Wie Peripheriegeräte zur Schwachstelle für kritische Systeme werden

Optische Überprüfung der in den Peripheriegeräten verbauten Komponenten. (Source: zVg)

Optische Überprüfung der in den Peripheriegeräten verbauten Komponenten. (Source: zVg)

Eine Analyse des Nationalen Testinstituts für Cybersicherheit (NTC) entlarvt Schreibtisch-übliche Geräte als Sicherheitsrisiko. Das Schweizer Institut untersuchte während eines Jahres 30 drahtlose wie auch kabelgebundene Tastaturen, Headsets, Webcams und Konferenzsysteme, wie es in einer Mitteilung heisst. Die Forschenden testeten Produkte, die in Schweizer Arbeitsplätzen gut vertreten sind, insbesondere in kritischen Infrastrukturen eingesetzt werden und von etablierten Herstellern stammen. Darunter Logitech, Yealink, Jabra, HP, Eizo und auch Cherry. 

In Laufe der Untersuchung entdeckte das NTC 60 Schwachstellen, darunter 13 mit schwerwiegender und 3 mit kritischer Kritikalitätsstufe. Modernere Peripheriegeräte wiesen zwar bei sicherer Konfiguration und aktueller Firmware ein akzeptables Sicherheitsniveau auf. Dennoch steige das Risiko mit zunehmender Komplexität - beispielsweise bei Konferenzsystemen oder anderen IoT-Geräten - und beim Einsatz veralteter Funktechnologien. 

Die identifizierten Sicherheitslücken habe das Testinstitut den betroffenen Herstellern gemeldet. Von diesen wurden die Schwachstellen "mehrheitlich rasch behoben" wie es in der Mitteilung weiter heisst. Bei einem Fall habe der Hersteller aber nicht reagiert: "Bei einem drahtlosen Präsentationssystem übergab das NTC den Fall an das Bundesamt für Cybersicherheit (BACS), das daraufhin eine öffentliche Warnung veröffentlichte", wie das Institut schreibt. 

Schnittstelle für Angreifer

Anhand eines realen Szenarios während einer Videokonferenz veranschaulicht das NTC in der Mitteilung, wie konkret diese Risiken sind. Über Tastaturen werden Passwörter eingegeben und über Mikrofone und Webcams vertrauliche Gespräche übertragen. Unsichere Peripheriegeräte ermöglichen es Angreifern, bestehende Schutzmassnahmen zu umgehen. Die Geräten sind eine kritische Schnittstelle, über die sensible Informationen fliessen, wie das NTC erklärt. Die Kosten für professionelle Sicherheitsanalysen würden zudem den Anschaffungspreis solcher Geräte oft um ein Vielfaches übersteigen, fügt die Prüfstelle hinzu und spricht von einer "gefährlichen Asymmetrie".

Tobias Castagna, Leiter Testexperten beim NTC. (Source: zVg)

"Peripheriegeräte werden in der Praxis oft als reines Zubehör betrachtet und entsprechend nicht systematisch geprüft sowie nicht konsequent in bestehende Sicherheitskonzepte integriert", sagt Tobias Castagna, Leiter Testexperten beim NTC.

Empfehlungen zur Risikominimierung

Am Schluss der Analyse formuliert das NTC fünf allgemeine Empfehlungen zur Reduktion der Risiken beim Einsatz von Peripheriegeräten:

• Standardisierung und sichere Beschaffung über vertrauenswürdige Kanäle
• Aufnahme von Peripheriegeräten in das IT-Lifecycle- und Asset-Management
• Netzwerksegmentierung für netzwerkfähige Geräte wie Konferenzsysteme
• Bevorzugung kabelgebundener Lösungen in Bereichen mit erhöhtem Schutzbedarf
• Sensibilisierung der Mitarbeitenden für physische und organisatorische Risiken

Über die Analyse

Die Untersuchung erfolgte laut Mitteilung im Rahmen einer gemeinsamen Initiative des NTC mit Unterstützung von Behörden auf Bundes- und Kantonsebene sowie Organisationen aus dem Finanzsektor. Im öffentlichen Bericht der Analyse (PDF) habe das Nationalen Testinstituts für Cybersicherheit bewusst auf technische Details und produktbezogene Schwachstellen verzichtet. Zudem merkt das Institut an: "Um die Unabhängigkeit der Resultate zu gewährleisten, waren die Hersteller der getesteten Geräte weder an der Auswahl noch an der Durchführung der Tests beteiligt und wurden erst im Rahmen der vertraulichen Meldung zur Behebung der Schwachstellen kontaktiert." 

Das könnte Sie auch interessieren: Eine Untersuchung von Irregular zeigt, dass von LLMs generierte Passwörter zwar scheinbar beeindruckend aussehen, aber dennoch unsicher sind. Lesen Sie hier mehr dazu.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.