Mit der zunehmenden Abhängigkeit der Unternehmen von der Technologie ist auch das Verständnis für und das Wissen um die damit verbundenen Sicherheitsrisiken gewachsen - aber in der heutigen Gesellschaft mit so viel Konnektivität und digitaler Kommunikation sind die Unternehmen noch lange nicht völlig sicher. Es ist ein weit verbreiteter Irrglaube, dass die größten Sicherheitsrisiken von IT-Geräten in der Software und in Benutzerfehlern liegen, wohingegen die Besorgnis über die Risiken der Hardware und ihrer Verwendung zunimmt.
Die Risiken von nicht autorisierten Ladekabeln
Die meisten Unternehmen stellen ihren Mitarbeitern zwar Hardware für die digitale Arbeit zur Verfügung, doch beschränkt sich diese oft auf einen einzelnen Computer oder Laptop, ein Smartphone und ein Ladegerät, alle erforderlichen Bildschirme und/oder zusätzliche Speichermöglichkeiten. Es gibt in der Regel wenig bis gar keine Kontrolle über Gegenstände, die über USB- oder Ladekabel an solche Geräte angeschlossen werden - und dennoch ist eines der häufigsten eskalierenden Sicherheitsprobleme mit nicht autorisierten Ladekabeln verbunden.
O.MG Cables, die 2019 von einem Entwickler für Verizon Media entwickelt wurden, sind Blitzladekabel, die in der Lage sind, Daten von dem Gerät, an das sie angeschlossen sind, zu hacken und herunterzuladen. Die Technologie, die für die Verwendung durch IT-Sicherheitsexperten zum Schutz vor Schwachstellen gedacht ist, wurde schnell angenommen und angepasst - und für nur 100 US-Dollar an Hersteller weitergegeben.
Daher ist diese Hackertechnologie weit verbreitet und wird nun häufig als billige Ladekabel an ahnungslose Opfer verkauft. Wenn ein Angestellter eines Unternehmens ein solches Kabel an sein Arbeitstelefon oder -gerät anschließt, können alle Informationen leicht heruntergeladen und an einen Dritten weitergegeben werden, in der Regel ohne dass der Angestellte oder das Unternehmen etwas von einer solchen Datenverletzung mitbekommt.
Wie funktionieren Hacking-Kabel?
Bei diesen Hacking-Kabeln handelt es sich um modifizierte Lightning-Kabel, die genauso aussehen, wie man es von einem Standard-Ladekabel erwarten würde. In den USB-Anschluss ist jedoch ein drahtloser Sender eingebaut. Dieser Sender ermöglicht es einem Drittanbieter, sich mit dem Kabel zu verbinden und Daten von dem Gerät herunterzuladen, an das es angeschlossen ist. Sobald es physisch an ein Gerät angeschlossen wurde, benachrichtigt der drahtlose Sender den Drittanbieter, der dann über ein auf seinem Gerät installiertes Dashboard Zugriff darauf hat.
In vielen, aber nicht allen Fällen ermöglicht der Sender sowohl das Herunter- als auch das Hochladen von Daten, so dass ein Dritter nicht nur auf die Daten des Geräts zugreifen, sondern auch eigene Daten wie Viren oder Malware darauf installieren könnte. Auf vielen Kabeln sind Programme vorinstalliert, die jedes Anzeichen ihrer Anwesenheit zerstören, sobald genügend Informationen heruntergeladen wurden.
Wie groß ist das Risiko, dass Kabel gehackt werden?
Dies ist natürlich ein großes Sicherheitsrisiko und könnte enorme rechtliche, rufschädigende, finanzielle und sicherheitsrelevante Folgen haben. Alle unverschlüsselten Daten, die auf einem Gerät gespeichert sind, in das (versehentlich oder anderweitig) ein Hacking-Kabel eingesteckt wird, sind dem Risiko ausgesetzt, dass Daten entwendet und andere Software darauf installiert wird.
Genaue Zahlen liegen zwar nicht vor, aber man schätzt, dass etwa 74 % der Unternehmen in den USA mehr als 1.000 Dateien auf ihren Geräten liegen haben, von denen viele sensible Informationen enthalten können. Wenn diese Dateien ungeschützt bleiben, besteht die Gefahr, dass sie heruntergeladen werden.
In der Tat kann es schwierig sein, den Mitarbeitern zu verbieten, ihre eigenen Kabel mitzubringen und sie an die Geräte anzuschließen - vor allem, wenn es keine Möglichkeit gibt, sie günstig über einen ausgewiesenen professionellen Kanal zu erwerben. Die Unternehmen sollten jedoch die Kosten für ein einziges solches Kabel bedenken, das in ihr Netzwerk eingesteckt wird. Wie viel Geld, Zeit und Ärger würde das Herunterladen von ungeschützten Daten verursachen? Die kumulierten Kosten könnten sich leicht auf Millionen von Dollar belaufen.
Andere Risiken durch nicht autorisierte Hardware
Gehackte Kabel sind nur eine Art von nicht autorisierter Hardware, die einem Unternehmen zum Verhängnis werden kann. Es gibt eine Vielzahl anderer Hardware-Risiken, darunter:
- Gefälschte Hardware
- Modifizierte überholte Hardware
- Bösartige USB-Geräte
- Netzwerkverbindungen von nicht autorisierten/ungeprüften Geräten
- Hardware-Trojaner
- Verlorene und gestohlene Hardware
- Fehlerhafte oder unzureichende ITAD-Verarbeitung.
Zu den Schäden, die durch den Anschluss solcher Hardware an ein Unternehmensnetz verursacht werden, gehören unter anderem:
- Malware und Ransomware
- Datenschutzverletzungen und Datenlecks
- Insider-Bedrohungen
- Beeinträchtigte Serververfügbarkeit
- Beeinträchtigte Erfahrung der Endbenutzer
- Denial of Service (DoS)
- Probleme bei der Geräteverwaltung.
Für Unternehmen kann die unbefugte Nutzung von Hardware - ob beabsichtigt oder nicht - enorme Auswirkungen auf Sicherheit, Recht, Finanzen und Ruf haben.
Unerlaubte Hardware-Nutzung vermeiden
Es ist von entscheidender Bedeutung, dass Unternehmen die Verwendung von Hardware vermeiden, die nicht ordnungsgemäß nach den eigenen IT-Protokollstandards autorisiert, geprüft und konfiguriert wurde.
Bei der Auswahl der Hardware für ein Unternehmen müssen folgende Faktoren berücksichtigt werden:
- Kompatibilität mit vorhandener Hardware
- Aktueller und zukünftiger Hardwarebedarf
- Sicherheitsbedenken
- Die langfristige IT-Strategie des Unternehmens
- Die zu automatisierenden Aufgaben
- Grundlegende Anforderungen
- Unternehmensspezifische Anforderungen
- Tragbare Geräte für entfernte/reisende Mitarbeiter
- Lebenserwartung der Hardware
- ITAD-Prozesse für den Fall, dass die Hardware ihr EOL erreicht.
Im Idealfall sollte ein Unternehmen über ein bestimmtes Portfolio von Geräten verfügen, aus dem die Hardware je nach den Anforderungen der einzelnen Mitarbeiter oder Abteilungen und deren Aufgaben ausgewählt werden kann. Alle Geräte werden ähnlich konfiguriert und sind miteinander kompatibel, um die Kontinuität im Unternehmen zu gewährleisten. Dies sollte sowohl das Hardware-Zubehör als auch die Hauptgeräte umfassen.
Zusammenarbeit mit Procurri zur Sicherung autorisierter Hardware und einer Strategie für sichere Hardware
Procurri ist branchenführend in der Hardwareversorgung und verfügt über den weltweit größten Bestand an OEM-autorisierten Ersatzteilen. Wir führen selbst die seltensten Konfigurationen, einschließlich abgekündigter Hardware.
Autorisierte Hardware-Lieferung
Da wir täglich weltweit Hardware an Tausende von Unternehmen liefern, um sie bei der Erfüllung ihrer laufenden technischen Anforderungen zu unterstützen, ohne dass es zu Unterbrechungen für ihre Endbenutzer und/oder Kunden kommt, wissen wir, wie man Hardware am besten verwaltet, unabhängig davon, wie groß oder weit verbreitet Ihr Unternehmen ist. Dies beinhaltet:
- Verfolgung von Vermögenswerten
- UAM (Vereinheitlichte Zugangsverwaltung)
- Segmentierung des Netzes
- Physische Sicherheitsmaßnahmen
- Ausbildung im Bereich der inneren Sicherheit
- Sicherheitsprüfungen
- Laufende Wartung durch Dritte mit proaktivem Support, um Probleme zu erkennen, bevor sie eskalieren
- Leistungsüberwachung.
Wir bieten zwar auch generalüberholte und recycelte Hardware an, aber alles wird vor dem Verkauf oder der Installation gründlich getestet, um ein Höchstmaß an Sicherheit zu gewährleisten. Der größte Teil der von uns angebotenen Hardware wird jedoch direkt von OEMs gekauft und ist für den Einsatz als Ersatzteil oder zur Aufstockung bestehender Konfigurationen bestimmt.
Neben der Lieferung von Hardware bietet Procurri auch ein Asset Reclaim Programm für Unternehmen mit entfernten oder geografisch verstreuten Mitarbeitern an. Dieses Box-Programm holt IT-Assets zurück, wenn eine herkömmliche Abholung vor Ort nicht möglich ist, und verfolgt und verwaltet sie, um sicherzustellen, dass keine Hardware oder Daten verloren gehen. Dies erweist sich als rationelle und umfassende Hardware-Verwaltungstaktik, bei der es für Unternehmen ansonsten schwierig sein kann, den Überblick über die verschiedenen Standorte zu behalten.
Sichere ITAD
Ein weiteres Sicherheitsrisiko für Unternehmen bei der Verarbeitung von Hardware entsteht häufig, wenn alte, nicht mehr benötigte oder nicht mehr funktionstüchtige Hardware über ITAD (IT Asset Disposition) entsorgt wird. ITAD kann kostengünstig ausgelagert werden, aber wenn dies ohne die nötige Sorgfalt geschieht, kommt es häufig zu Datenverletzungen und -verlusten, da sich Unbefugte Zugang zu datenführenden Geräten verschaffen. Zu den bemerkenswerten Sicherheitsverstößen aufgrund schlechter ITAD-Praktiken gehören:
- Equifax (2017) - als ein Server von Equifax entsorgt wurde, enthielt er Daten, auf die aufgrund einer Sicherheitslücke in einer Software auch dann zugegriffen werden konnte, wenn sie verschlüsselt waren. Die Datenpanne betraf die sensiblen Informationen von über 140 Millionen Menschen
- Yahoo (2013/2014) - aufgrund unzureichender Passwortverwaltungsprotokolle betraf die Datenpanne von Yahoo Milliarden von Nutzerkonten, die einfache oder leicht zu erratende Wörter zum Schutz ihrer eigenen Daten verwendeten.
- MOVEit (2023) - als es einem Dritten den Zugang zu seiner Hardware ermöglichte, waren die Sicherheitsprotokolle nicht robust genug, und Informationen über mehr als 2.000 Organisationen wurden weitergegeben.
Procurri bietet einen ITAD-Service ohne Deponierung - Recycling und Aufarbeitung von Hardware, wo immer möglich. Dieser Ansatz bedeutet, dass wir der Datensanierung Vorrang einräumen und im Rahmen der WEEE-, R2- und e-Stewards-Standards arbeiten. Dabei verfolgen wir einen maßgeschneiderten Ansatz für jedes Gerät, um eine vollständige Datenvernichtung sicherzustellen. Mit einem solch umfassenden Prozess können Unternehmen ihre nicht mehr benötigte Hardware durch Aufarbeitung, Wiedervermarktung und Wiederverkauf zu Geld machen - was oft eine unerwartete Einnahmequelle darstellt!
Für weitere Informationen über Procurri's autorisierte Hardware-Lieferungen, Hardware Asset Reclaim Programme und ITAD Bestimmungen, nehmen Sie noch heute Kontakt mit unserem Expertenteam auf und erfahren Sie mehr darüber, wie wir unsere Dienstleistungen auf die Bedürfnisse und Besonderheiten Ihres Unternehmens zuschneiden können.