Laut einer Analyse des Nationalen Testinstituts für Cybersicherheit (NTC) stellen Peripheriegeräte am Arbeitsplatz oftmals eine unterschätzte Angriffsfläche dar. Wie ein Test von rund 30 in der Schweiz weitverbreiteten Tastaturen, Headsets, Webcams oder Konferenzsystemen von namhaften Herstellern gezeigt hat, finden sich in vielen Lösungen Schwachstellen, darunter auch einige schwerwiegende.
Insgesamt urteilt das NTC, die meisten getesteten Produkte würden ein akzeptables bis gutes Sicherheitsniveau aufweisen, sofern sie sicher konfiguriert und die Firmware aktuell gehalten wird. Getestet wurden Geräte der Hersteller Logitech, Yealink, Jabra, HP, Eizo und Cherry. Im Rahmen der Untersuchungen wurden 60 Befunde festgestellt, darunter 13 schwerwiegende und drei der höchsten Kritikalitätsstufe. Die Lecks wurden den Herstellern gemeldet und seien mittlerweile grösstenteils auch behoben worden, heisst es im NTC-Bericht.
Als Beispiele für relevante Befunde wird etwa eine kritische Schwachstelle im Präsentationssystem EZCast Pro II genannt. Fest codierte Krypografie-Schlüssel erlaubten hier den Zugriff auf die Admin-Oberfläche und WLAN-Passwörter liessen sich aus öffentlichen Kennungen berechnen, wodurch ein Angreifer die Kontrolle über das Gerät übernehmen und Bildschirminhalte unverschlüsselt mitschneiden kann. Da der Hersteller auf die Meldung nicht reagierte, wurde das BACS eingeschaltet, das eine Warnung veröffentlichte. Bei einem Konferenzsystem wurde weiter eine verschlüsselte Funkübertragung für die Mikrofone verwendet, die so schwach konzipiert war, dass sie sich innert weniger Sekunden knacken liess. Weitere Schwachstellen wurden bei kabellosen Headsets ausgemacht, bei denen durch simultane Koppelungen die Anbindung von nicht autorisierten Geräten ermöglicht wird.
Unter dem Strich empfiehlt das NTC, die Beschaffung zu standardisieren und auf sichere Kanäle zu beschränken, Peripheriegeräte in das IT-Lifecycle- und Asset-Management aufzunehmen, bei Geräten wie Konferenzsystemen auf eine Netzwerksegmentierung zu setzen, in Bereichen mit erhöhtem Schutzbedarf auf kabelgebundene Lösungen zu setzen und last but not least die Mitarbeitenden für physische und organisatorische Risiken zu sensibilisieren.
Einen detaillierten Bericht zum Peripheriegeräte-Test findet sich auf der
Website des Nationalen Testinstituts für Cybersicherheit.
(rd)
