Definition

Evil-Maid-Angriff

Oftmals erfolgt der Zugriff auf fremde Netzwerke und Systeme nicht nur einen Hacker im Kapuzenpulli, der sich durch Firewalls und andere Systeme hackt. Sehr häufig werden hierfür legitime Zugangsdaten von Anwendern des Unternehmens gestohlen oder erschlichen. Alternativ gelingt es den Kriminellen auf ein System physischen Zugriff zu erhalten. Je nach Ausprägung spricht man bei Letzterem auch von einer Evil-Maid-Attacke.

Die polnische Sicherheitsforscherin Joanna Rutkowska gab dieser Art von Angriff nicht nur den einprägsamen Namen. Sie wies 2009 auch erfolgreich nach, dass selbst eine vollständige Festplattenverschlüsselung (Full Disk Encryption, FDE) ein Notebook nicht zu verlässig schützen kann, wenn ein Angreifer physischen Zugriff auf das Gerät hat.

Ein solcher Angriff könnte folgendermaßen ablaufen:

Szene I: Ein Chief Financial Officer (CFO), der an einer Konferenz teilnimmt, lässt sein Notebook während des Abendessens in seinem Hotelzimmer und ist sich sicher, dass alle Unternehmensdaten auf dem Notebook sicher sind, da die Festplatte verschlüsselt ist.

Szene II: Eine als Reinigungskraft getarnte Person (die „Evil Maid“, die in Wirklichkeit ein Industriespion ist) beobachtet den Finanzvorstand beim Verlassen des Hotelzimmers.

Szene III: Der Angreifer verschafft sich Zugang zum Zimmer des Finanzvorstandes und startet das Notebook mit einem kompromittierten Bootloader auf einem USB-Stick. Dann installiert der Spion einen Keylogger auf dem Notebook, um an den Verschlüsselungsschlüsse des CFO zu gelangen und fährt das Notebook wieder herunter.

Szene IV: Der Finanzvorstand kehrt ins Zimmer zurück und startet das Notebook. Ohne etwas zu ahnen, gibt er den Verschlüsselungscode ein und entsperrt das Laufwerk des Notebooks.

Szene V: Am nächsten Morgen, während der CFO zum Frühstück geht, kehrt der Spion zurück und holt den Keylogger, der nun den Verschlüsselungscode des Finanzvorstandes kennt.

Die Bezeichnung „Evil Maid“ hat sich bei Sicherheitsexperten etabliert und wird allgemein verwendet, um Szenarien zu beschreiben, in denen der Angreifer das Gerät nicht einfach nur stiehlt- oder einmal darauf zugreift, um die Festplatte zu klonen -, sondern mehrmals zurückkehrt, um sein Vorhaben zu vollenden oder Schaden anzurichten.

Mitglieder der Geschäftsführung oder des Vorstandes, Politiker und Journalisten sind die wahrscheinlichsten Ziele von Evil-Maid-Angriffen. Unabhängig davon, ob der Angriff darauf abzielt, Informationen zu ändern, zu stehlen oder zu verkaufen, ist die Wahrscheinlichkeit groß, dass der Angreifer auch Änderungen an der Software des Gerätes vornimmt, die später einen Fernzugriff ermöglichen.

Experten empfehlen die folgenden Maßnahmen, um die Gefahr eines solchen Angriffs zu verringern:

  • Computer oder kleine Peripheriegeräte wie USB-Laufwerke niemals unbeaufsichtigt lassen.
  • Den Anschluss unbekannter Peripheriegeräte vermeiden.
  • BIOS- und Firmware-Updates sollten immer zeitnah eingespielt werden.
  • Es sollte ein Secure-Boot-Schutz erzwungen werden und der Schlüssel für die Festplattenverschlüsselung regelmäßig getauscht werden.
  • Die Computersysteme sollten durch ein sicheres Passwort geschützt sein.
  • Zudem sollte der Zugriff auf das BIOS bestmöglich geschützt sein, um Änderungen zu verhindern.
  • Es sollte nicht möglich sein, das System von externen Geräten zu booten.
  • Richten Sie Warnmeldungen für Änderungen an der Hardware ein.
Diese Definition wurde zuletzt im Februar 2022 aktualisiert

Erfahren Sie mehr über Bedrohungen