Kann ein "Monteur" einfach schädliche Hardware einbringen?

[Crimson_Sabbath]

Moin zusammen, seit einigen Tagen kreist ein Gedanke in meinem Kopf:

In unserem Unternehmen kommen und gehen Monteure. Viele sind den INstandhaltern bekannt oder werden durch unser PErsonal begleitet.
Aber gerade die Druckermonteure oder auch Lieferanten für Büromaterial sind nicht bekannt und laufen auch ohne Begleitung durch das Unternehmen.

Wäre es für diese nicht ein leichtes schädliche Hardware einzubringen? Bei dem Thema bin ich nicht firm, aber wäre ggfs. schon eine freie LAN-Dose nicht die Möglichkeit um ein Gerät anzuschließen um auf das Unternehmensnetzwerk zuzugreifen? (Mir fällt gerade der Name nicht ein, da gab es doch ein paar Fälle in der Vergangenheit, oder nicht?). Und selbst wenn das nicht ist: Mal eben einen Hardware-Keylogger an einer Tastatur angeschlossen ist auch nicht prickelnd.

 

[Archon2k5]

Denke ich mir auch oft...
Man könnte auch den Drucker manipulieren und alle gedruckten/gescannten Dokumente weiterleiten.

 

[Chesterfield]

Können durchaus vor allem wenn sie sicherheitrelevantes Wissen haben. deshalb ist da vertrauen untereinander ( betrieb zu betrieb) auch unheimlich wichtig. jeder einzelne mitarbeiter kann da zum Risiko werden. nicht paranoid werden aber dennoch Vorsicht walten lassen

 

[eYc]

Ich bin selbst u A als „Druckermonteur“ in vielen Unternehmen tätig, und kann dir versichern, dass du ein eigenes Notebook höchstens in‘s Gast-WLAN kriegst, um in‘s Internet zu kommen, aber nie per LAN-Kabel in‘s Intranet des Kunden.

 

[Nilson]

Es gibt gewisse Methoden sich etwas davor zu schützen, etwa Authentifizierung via 802.1X oder nicht genutzte Switchports zu deaktivieren.
Aber wenn jemand unbeaufsichtigt Zugriff bekommt ist meist vorher schon was schief gelaufen.

früher wurde uns z. b. post direkt an den Platz gebracht, heute läuft das über eine interne Poststelle.

 

[Lawnmower]

Klar wäre sowas möglich.

Da nützt mEn nur ein mehrschichtiger "Verteidungsplan": Das fängt z.B. damit an dass man Drucker in ein eigenes Netz steckt und diese nur kontrolliert über definierte Ports kommunzieren können (sicher kein Zugriff auf Server und Clients, umgekehrt natürlich schon).
Oder dass man keine unbekannten Geräte ans Netz hängen darf, das regelt ein Network Access Control Service der aber gesamtheitlich implementiert sein muss.
Video-Überwachung wäre auch eine Option um Vorfälle nachvollziehen zu können und abschreckend zu wirken - das muss ja nicht gleich jedes Büro sein, aber allenfalls "Hotspots" wie etwa die Tür zum Serverraum, Ein- und Ausgänge, etc.
USB Geräte kann man ebenfalls einschränken was angeschlossen werden darf.
Mitarbeiter anweisen beim verlassen des Arbeitsplatzes den Desktop zu sperren; mit kompatiblen Webcams die z.B. Windows Hello unterstützen, kann man das teilweise sogar automatisieren.
Lieferanten die häufig da sind und man kennt, erhalten einen persönlichen Zugangsbadge - dann weiss man wann die im Haus sind und ob sie wieder gegangen sind.
Es gibt sicher noch zig weitere Massnahmen.
Kurzum: Da brauchst ne Gesamtstrategie um das Thema einigermassen sinnvoll behandeln zu können.

 

[Hellyeah]

Fragt sich, ob es sich wirklich für den Angreifer lohnt so ein Aufwand zu betreiben. Weitaus einfacher ist normalerweise das Fishing, Sozial Engineering und "Software" Hacking.

 

[floxorius]

Ich würde mal sagen einer der klassischsten Wege, noch einfacher ist nur der USB Stick auf dem Führungskräfteparkplatz. Auch nicht unüblich das sich jemand als Kaffeemaschinenreiniger oder Druckerservice ausgibt und einfach allein rein gelassen wird.
Keylogger sind schon hart physische Angriffe, wo man nicht so viel machen kann, aber Netzwerke lassen sich z.B. mit MAC-Filtern gut absichern. Ist natürlich viel Arbeit alle Geräte zu verwalten aber in sensiblen Bereichen leider unerlässlich.
Wer weiter gehen will hat Micro Segmentierte Subnetze und interne Firewalls. Updates installieren, alte Protokolle abschalten, aktuelles EDR und ein gute Rollenkonzepte nach 0 Trust können enorm helfen solche Angriffe im Keim zu ersticken. Grade für kleinere Firmen ist der Aufwand leider oft unbezahlbar.

 

[Crimson_Sabbath]

Ich bin selbst u A als „Druckermonteur“ in vielen Unternehmen tätig, und kann dir versichern, dass du ein eigenes Notebook höchstens in‘s Gast-WLAN kriegst, um in‘s Internet zu kommen, aber nie per LAN-Kabel in‘s Intranet des Kunden.

^^ Das sollte nicht abwerdend gemeint sein.

Mir ging es aber auch eher um ein technisches Gerät. Aber anscheinend ist dies, bei einer durchdachten und Umfangreichen Strategie erst gar nicht möglich.

 

[catch 22]

Aber gerade die Druckermonteure oder auch Lieferanten für Büromaterial sind nicht bekannt und laufen auch ohne Begleitung durch das Unternehmen.

Firmenfremde lässt man generell nicht unbeaufsichtigt durch das Gebäude laufen. Lieferanten (von z.B. Büromaterial) sollte das Material in der Poststelle oder einem ggf. vorhandenem Materiallager (oder bei kleineren Firmen ohne Poststelle, z.B. am Empfang) abliefern, da diese auch von Extern erreichbar sind und üblicherweise auch die Stelle sind, an der die Mitarbeiter Büromaterial anfordern / abholen.
Bestellte Techniker werden am Empfang abgeholt und dorthin zurück begleitet. Nicht bestellte oder zumindest vom Wartungspartner nicht angekündigte Techniker" gibt es nicht -> werden nicht eingelassen

wäre ggfs. schon eine freie LAN-Dose nicht die Möglichkeit um ein Gerät anzuschließen um auf das Unternehmensnetzwerk zuzugreifen?

ungenutzte Netzwerkdosen sind üblicherweise nicht gepatcht / sollten nicht gepatcht sein, da man ansonsten ein Vermögen für eine nicht / nie benötigte Netzwerkinfrastruktur ausgibt.
Blieben natürlich noch die Netzwerkdosen der Drucker selber, allerdings sollte das Netzwerk intern natürlich auch durch Rechtestrukturen und dafür erforderliche Benutzerkonten gesichert sein, so dass ein einfacher Zugriff nicht ohne weiteres Möglich ist.

Wenn eine Firma das anders handhabt, sollte sie ihre Verfahrensweisen dringend auf den Prüfstand stellen! Egal ob es ein kleiner Handwerksbetrieb ist, ein Anwaltsbüro oder die Zentrale einer Handelskette, alle müssen ihre diverse Daten (von Mitarbeitern / Kunden / Lieferanten / Produkten / ...) schützen

 

[Crimson_Sabbath]

Bei uns sind die normalen Doppeldosen verbaut sind. Beide Ausgänge sind gepatched. Generell nicht benutzte Dosen sind offline. Ggfs. spreche ich das mal intern an, wäre zumindest mal Interessant zu wissen wie wir da aufgestellt sind

 

[CoMo]

Was du beschreibst, fällt unter den Oberbegriff Supply chain attack. Je nachdem, wie sensibel eure Daten sind, gibt es Möglichkeiten, diesen Angriffsvektor zu minimieren. In sicherheitsrelevanten Bereichen ist das auch vorgeschrieben. Im Bundestag z.B. darf niemand Hardware ohne vorherige Sicherheitsüberprüfung installieren.

 

[Darknesss]

Bei uns sind die normalen Doppeldosen verbaut sind. Beide Ausgänge sind gepatched. Generell nicht benutzte Dosen sind offline. Ggfs. spreche ich das mal intern an, wäre zumindest mal Interessant zu wissen wie wir da aufgestellt sind

Die sind bei allem was über einen kleineren Handwerksbetrieb hinausgeht mit Sicherheit geschützt.
Da kannst du auch an aktive Dosen anstecken was du willst, da geht nichts.

Wenn dann musst du dir mehr Gedanken um die Geräte oder den Lieferanten an sich machen.
Pläne, technische Zeichnungen, etc die irgendwo hängen oder liegen sind schnell mal abfotografiert.
Geräte/Hardware selbst könnte manipuliert sein.

In manchen Betrieben läuft der Drucker auch erst an, wenn am Drucker das Kennwort eingegeben wird.
Nicht das da in der Zwischenzeit jemand das in die Finger kriegt.

 

[chrigu]

Moin zusammen, seit einigen Tagen kreist ein Gedanke in meinem Kopf:

Zu viele Krimis und agentenfilme angekuckt?

Natürlich kann jemand in ein Betrieb kommen und verseuchte Hardware einstecken. Aber was ist der Nutzen? Arbeitest du in einer hochsicherheitseinrichtung? Wohl kaum, sonst wäre dir der Umgang schon erklärt worden.

 

[Crimson_Sabbath]

a) In der Vergangenheit gab es große Sicherheitslücken die zu einem Problem wurden
b) großes Unternehmen = träges Unternehmen
c) keine Hochsicherheitseinrichtung, aber höchst sensible und technologisch wertvolle Daten
d) wie häufig es schon zu einem "Ne, das sollte doch gar nicht möglich sein" kam als ich auf was hingewiesen habe (einfache Passwörter, gleiche Passwörter nach Passwortaktualisierung, USB-Ports offen,...)

Ich bin für Diskussionen offen (auch gerne solche die eigene Unwissenheit aufzeigen, aber das ist schon stark unkonstruktiv^^

 

[IBISXI]

Normalerweise hat man ein gestaffeltes Sicherheitskonzept.
Je wichtiger der Bereich, desto strengere Vorschriften.

Alleiniger Zugriff auf eine LAN Dose bringt erstmal nichts.
Erstmal muss der Port freigeschaltet werden am Switch und Netzkonfig vorgenommen werden. (IP/GW/Firewall)
Netzwerk lässt sich mit Firewall/MAC Filter/Zertifikaten absichern.
Selbst wenn ein Drucker ins Internet darf, kann man immernoch festlegen wohin er sich verbinden darf.

Und warum am physischen Netz zu schaffen mache, vlllt. gibt es WIFI.

Bei einer Metzgerei oder einem Holzverarbeitenden Betrieb gibt es andere Vorschriften wie bei einer Chipfabrik oder einem AKW.

Bei letzterem läuft niemand alleine rum.
Da kommst Du ohne persönliche Freigabe bzw. Zertifizierung nicht mal aufs Gelände.

 

[TorenAltair]

In der Theorie gibt es viele Konzepte, die wie von anderen erwähnt, eine Gesamtstrategie erfordern. In der Praxis, gerade bei vielen Mittelständlern, ist davon in vielen Fällen kaum etwas umgesetzt.

 

[chrigu]

a) In der Vergangenheit gab es große Sicherheitslücken die zu einem Problem wurden

Welche?

 

[Aduasen]

Die Frage ist im Prinzip:
In was für einem Unternehmen bist Du tätig und hat das eine 'vernünftige' IT Abteilung?
Ich würde bei solchen Bedenken erst einmal das Gespräch mit dem (oder der) Vorgesetzten suchen und später ggf. mit den IT Leuten reden.

 

[BeBur]

Ich bin für Diskussionen offen (auch gerne solche die eigene Unwissenheit aufzeigen, aber das ist schon stark unkonstruktiv^^

Ich find's jetzt auch nicht komplett abwegig. Wirtschaftsspionage verursacht jährlich großen Schaden, meist wird das ohne physikalischen Zugriff realisiert, aber ist soweit ich weiß jetzt auch nicht unbekannt, irgendwie physikalisch vor Ort aktiv zu sein. Herumliegende USB-Sticks mit Malware fallen mir da spontan ein.
Und einmal drin wird das in vielen Unternehmen vermutlich sehr lange nicht bemerkt.