Foto: Fotolia, Michael Höfner
Eine Frage stellt sich: Wer hat hier mitgeboten und den Preis für 57 gebrauchte und verlorene USB-Sticks, von Pendlern in Zügen rund um Sydney liegen gelassen, auf über 300 Euro hochgetrieben? Das ist mehr Geld als die Flash-Laufwerke neu kosten. Schon möglich, dass jemand sich sensible Firmendaten oder persönliche Informationen auf diesen Datenträgern erhoffte. Gefunden hätte er so einiges, das sich Cyberkriminelle hätten zu Nutze machen können.
Am Ende aber erhielten die Sicherheits-Experten von Sophos den Zuschlag auf der jährlichen Fundsachen-Auktion der australischen Rail Corporation New South Wales aus dem Raum Sydney, wie sie im Sicherheitsblog "Nakedsecurity" berichten. Von den 57 gekauften Sticks fielen sieben unter anderem wegen Beschädigungen aus der Analyse. Auf den übrigen 50 fanden die Tester insgesamt 137 Gigabyte Speicherplatz - und manche überraschende Erkenntnis.
Zwei Drittel der USB-Laufwerke mit Malware infiziert
-
1. Hochgradig verseucht: 33 der 50 brauchbaren Sticks enthielten Würmer, Viren und andere Malware. Insgesamt waren 62 Dateien infiziert. Zwar fanden die Sophos-Experten keine Malware, die einem Mac schaden könnte. Interessanterweise gab es aber Windows-Malware auf USB-Laufwerken, die anscheinend häufig auf OS X-Systemen benutzt worden waren.
-
2. Sensible Daten: Aus Respekt vor der Privatsphäre der ehemaligen Besitzer der verlorenen USB-Sticks wühlten die Sicherheitsexperten nicht sehr tief in ihren persönlichen Daten. Aber selbst eine grobe automatisierte Analyse lieferte reichlich Informationen über die Identitäten der Besitzer, ihre Familie, Freunde und Arbeitskollegen - zu finden beispielweise in den Metadaten der Word- und Powerpoint-Dokumente. Am häufigsten lagen Bilder auf den USB-Sticks, gefolgt von Quellcodes, gespeicherten Internetseiten, Dokumenten, ausführbaren Programmen, Text-Dateien, PDFs und anderen Dateien.
-
3. Verschlüsselung fehlt: Niemand von den Besitzern hatte sich die Mühe gemacht, Daten auf ihren USB-Sticks oder die Geräte selbst zu verschlüsseln. So konnten die Sophos-Leute sich ungehindert Steuerbescheide ansehen, Notizen von Aktivisten-Treffen, CAD-Zeichnungen von Arbeitsprojekten oder den Quellcode von Software oder Internetseiten. Sie warnen: Wer will, kann diese Daten auf dem Schwarzmarkt für viel Geld abtreten, wenn er sie an Kriminelle verkauft.
Steuerbescheide, Quellcodes und Firmen-Dokumente
Als Vorsichtsmaßnahme rät Sophos daher, wie nicht anders von einem Sicherheits-Anbieter zu erwarten, die Antiviren-Software immer auf dem aktuellen Stand zu halten. Aber vor allem: Daten zu verschlüsseln. Etwas zu verlieren, das ist menschlich. Aber Firmen können es sich nicht erlauben, dass durch die Unachtsamkeit ihrer Mitarbeiter wichtige Unternehmensdaten in die Hände der Konkurrenz oder von Hackern geraten. USB-Sticks sind bei der Mobile Security jedoch eine vergleichweise kleine Baustelle - im Vergleich zum Unternehmenseinsatz von Smartphones und Tablets.