Eine technische Analyse des Nationalen Testinstituts für Cybersicherheit NTC zeigt: Peripheriegeräte am digitalen Arbeitsplatz sind ein unterschätztes Einfallstor für Cyberangriffe. Getestet wurden rund 30 in der Schweiz weit verbreitete Tastaturen, Headsets, Webcams, Tischmikrofone oder Videokonferenzsysteme etablierter Hersteller. Das Testinstitut NTC identifizierte über 60 Schwachstellen, darunter 13 schwerwiegende und 3 kritische Befunde. Lesen Sie fünf Empfehlungen zur Reduktion der Cybersicherheitsrisiken beim Einsatz von Peripheriegeräten.

Ein Beispiel: Abhören einer Videokonferenz dank des drahtlosen Tischmikrofons

Wie konkret die Risiken von Peripheriegeräten sind, zeigt ein reales Szenario: Eine vertrauliche Videokonferenz bei einem Betreiber einer kritischen Infrastruktur ist gut gegen Hackerangriffe geschützt. Netzwerk, Server und Laptop sind auf dem neuesten Sicherheitsstand, die Verbindung ist Ende-zu-Ende verschlüsselt. Ein Angriff ist dennoch möglich: Mit einer Antenne auf dem nahegelegenen Parkplatz fängt ein Angreifer den unzureichend abgesicherten Funkverkehr des drahtlosen Tischmikrofons ab. Innerhalb weniger Sekunden kann er das vertrauliche Gespräch mithören.

Sicherheit von Peripheriegeräten wird vernachlässigt

Peripheriegeräte bilden allzu oft die kritische Schnittstelle, über die sensible Informationen fliessen. So werden über Tastaturen Passwörter eingegeben und über Mikrofone und Webcams vertrauliche Gespräche übertragen. Es zeigt sich eine gefährliche Asymmetrie: Die Kosten für professionelle Sicherheitsanalysen übersteigen den Anschaffungspreis solcher Geräte oft um ein Vielfaches. «Peripheriegeräte werden in der Praxis häufig als reines Zubehör betrachtet und entsprechend nicht systematisch geprüft sowie nicht konsequent in bestehende Sicherheitskonzepte integriert», sagt Tobias Castagna, Leiter Testexperten beim NTC.

Ergebnisse der Sicherheitsanalyse des Nationalen Testinstituts für Cybersicherheit NTC

Um das Sicherheitsniveau weit verbreiteter Peripheriegeräte in der Schweiz systematisch zu beurteilen, hat das Nationalen Testinstitut für Cybersicherheit NTC im Laufe eines Jahres rund 30 kabelgebundene und drahtlose Geräte einer umfassenden technischen Sicherheitsanalyse unterzogen. In die Auswahl flossen Produkte etablierter Hersteller wie Logitech, Yealink, Jabra, HP, Eizo oder Cherry ein.

Insgesamt wurden über 60 Befunde unterschiedlicher Kritikalität identifiziert, darunter 13 schwerwiegende und 3 mit höchster Kritikalitätsstufe. Mehrere der Schwachstellen lassen sich in alltäglichen Szenarien durch bekannte Angriffsmethoden ausnutzen.

Die Analyse zeigt aber auch: Moderne Peripheriegeräte können bei sicherer Konfiguration und stets aktueller Software ein akzeptables Sicherheitsniveau erreichen. Die Risiken steigen jedoch mit zunehmender Gerätekomplexität, etwa bei Videokonferenzsystemen oder sonstigen Internet of Things(IoT)-Geräten, sowie beim Einsatz veralteter Funktechnologien.

Die Ergebnisse der Sicherheitsanalyse sind im Bericht «Cybersicherheit von Peripheriegeräten - Versteckte Risiken im Büro: Sind kabellose Tastaturen, Headsets und Co. sicher genug für den Einsatz in kritischen Infrastrukturen?» zusammengefasst.

Fünf Empfehlungen zur Risikominimierung beim Einsatz von Peripheriegeräten

Aufgrund der durchgeführten Sicherheitsanalyse lassen sich fünf Empfehlungen ableiten, um das Risiko beim Einsatz von Peripheriegeräten zu reduzieren:

Erstens: Standardisierung und Beschaffung über vertrauenswürdige Kanäle

Es wird empfohlen, die Gerätevielfalt auf einen verbindlichen Katalog geprüfter Peripheriegeräte zu begrenzen. Die Beschaffung sollte ausschliesslich über vertrauenswürdige Kanäle erfolgen, um das Risiko von Supply-Chain-Angriffen mittels manipulierter Hardware zu reduzieren.

Zweitens: Integration in das Lifecycle-Management

Peripheriegeräte sollten nicht als reines Zubehör, sondern als vollwertige IT-Komponenten betrachtet werden. So sollten sicherheitsrelevante Geräte im Asset-Management erfasst und Prozesse etabliert werden, die beispielsweise sicherstellen, dass Softwareupdates zeitnah eingespielt werden oder dass verwundbare Hardware rasch ersetzt wird.

Drittens: Netzwerk-Segmentierung

Für netzwerkfähige Systeme, wie Konferenzlösungen oder Internet of Things(IoT)-Geräte, wird der Betrieb in isolierten Netzwerksegmenten empfohlen. So wird verhindert, dass diese Geräte als Einfallstor in das interne Firmennetzwerk dienen.

Viertens: Physische Sicherheit und Sensibilisierung der Mitarbeitenden

Mitarbeitende sollten für den sicheren Umgang mit Peripheriegeräten sensibilisiert werden. Dies beinhaltet die ausschliessliche Nutzung freigegebener Hardware im Homeoffice sowie das Bewusstsein für Risiken durch unbeaufsichtigte Geräte wie USB-Dongles oder Funk-Headsets in öffentlichen Räumen.

Fünftens: Kabelgebundene Lösungen bei besonderem Sicherheitsbedarf

In Bereichen oder Videokonferenzen mit besonderem Schutzbedarf sind kabelgebundene Peripheriegeräte zu bevorzugen. Kabel eliminieren die Risiken der drahtlosen Signalübertragung weitgehend.