{"id":190358,"date":"2017-05-17T09:22:17","date_gmt":"2017-05-17T07:22:17","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=190358"},"modified":"2018-05-31T23:10:07","modified_gmt":"2018-05-31T21:10:07","slug":"rittal-werbegeschenk-usb-stick-der-als-hid-tastatur-agiert","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/05\/17\/rittal-werbegeschenk-usb-stick-der-als-hid-tastatur-agiert\/","title":{"rendered":"Rittal Werbegeschenk: USB-Stick, der als HID-Tastatur agiert"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>Hielten die scheinbar f\u00fcr eine echt coole Idee, die Marketing-Gr\u00f6\u00dfen bei einem deutschen Mittelst\u00e4ndler \u2013 und schickten den Kunden einen USB-Stick, der als Tastatur fungiert. Die Geschichte ist mir aktuell bei Google+ unter die Augen gekommen \u2013 und angesichts der Beteiligten halte ich es nicht f\u00fcr eine Fake News (obwohl es naheliegend w\u00e4re). Und falls doch alles fiktiv ist, w\u00e4re das ein netter Stupser, das Thema einfach nochmals in den Fokus zu bringen. <strong>Nachtrag:<\/strong> Eine erg\u00e4nzende Stellungnahme von Rittal wurde nachgetragen.<\/p>\n<p><!--more--><\/p>\n<h2>War da was?<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/880e7958e0bb43dbad6d356eed54a039\" alt=\"\" width=\"1\" height=\"1\" \/>So die letzten Tage, Wochen oder Monate? Aktuell haben m\u00f6glicherweise einige Leute au\u00dferhalb der IT gelernt, dass WannyCry kein 'Wein-Seminar' ist, sondern veritable Sch\u00e4den verursacht. Aber auch in den vergangenen Wochen, Monaten oder Jahren gab es immer Hinweise, dass mit USB-Sticks Sch\u00e4dlinge verteilt werden.<\/p>\n<h2>Worum geht es genau?<\/h2>\n<p>Die <a href=\"https:\/\/www.google.de\/url?sa=t&amp;rct=j&amp;q=&amp;esrc=s&amp;source=web&amp;cd=1&amp;cad=rja&amp;uact=8&amp;ved=0ahUKEwjssaHOp_bTAhXCB8AKHTJNC3YQFgg2MAA&amp;url=http%3A%2F%2Fwww.rittal.de%2F&amp;usg=AFQjCNHS4rbAjxnJ8pHHRtQAwIo0tLiG8Q&amp;sig2=ULZFroraojl_3S0NEvL50g\" target=\"_blank\" rel=\"noopener noreferrer\">Rittal GmbH<\/a> ist ein Unternehmen mit Sitz in Hessen, welches Schaltschr\u00e4nke, Stromverteilungen, Servergeh\u00e4use und mehr herstellt. Die sind mir bereits 1969, w\u00e4hrend der Lehre durch den Rittal-Aufkleber in jedem neu eingebauten Stahlblech-Z\u00e4hlerschrank begegnet.<\/p>\n<p>Deren Marketing hatte eine scheinbar kluge Idee und beauftragte einen Dienstleister mit der Aussendung von Werbung mit dem Thema 'Mehr Geschwindigkeit f\u00fcr ihr Business'. Holger K\u00f6pke (<a href=\"https:\/\/rz.koepke.net\/about\/\" target=\"_blank\" rel=\"noopener noreferrer\">Reizzentrum<\/a>-Blog) hat den Fall bei <a href=\"https:\/\/plus.google.com\/+HolgerKoepke\/posts\/anLJSX2TH73\" target=\"_blank\" rel=\"noopener noreferrer\">Google+ angerissen<\/a> (ich bin \u00fcber <a href=\"https:\/\/plus.google.com\/+KristianK\u00f6hntopp\/posts\/6Q1uzetmefj\" target=\"_blank\" rel=\"noopener noreferrer\">Kristian K\u00f6hntopp<\/a> auf <a href=\"https:\/\/web.archive.org\/web\/20170521000204\/http:\/\/blog.koehntopp.info:80\/index.php\/1737-rittal-sends-usb-sticks-that-act-as-keyboards-as-advertisement\/\" target=\"_blank\" rel=\"noopener noreferrer\">das Thema<\/a> gesto\u00dfen).<\/p>\n<ul>\n<li>Die Rittal Werbeaussendung enthielt auch einen USB-Stick, den der Empf\u00e4nger in den Rechner einstecken sollte.<\/li>\n<li>Der USB-Stick installierte sich als Human Interface Device (Tastatur) \u2013 womit dieses USB-Ger\u00e4t im Kontext des Benutzerkonto beliebigen Unsinn treiben kann (unabh\u00e4ngig vom Betriebssystem).Erg\u00e4nzung: Da es nicht jedem Leser klar zu sein scheint &#8211; sobald sich das Ger\u00e4t als Tastatur an Windows anmeldet, kann es alles machen. Tastatureingaben, die Schadcode in Form von Scripten auf der Festplatte ablegen oder irgendwelche Malware per FTP-Befehle herunterladen, w\u00e4ren problemlos m\u00f6glich.<\/li>\n<\/ul>\n<p>Ein Fall von geht gar nicht \u2013 und auch eine Werbeabteilung sollte sich der Risiken bewusst sein (oder zumindest der Dienstleister, der die Produktion vornahm). Wenn es dumm l\u00e4uft, ist die Reputation endg\u00fcltig dahin.<\/p>\n<h2>Keine Lust zum Nachdenken?<\/h2>\n<p>Gut, nicht ganz Deutschland liest hier im Blog mit und hat deshalb die am Artikelende verlinkten Blog-Beitr\u00e4ge zum Sicherheitsrisiko USB im Hinterkopf. Der Fall Elsevier (<a href=\"https:\/\/borncity.com\/blog\/2015\/09\/17\/fail-elsevier-verteilt-aktiven-usb-dongle-mit-webumleitung\/\">Fail: Elsevier verteilt aktiven USB-Dongle mit Webumleitung<\/a>) ist vielleicht schon wieder zu lange her, als dass sich Leute noch erinnern. Aber auch im Marketing sollte sich in Zeiten von Datenleaks und Phishing-Kampagnen herumgesprochen haben, dass Medien, die zum Kunden gehen, diesen nicht potentiellen Risiken aussetzen oder diesen zum 'schau mer mal, was da feines drauf ist' animieren.<\/p>\n<p>Holger K\u00f6pke hat daher bei Rittal nachgefragt, ob die Werbung wirklich von der Firma komme (jeder k\u00f6nnte ja ein paar Euro in die Hand nehmen und eine Fake News mit dem Logo von Rittal versenden). Zitat (<a href=\"https:\/\/plus.google.com\/+HolgerKoepke\/posts\/anLJSX2TH73\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> in den Kommentaren nachlesbar):<\/p>\n<blockquote><p>Sollte der USB-Stick von ihnen verschickt worden sein (was ich kaum glauben kann), so hoffe ich inst\u00e4ndig, dass dieser USB-Stick entweder auf dem gesamten Lebensweg (Herstellung, Duplizierung und Versand) 100% sicher begleitet wurde.<\/p><\/blockquote>\n<p>Es war ein Wink, der die Empf\u00e4nger eigentlich h\u00e4tte aufmerken lassen m\u00fcssen. Aber die Antwort zeigt ein (noch?) fehlendes Gesp\u00fcr f\u00fcr die Brisanz. Nur mal angemerkt: Die Werbung ist zwar vor Wochen produziert und wohl vor Tagen verschickt worden. Die Anfrage von Holger K\u00f6pke muss aber wohl Montag, den 15. Mai 2017, an Rittal gegangen sein. Zur Ehrenrettung der Empf\u00e4nger: Die Tagesschau hat nix davon berichtet, dass WannaCry per USB-Stick ausgesandt wurde, das kann man nur schwer drauf kommen, dass da ein Problem vorliegen k\u00f6nnte. Die Antwort von Rittal hat Holger K\u00f6pke <a title=\"Google+ Diskussion\" href=\"https:\/\/plus.google.com\/+HolgerKoepke\/posts\/ZicdhMBneSC\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">hier<\/a> dokumentiert.<\/p>\n<p>(Quelle: <a title=\"Google+ Diskussion zur Antwort\" href=\"https:\/\/plus.google.com\/+HolgerKoepke\/posts\/ZicdhMBneSC\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">Holger K\u00f6pke<\/a> \/ via <a title=\"Antwortschreiben\" href=\"https:\/\/web.archive.org\/web\/20170521000204\/http:\/\/blog.koehntopp.info:80\/index.php\/1737-rittal-sends-usb-sticks-that-act-as-keyboards-as-advertisement\/\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">Kristian K\u00f6hntopp<\/a>)<\/p>\n<p>Man hat beim beauftragten Dienstleister nachgefragt, der hat versichert, dass keine Schadsoftware auf dem USB-Stick vorliegt. Zudem haben 'wir' ja verantwortliche Nutzer, die den Hinweis lesen, dass man ja auch die Werbe-URL selbst eintippen k\u00f6nnen, wenn man dem USB-Stick nicht traut. Und damit ist f\u00fcr die Marketing-Verantwortlichen der Fall gegessen.<\/p>\n<blockquote><p>Halte dem Hund eine frisch ausgepackte Wurst hin und der bellt dir einen vor 'lies ma die Liste der Inhaltsstoffe vor, bevor ich die fresse' mit Sicherheit, <a href=\"https:\/\/de.wikipedia.org\/wiki\/Pawlowscher_Hund\" target=\"_blank\" rel=\"noopener noreferrer\">Pawlow<\/a> hat's vor langer Zeit mal bewiesen.<\/p><\/blockquote>\n<p>Dass die Antwort daneben ging, ist den Leuten vermutlich nicht klar. Daher greife ich es mal hier mit im Blog auf. Einen Fehler muss man jedem zugestehen (auch mir passieren immer wieder Fehler) \u2013 aber m\u00f6glicherweise hilft die Berichterstattung, dass da jemand bei Rittal aufmerkt. Gunds\u00e4tzlich gilt: Angesicht des Umstands, dass \u00fcber (USB-)Medien beliebige Schadsoftware verteilt werden kann (siehe z.B. den aktuellen Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2017\/05\/02\/ibm-warnung-malware-auf-usb-sticks\/\" rel=\"bookmark\">IBM-Warnung: Malware auf USB-Sticks<\/a>), sollten Firmen so etwas nicht versenden &#8211; und schon gar nicht als Werbeaktion.\u00a0Ich stelle fest, den <a href=\"https:\/\/borncity.com\/blog\/2017\/05\/14\/wannacrypt-zwischenruf-wir-mssen-reden\/\">WannaCrypt-Zwischenruf: Wir m\u00fcssen reden \u2026<\/a> h\u00e4tte ich noch viel tiefer ansetzen m\u00fcssen.<\/p>\n<p>Oder wie seht ihr das? Habt ihr Administratoren in den Firmen die USB-Anschl\u00fcsse verklebt (USB-Speichermedien blockieren h\u00fclfe ja nicht, da der USB-Stick sich als HID-Ger\u00e4t (Tastatur) meldet).<\/p>\n<h2>Erg\u00e4nzung: Stellungnahme von Rittal<\/h2>\n<p>Die Berichterstattung hat auch bei Rittal zu internen Diskussionen gef\u00fchrt. Am 24. 5. 2017 erreichte mich die folgende Stellungnahme von Herrn Dirk Miller,<br \/>\nExecutive Vice President Marketing bei Rittal, die ich nat\u00fcrlich gerne wiedergebe.<\/p>\n<blockquote><p>Guten Tag, Herr Born,<\/p>\n<p>wir haben Ihre aufschlussreichen Hinweise zum Anlass genommen, den gesamten Vorgang sorgf\u00e4ltig zu pr\u00fcfen.<\/p>\n<p>In der heutigen Zeit, in der immer mehr IT-Systeme vernetzt sind, besteht in der Tat ein allgemein hohes Risiko f\u00fcr die IT-Sicherheit und den Datenschutz. Insofern kann man, da haben Sie recht, nicht vorsichtig genug sein. Wir sind uns nach intensiver Diskussion bei Rittal einig, dass von einem per Post versendeten USB-Stick schon deshalb ein Gef\u00e4hrdungspotenzial ausgeht, weil er auf dem Postweg unbemerkt ausgetauscht werden kann.<\/p>\n<p>Den von uns verwendeten USB-Stick haben wir nach aktuellem Stand der Technik erstellen und pr\u00fcfen lassen. Dennoch k\u00f6nnte es ratsam sein, generell auf eine AutoRun-Funktion zu verzichten, die weitere Funktionen auf dem Zielrechner des Empf\u00e4ngers ausf\u00fchrt. Das ist uns durch die Auseinandersetzung mit Ihrer konstruktiven Kritik klar geworden, und wir werden diese Erkenntnis bei k\u00fcnftigen Marketing-Aktionen ber\u00fccksichtigen. Im Zentrum unserer \u00dcberlegungen wird stets das Bestreben stehen, auf keinen Fall die IT-Sicherheit unserer Kunden zu gef\u00e4hrden. Schlie\u00dflich wollen wir f\u00fcr unsere Produkte und Leistungen werben, was nur gelingen kann, wenn unsere Kunden in jeder Hinsicht mit uns zufrieden sind.<\/p>\n<p>Erlauben Sie mir bitte abschlie\u00dfend darauf hinzuweisen, dass wir bei Rittal das Thema IT-Sicherheit generell sehr ernst nehmen. Daf\u00fcr stehen unter anderem zahlreiche Zertifizierungen, die sich unsere Mitarbeiter in Aus- und Weiterbildungen erworben haben.<\/p><\/blockquote>\n<p>Damit sind wir bei der Kernbotschaft: Einen Fehler zu machen, muss man Jedem zugestehen. Positiv: Es sieht so aus, als ob der Vorfall bei der Firma Rittal zu einer Diskussion und hoffentlich ge\u00e4nderten Sicherheitseinsch\u00e4tzung f\u00fchrte (ich interpretiere es so, dass man keine Medien mehr aussenden will). Nachtrag: Auch Holger hat im Blog-Beitrag\u00a0<a href=\"https:\/\/rz.koepke.net\/2017\/05\/24\/rittal-reagiert-auf-oeffentlichkeit\/\" rel=\"bookmark\">Rittal reagiert \u2013 auf \u00d6ffentlichkeit<\/a>\u00a0einen Nachtrag ver\u00f6ffentlicht.<\/p>\n<p>Wo es bei (Rittal) noch hakt, ist beim generellen Verst\u00e4ndnis: Die erw\u00e4hnte 'AutoRun'-Methode funktioniert auf USB-Sticks seit Windows XP-Tagen nicht mehr (wurde aus Sicherheitsgr\u00fcnden per Patch deaktiviert). Diese ist aber f\u00fcr den aktuellen Fall nicht relevant, da die Firmware des USB-Mediums ja als Tastatur funktioniert. Der sich als HID-Ger\u00e4t identifizierende USB-Stick k\u00f6nnte \u00fcber die Firmware beliebige Tastencodes senden und sich so seine Malware auf dem Rechner quasi 'selbst eintippen und starten'. Kristian K\u00f6hntopp hat <a href=\"https:\/\/plus.google.com\/+HolgerKoepke\/posts\/anLJSX2TH73?fscid=z12zd5fyto2bybyyd04cedvykz3ntx4gzdc.1495623549115325\" target=\"_blank\" rel=\"noopener noreferrer\">auf Google+<\/a> den Mailverkehr mit Rittal diesbez\u00fcglich dokumentiert.<\/p>\n<p><strong>Daher gilt:<\/strong> Generell geh\u00f6ren keine (USB-)Medien in Werbeaussendungen &#8211; deren Firmware k\u00f6nnte ja auch manipuliert sein &#8211; das ist ein absolutes No-Go. Hoffen wir, dass nicht in drei Wochen die n\u00e4chste Firma \u00e4hnliches veranstaltet &#8211; und Rittal nicht auf die Idee kommt 'ohne Autorun k\u00f6nnen wir das wiederholen'.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/05\/14\/wannacrypt-zwischenruf-wir-mssen-reden\/\">WannaCrypt-Zwischenruf: Wir m\u00fcssen reden \u2026<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2014\/07\/31\/black-hat-2014-usb-gerte-als-sicherheitsrisiko\/\">Black Hat 2014: USB-Ger\u00e4te als Sicherheitsrisiko<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2015\/09\/17\/fail-elsevier-verteilt-aktiven-usb-dongle-mit-webumleitung\/\">Fail: Elsevier verteilt aktiven USB-Dongle mit Webumleitung<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2014\/10\/03\/unpatchbarer-exploit-fr-badusb-bekannt-geworden\/\">Unpatchbarer Exploit f\u00fcr BadUSB bekannt geworden<br \/>\n<\/a><a href=\"https:\/\/borncity.com\/blog\/2017\/05\/02\/ibm-warnung-malware-auf-usb-sticks\/\" rel=\"bookmark\">IBM-Warnung: Malware auf USB-Sticks<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Hielten die scheinbar f\u00fcr eine echt coole Idee, die Marketing-Gr\u00f6\u00dfen bei einem deutschen Mittelst\u00e4ndler \u2013 und schickten den Kunden einen USB-Stick, der als Tastatur fungiert. Die Geschichte ist mir aktuell bei Google+ unter die Augen gekommen \u2013 und angesichts der &hellip; <a href=\"https:\/\/borncity.com\/blog\/2017\/05\/17\/rittal-werbegeschenk-usb-stick-der-als-hid-tastatur-agiert\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[],"class_list":["post-190358","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/190358","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=190358"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/190358\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=190358"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=190358"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=190358"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}