USB-Sticks – kleine (gefährliche) Helfer

Datenschutz

von Rolf Schröder

USB-Sticks sind als Speichermedium äußerst beliebt und viele Beschäftigte können sich ein (Arbeits-)Leben ohne sie nicht vorstellen. Sie sind klein bis winzig und daher oftmals nicht gleich als USB-Stick zu erkennen. Und sie können ansehnliche Datenmengen speichern, teilweise bis zu mehreren Terabyte. Auf der anderen Seite sind USB-Sticks aber auch eine nicht zu unterschätzende Gefahrenquelle für den Datenschutz und die IT-Sicherheit im Unternehmen. Wie lassen sich diese Risiken begrenzen?

Aus dem Blickwinkel der Sicherheit gibt es zwei Szenarien: Mit den Speichersticks lassen sich sowohl Daten sehr leicht aus dem Unternehmen heraustragen als auch Schadsoftware in die IT-Infrastruktur hineinbringen. Dabei ist es auch vollkommen gleichgültig, ob dies mit oder ohne Absicht geschieht.

Vor allem der "menschliche Faktor" ist dabei als Risikofaktor nicht zu unterschätzen. Tests mit "verloren gegangenen" (präparierten) Sticks belegen, dass – selbst wenn klare Dienstanweisungen bekannt sind – 9 von 10 der Fundobjekte von den Mitarbeitenden an Rechnern des Firmennetzwerks eingesteckt werden. Nicht auszudenken, was passiert, wenn die Datenträger Schaden anrichten sollen.

Mittlerweile hat sich auch der Einsatzzweck der USB-Geräte stark verändert. Wurden früher hauptsächlich Dokumente, Präsentationen, Bilder, Musik und andere Dateien zwischen Rechnern transportiert, finden wir heute auch Sticks, die als Datensafe, bootfähiges Betriebssystem-Laufwerk oder Zugangsschlüssel genutzt werden. Und neben der Bluetooth-Technologie werden in den Büros noch viele Komponenten wie Drucker, Mäuse und Tastaturen über USB-Ports angeschlossen.

Was kann man tun, um die Sicherheit zu erhöhen?

Zunächst einmal kann die IT-Abteilung das Sicherheitslevel technisch verbessern. So können beispielsweise USB-Sticks über die Registry oder per Gruppenrichtlinie komplett oder selektiert gesperrt werden. Durch eine solche Maßnahme ist es möglich, dass die Mitarbeitenden nur noch USB-Sticks einsetzen können, die sie von der IT erhalten haben.

Beim Blick auf die technisch-organisatorischen Maßnahmen (TOM) wird deutlich, dass auch hier Chancen für einen verbesserten Schutz gegeben sind: Sorgen Sie dafür, dass alle eingesetzten USB-Sticks inventarisiert sind, dokumentieren Sie die Ausgabe der Sticks und geben Sie nur noch Geräte aus, die von der IT verschlüsselt worden sind.

Ganz wichtig in diesem Zusammenhang sind (wiederholte) Sensibilisierungsmaßnahmen der Beschäftigten. Da oftmals schlicht die Vorstellungskraft fehlt, welche Risiken von den "kleinen Helfern" ausgehen können, gilt es die Problematik regelmäßig ins Bewusstsein zu holen. Unterstützend können Broschüren, E-Learning, Plakate, Rundmails oder Ähnliches neben den klassischen Mitarbeiterschulungen eingesetzt werden.

Warum USB-Sticks nicht "klein und harmlos" sind?

Erste Beispiele, welche Risiken durch einen (unkontrollierten) Einsatz von USB-Sticks eintreten können, haben wir bereits am Anfang angeführt. Doch welche Gefahrenpotentiale sind überhaupt denkbar?

Mit Hilfe eines Speichersticks sind einem Datendiebstahl Tür und Tor geöffnet. Innerhalb kürzester Zeit kann man große Datenmengen kopieren. Und dies gilt nicht nur für die "Klassiker" wie Desktop-PC, Laptop, Notebook, Tablet und Co. Auch Multifunktionsgeräte, die kopieren, scannen, faxen und drucken, verfügen über einen USB-Port. Darüber lassen sich die Daten von der Festplatte des Multifunktionsgerätes entnehmen.

Für Angreifer ist der Weg, Schadsoftware in die Betriebsumgebung zu übertragen, mittels eines USB-Gerätes einfacher, als über den abgesicherten Zugang über das Internet. Zum einen reagieren Schutzprogramme meist mit einer gewissen zeitlichen Verzögerung, wenn Schadprogramme entdeckt werden, zum anderen werden Zugriffe über USB-Sticks oft nicht protokolliert, so dass man die Angriffsaktivitäten nicht nachvollziehen kann.

Diese Risiken potenzieren sich zusätzlich durch Faktoren wie private USB-Sticks von Beschäftigten, bei denen weder klar ist, ob der Arbeitsplatz zu Hause unwissender Weise infiziert ist, noch aus welchen eventuell unsicheren Quellen mitgebrachte Daten stammen, wie etwa USB-Speicher, die zusammen mit mobilen Endgeräten außerhalb des betrieblichen Arbeitsplatzes genutzt werden, ebenso wie Speichersticks, die als Werbepräsent oder Messemitbringsel unkontrolliert eingesetzt werden.

Welche Auswirkungen bestehen für betroffene Personen?

Grundsätzlich geht es dabei immer um die Verletzung der Rechte und Freiheiten der betroffenen Personen. Um dies zu verhindern müssen geeignete technische und organisatorische Maßnahmen initiiert werden, damit die nachstehenden Risiken minimiert werden:

  • Verlust von Daten durch unkontrollierten Datenabfluss oder Abhandenkommen des USB-Sticks
  • Veränderung von Daten durch temporären Zugriff auf einen Speicherstick oder Übernahme von Daten, die dann in veränderter Form wieder zurückgespeichert werden
  • Vernichtung von Daten durch eingespielte Schadsoftware oder technischen Defekt des Sticks (ohne entsprechende Sicherung bzw. Synchronisation)

Mit diesen drei Szenarien einher gehen weitere Datenschutzrisiken, wie unbefugte Offenlegung von personenbezogenen Daten, nicht autorisierte Datenübermittlung oder Erpressungsversuche.

Ist eine Datenschutzverletzung durch den unsachgemäßen Einsatz von USB-Sticks eingetreten, ist zu prüfen, welcher Schaden für die betroffenen Personen eingetreten ist und ob die Aufsichtsbehörde über die Datenpanne informiert werden muss. Abhängig von den betroffenen Daten(-kategorien) und den bereits eingesetzten Sicherheitsmaßnahmen entscheidet sich, ob und wie die Meldung vorgenommen werden muss. Je höher das Schutzniveau, z.B. wirksame und starke Verschlüsselung, umso eher kann die Meldepflicht entfallen.

Zurück