kopieren. Denn einige Rechner ließen sich mit einem auf einem Speicherstick installierten Betriebsystem ohne Probleme booten. Anschließend könne auf die Festplatte ohne nennenswerte Probleme zugegriffen werden, da die Zugriffsrechte nicht für das alternative externe Betriebssystem vergeben seien. Schutzmaßnahmen könnten durch entsprechende Einstellungen im BIOS angewandt werden, so dass der externe Bootvorgang nicht ermöglicht und der Zugriff dadurch verweigert wird.
Datenschutzbeauftragter Baden Würtemberg"

Link: http://www.pc-magazin.de/common/nws/...ng.php?id=9686


Hmmm, was hilft?
Zunächst schadet ein BIOS-Passwort nicht; wirklich sensible Daten gehören ohnehin verschlüsselt. Und das mit einem vernünftigen Tool!

Gruß!
MyThinkTank

</font><blockquote>Zitat:</font><hr />Original erstellt von MyThinkTank:
Mit der am PC offenliegenden USB-Schnittstelle stehen den Datendieben alle Tore offen.</font>[/QUOTE]Ganz einfach. Du bootest mit einer Symantec Ghost 2003-Diskette und ziehst die Daten über USB ab.
</font><blockquote>Zitat:</font><hr />Schutzmaßnahmen könnten durch entsprechende Einstellungen im BIOS angewandt werden, so dass der externe Bootvorgang nicht ermöglicht und der Zugriff dadurch verweigert wird.</font>[/QUOTE]BS. Der Herr ...
</font><blockquote>Zitat:</font><hr />Datenschutzbeauftragter Baden Würtemberg"</font>[/QUOTE]möchte sich dringend das dritte der Immutable Laws of Security durchlesen.
</font><blockquote>Zitat:</font><hr />wirklich sensible Daten gehören ohnehin verschlüsselt.</font>[/QUOTE]Ack.

@Dr Prantl:

Äh, bin ich angesprochen?
Ich frage nur, weil Du mich zitiert hast; oder war das ein Versehen? Der obige Beitrag ist nicht von mir, sondern von dem genannten Link.

Und dass BIOS-Passwörter nicht der Weisheit letzter Schluss sind, ist -glaube ich - bekannt. Obwohl sich die BIOS-Hersteller schon mehr Mühe geben.

Deinen Link "immutable Laws" verstehe ich nicht. Was genau soll man dort lesen können? Ich komme da auf eine unübersichteliche MS-Seite.

Gruß!
MyThinkTank

</font><blockquote>Zitat:</font><hr />Original erstellt von MyThinkTank:
Äh, bin ich angesprochen?</font>[/QUOTE]Nein, bist du nicht.
</font><blockquote>Zitat:</font><hr />Deinen Link "immutable Laws" verstehe ich nicht.</font>[/QUOTE] </font><blockquote>Zitat:</font><hr />Law #3: If a bad guy has unrestricted physical access to your computer, it's not your computer anymore.



Oh, the things a bad guy can do if he can lay his hands on your computer! Here's a sampling, going from Stone Age to Space Age:

He could mount the ultimate low-tech denial of service attack, and smash your computer with a sledgehammer.
He could unplug the computer, haul it out of your building, and hold it for ransom.
He could boot the computer from a floppy disk, and reformat your hard drive. But wait, you say, I've configured the BIOS on my computer to prompt for a password when I turn the power on. No problem – if he can open the case and get his hands on the system hardware, he could just replace the BIOS chips. (Actually, there are even easier ways).
He could remove the hard drive from your computer, install it into his computer, and read it.
He could make a duplicate of your hard drive and take it back his lair. Once there, he'd have all the time in the world to conduct brute-force attacks, such as trying every possible logon password. Programs are available to automate this and, given enough time, it's almost certain that he would succeed. Once that happens, Laws #1 and #2 above apply
He could replace your keyboard with one that contains a radio transmitter. He could then monitor everything you type, including your password.
Always make sure that a computer is physically protected in a way that's consistent with its value – and remember that the value of a machine includes not only the value of the hardware itself, but the value of the data on it, and the value of the access to your network that a bad guy could gain. At a minimum, business-critical machines like domain controllers, database servers, and print/file servers should always be in a locked room that only people charged with administration and maintenance can access. But you may want to consider protecting other machines as well, and potentially using additional protective measures.

If you travel with a laptop, it's absolutely critical that you protect it. The same features that make laptops great to travel with – small size, light weight, and so forth – also make them easy to steal. There are a variety of locks and alarms available for laptops, and some models let you remove the hard drive and carry it with you. You also can use features like the Encrypting File System in Windows 2000 to mitigate the damage if someone succeeded in stealing the computer. But the only way you can know with 100% certainty that your data is safe and the hardware hasn't been tampered with is to keep the laptop on your person at all times while traveling.

</font>[/QUOTE] </font><blockquote>Zitat:</font><hr />
Was genau soll man dort lesen können? Ich komme da auf eine unübersichteliche MS-Seite.</font>[/QUOTE]Versuch es mal mit dem Explorer.

Aha, auf diesen (mir schon bekannten) Text bin ich nicht gekommen - als K-Meleon-Surfer.

Aber wie gesagt, letztlich hilft nur gute Datenverschlüsselung. Leider haben wir da unter WindowsXP ein kleines Freeware-Problem. Kommerzielle Programme sind closed source und damit nicht vertraulich. Und open source Verschlüsselungssoftware im Stile von E4M oder PGPdisk ist akute Mangelware unter XP. Und die älteren Sachen laufen nicht.

Gruß!
MyThinkTank

Eigentlich ziemlicher Schwachfug, zwar nicht falsch aber so neu wie der PC selbst.
JEDE Schnittstelle die zur Datenübertragung geeignet ist, ist auch zum unbefugten Datenübertragen geeignet. Gut mit USB2 und entsprechenden Treiber geht es schneller, aber sobald ein PC irgendwie anders als von der internen HD bootbar ist (ob Diskette, CD, USB, LAN) ziehe ich mit entsprechnder Kenntnis (ist nicht sehr anspruchsvoll) und Software über alle Datenübertragungssachnittsellen alles raus. Ob seriell über COM (zugegeben etwas langsam), LPT, USB 1 oder 2, LAN, Firewire.
Na ja, das PC-Magazin hat seine halbwegs BLÖD-Niveau-freien Jahre auch hinter sich gelassen.