USB-Sticks im Unternehmen: Ein unterschätzter Risikofaktor

Redaktion

Sagen unsere Datenschutz-Experten von Webersohn  & Scholtz

     

Die Sicherheit Ihrer IT wird nicht allein durch Schadprogramme und Viren aus dem Internet bedroht. Vielmehr ist auch Augenmerk auf vermeintlich unscheinbare Speichermedien, wie etwa USB-Sticks, zu richten. Gerade diese eignen sich besonders als leicht zu missbrauchende Einfallstore.

Schaden auf vielerlei Arten möglich

Trotz der zunehmenden Verbreitung von Cloud Computing sind physische Datenträger zur Speicherung noch immer sehr weit verbreitet. Neben integrierten und externen Festplatten zählen dazu vor allem USB-Sticks. Als portable und schnell einzusetzende Geräte können solche im Alltag zwar ausgesprochen hilfreich aber genauso gefährlich sein.

Denn zunächst besteht ein gewisses Verlustrisiko bei der Verwendung von USB-Sticks mit potenziell fatalen Folgen. Beispielhaft hierfür steht folgender Fall aus Nordrhein—Westfalen: Ein JVA Beamter hatte einen USB-Stick mit persönlichen Daten seiner Kollegen verloren. Staatsanwaltschaft und Polizei gingen davon aus, dass dieser von einem Gefängnisinsassen gefunden und einbehalten wurde.

Eine weitere Gefahrenquelle liegt im unachtsamen Umgang. Weder sollte ein USB-Stick unbeaufsichtigt am Arbeitsplatz liegen bleiben, noch private und berufliche Nutzung vermischt werden. In beiden Fällen könnten Unberechtigte Dritte Zugriff auf vertrauliche Daten erhalten.

Verbreitung von Viren, Trojanern und Spionagesoftware durch USB-Sticks  

Besonders kritisch aber wird es, wenn der USB-Stick selbst zum Träger von Viren wird. Hierzu kann es bereits dann kommen, wenn der Datenträger mit einem einzigen von Schadsoftware befallenen Computer in Kontakt kommt. Trojaner können so beispielsweise vom Privatrechner eines Mitarbeiters auf den USB-Stick gelangen und bei darauffolgendem Anschluss an ein dienstliches Endgerät die gesamte IT-Infrastruktur des Unternehmens angreifen. Auch hierzu gibt es ein prominentes Beispiel in Form des durch USB-Sticks übertragenen Trojaners Regin, der auf ebensolchem Wege in das Bundeskanzleramt eingeschleust werden konnte.

Technisch gibt es vielfältige Variationen der Manipulation: Neben dem direkten Kopieren schadhafter Dateien auf den USB-Stick oder der automatischen Übertragung von Viren auf diesen, kann auch die Hardware selbst manipuliert werden. So ist es beispielsweise möglich eine Umprogrammierung vorzunehmen, sodass der Datenträger von Dritten unbemerkt als Tastatur verwendet werden kann, um im Hintergrund den PC zu steuern.

Als Gegenmaßnahme empfiehlt es sich schon beim Kauf, auf durch Hardwareverschlüsselung sichere USB-Sticks zu setzen. Erkennbar ist dies beispielsweise an einer BSI Zertifizierung (BSI-DSZ-CC-0772-2014). Als Autorisierung dient unter anderem eine Passwortabfrage, erst durch die Eingabe dieses Passworts wird die Kommunikation mit dem Endgerät aktiviert. Außerdem sollte stets ein Virenscanner den Datentransfer von USB-Stick zu Computer und umgekehrt überwachen.  Solche werden beispielsweise von Avira AntiVir oder Kaspersky angeboten und müssen zumeist direkt auf dem USB-Stick installiert werden.

Sorglose Verwendung weit verbreitet

In den meisten Unternehmen werden USB-Sticks als ganz normales Arbeitsmittel eingesetzt. Häufig fehlt es aber an Maßnahmen gegen Missbrauch oder Fehlverwendung – eindrücklich zeigt sich dies an einer Umfrage der Kingston LLP mit 188 teilnehmenden Unternehmen: Über 70 Prozent der befragten Mitarbeiter gaben an, dass USB-Sticks in ihrem Arbeitsalltag bereits verloren gingen. Verschlüsselungstechnologien wurden allerdings von nicht mehr als einem Drittel der Teilnehmer eingesetzt. Soll heißen: die Daten des Großteils der USB-Sticks die verloren gingen, sind für Dritte einsehbar.

Fazit

Diese Zahlen sollten Anreiz genug sein auch die eigenen USB-Sticks eingehender zu kontrollieren. Denn geht ein USB-Stick mit personenbezogenen Daten verloren, handelt es sich um eine Datenpanne. Ist in diesem Fall der USB-Stick gar unverschlüsselt, ist diese Datenpanne dann auch mit hoher Wahrscheinlichkeit meldepflichtig und ein Verstoß gegen die Vorschriften zur Sicherheit der Verarbeitung gem. Art. 32 DSGVO.

Redaktion MEET GERMANY

MEET GERMANY FAMILY