Seite
weiterempfehlen Seite Drucken
Der Spion im eigenen Unternehmen - Vom sicheren Umgang mit USB-Sticks
Bildquelle: KECoS SchwabenMobile Speichermedien wie USB-Sticks oder PDAs sind kaum noch aus dem Alltag eines Unternehmens wegzudenken. Sie gewähren ein flexibles, unabhängiges Arbeiten, eine schnelle Synchronisation und leichteren Austausch von Daten. Obwohl diese Mini-Datenträger praktisch sind, bergen sie oftmals ein von vielen Unternehmen unterschätztes Risiko für die IT-Sicherheit.
So können einerseits beispielsweise vertrauliche interne Daten in sekundenschnelle unbemerkt auf einen Stick kopiert werden. Andererseits können USB-Sticks als Einfallstor für Viren und Malware fungieren. Oftmals sind sich Unternehmen nicht des Ausmaßes bewusst, indem ihre Mitarbeiter mobile Medien wie iPods, Smartphones, PDAs und USB-Sticks am Arbeitsplatz verwenden. So schätzen in einer von SanDisk in Auftrag gegebenen Studie IT-Verantwortliche den Anteil an Mitarbeitern, die private Flash-Speichermedien nutzen auf 35 %.
Während anderen Studien zufolge z. B. rund die Hälfte der befragten britischen Unternehmen keine Angaben darüber machen können, wie viele Mitarbeiter private USB-Sticks und iPods unternehmensintern verwenden, geben 77 % der Endbenutzer/Mitarbeiter an, private Speichermedien für Arbeitszwecke zu nutzen. Dabei werden oftmals private und Firmendaten vermengt.
Unter den am häufigsten kopierten Daten erfreuen sich Kundeninformationen (25 %) und Finanzinformationen (17 %) besonderer Beliebtheit, gefolgt von Geschäftsplänen (15 %), Mitarbeiterdateien und Marketingplänen (jeweils 13 %) sowie geistigem Eigentum mit 6 %.
Gravierend wird das Ausmaß des Sicherheitsrisikos für Unternehmen, wenn USB-Sticks verloren werden. Im Hinblick auf eine Studie im Auftrag der britischen Regierung (aus dem Jahr 2006), haben zwei Drittel aller Befragten schon einmal einen USB-Stick verloren. In 60 Prozent der Fälle befanden sich auf den Speichermedien firmeninterne Informationen. Einer neueren Studie zufolge hat bereits jeder zehnte Befragte schon einmal ein Speichermedium an einem öffentlichen Ort gefunden und 55 Prozent der Befragten gaben an, dass sie gefundene Daten auch einsehen würden.
Durch die Verbindung eines USB-Speicherträgers mit dem Firmennetzwerk können sich auf dem USB-Stick befindliche Viren, Trojaner, Mal- und Spyware sowie diverse Hackertools unbemerkt auf den Computer übertragen und somit ins Firmennetzwerk gelangen. Insbesondere der Umstand, dass ein USB-Speichermedium oftmals sorgenlos zwischen vielen Rechnern getauscht wird, macht ihn zu einem idealen Verbreitungsmedium von Viren. Hinzu kommt, dass sich mittlerweile viele Unternehmen erfolgreich vor Gefahren aus dem elektronischen Postfach schützen, sodass Kriminelle nach neuen Verbreitungswegen suchen, um Computer zu infizieren. Mitarbeiter schützen selten USB-Sticks vor Viren, da eine öffentliche Sensibilisierung noch nicht stattgefunden hat, im Gegensatz zur breiten medialen Aufmerksamkeit bei E-Mail-Viren.
Eine vom IT-Beratungsunternehmen NCC durchgeführte Untersuchung bestätigt dies eindrucksvoll. Im Rahmen dieser Testreihe wurde im Februar 2008 an die Führungskräfte der Finanzabteilung von 500 börsenotierten Unternehmen und an mehrere Medienunternehmen jeweils ein USB-Stick versendet. Begleitet war die Sendung mit einer zwar anonymen aber reizvollen Einladung zu einem exquisiten Event. Fast 50 Prozent aller Führungskräfte und ca. zwei Drittel der Medienunternehmen verbanden den USB-Stick mit ihrem Netzwerkrechner. Die Folgen dieser Unachtsamkeit, hätte im Falle eines darauf befindlichen Virus oder Trojaners dramatischen Folgen für das Unternehmen haben können.
Eine weitere Gefahrenquelle besteht bei der Aneignung und Weitergabe sensibler firmeninterner Informationen durch Unbefugte, da große Datenmengen über den USB-Port sehr schnell und unkompliziert kopiert werden können, ohne dass es zumeist einer Berechtigung bedarf oder ein anderes Programm dafür gestartet werden muss. Insbesondere im Hinblick auf Wirtschaftsspionage "geht die größte Sicherheitsbedrohung von Unternehmens-Insidern aus", so Andre Muscat von GFI Software, da diese meist unbeschränkten Zugriff auf die Daten haben. Nach einer Studie von Corporate Trust aus dem Jahr 2007 ist der Mittelstand mit 57,6 % am stärksten von Wirtschaftsspionage betroffen, wenn es um Daten aus Forschung und Entwicklung geht sowie Kundendatenbanken und Produktinformationen.
"In einigen Fällen haben Unternehmen die Gefahr durchaus erkannt", so Matt Fisher von Centennial Software, doch eine Reaktion der Unternehmen erfolgt meist erst nachdem ein Schaden eintritt. Dabei erweisen sich oftmals drastisch ergriffene Maßnahmen wie ein unternehmensweites Verbot von Speichermedien oder Zukleben des USB-Ports als wenig effektiv, da sie die Produktivität von Mitarbeitern einschränken, die auf mobile Speichermedien angewiesen sind.
Statt lediglich zu reagieren, sollten Unternehmen eine proaktive Abwehr einrichten. "Die beste Option ist eine Lösung, die automatisch - je nach Gerätetyp und den persönlichen Zugriffsrechten - entscheidet, welche Verbindung gewährt oder geblockt werden soll. Die Lösung muss dabei umfassend schützen und dennoch flexibel sein.", rät Matt Fisher. Dazu muss die Software-Lösung and die unternehmensspezifischen Sicherheitsrichtlinien angepasst sein und einen erlaubten von einem unerlaubten Zugriff unterscheiden können. Neben der Zugangskontrolle ist eine Protokollierung aller ausgetauschten Daten essentiell. Auf diese Weise lassen sich mögliche Sicherheitsverletzungen nachverfolgen.
Eine weitere wichtige Sicherheitsmaßnahme ist die Verschlüsselung der auf mobilen Medien gespeicherten Daten, beispielsweise mit Hilfe eines elektronischen Safes. Dieser wird als virtuelles Laufwerk dargestellt und kann sowohl auf lokalen Festplatten als auch auf mobilen Massenspeichern wie USB-Sticks oder PDAs angelegt werden. "Der Safe verschlüsselt und speichert alle Inhalte vertraulich.", so die Empfehlung des Softwareanbieters Utimaco. Datenverschlüsselung mit einem zentral festgelegten Benutzerschlüssel ermöglicht beispielsweise die Nutzung von Daten überall innerhalb der Organisation, jedoch nicht auf einem firmenfremden Rechner. Utimaco emfiehlt eine Kombination von Verschlüsselung und Zugriffsschutz. Diese Methoden bewertet Andre Muscat als weitaus kostengünstiger als die Regeneration eines Schadens, durch den womöglich auch ein Imageschaden entstehen kann, wenn es sich beispielsweise um einen Raub wichtiger Kundendaten handelt.
Eine weitere wichtige Maßnahme für Unternehmen bildet die Aufklärung der Mitarbeiter über die Gefahren der Nutzung mobiler Speichermedien, sowie die Aufstellung und Implementierung konkreter Richtlinien. Die Studie im Auftrag von SanDisk zeigt deutlich, dass intensiver Schulungsbedarf für Mitarbeiter beim Umgang mit sensiblen Daten besteht. So wissen 23 % der befragten Mitarbeiter nicht, dass in ihren Unternehmen bereits Leitlinien existieren. Vierundvierzig Prozent der Befragten wussten nicht einmal, dass das Kopieren von Firmendaten auf private Datenträger verboten ist. Softwarefirmen bieten verschiedene Lösungen zum Schutz sensibler Daten an.
Abschließend lässt sich festhalten, dass das von mobilen Speichermedien ausgehende Sicherheitsrisiko auf der technischen Seite weitestgehend durch intelligente Software-Lösungen eingedämmt werden kann. Bei der menschlichen Komponente hingegen besteht die große Herausforderung in der Sensibilisierung der Unternehmen und ihrer Mitarbeiter bezüglich der Gefahr, die aus einem unbedachten Umgang mit wichtigen internen Daten hervorgeht.
Diese sollte sich in der Einführung und konsequenten Durchsetzung vorhandener Softwarelösungen manifestieren und ebenfalls in der Ausarbeitung vertraglich geregelter Richtlinien und ihrer Vermittlung an die Mitarbeiter.
Mit einfachen technischen Lösungen lassen sich schnell unerlaubte Zugriffe auf Unternehmens-USB-Sticks unterbinden:
- Der USB-Stick jedes Mitarbeiters sollte in das Verschlüsselungskonzept des Unternehmens eingebunden werden. Dazu sollte die im Unternehmen gebräuchliche Sicherheitssoftware verwendet werden, auch wenn einige Stick-Hersteller bereits eine eigene Software mitliefern.
- Auf dem USB-Stick sollten zwei Partitionen eingerichtet werden: eine verschlüsselte um vertrauliche Dokumente zu speichern sowie eine Partition z. B. für öffentliche Präsentationen ohne Verschlüsselung.
- Mit der Verwendung von USB-Sticks mit biometrischer Sicherheitsfunktion können Daten erst nach Erkennung des Fingerabdrucks ausgelesen werden.
- Ein USB-Stick sollte niemals an einen fremden Rechner angeschlossen werden ohne vorherige Aktivierung des manuellen Schreibschutzs.
Ebenso wichtig wie der Schutz der USB-Sticks ist der Schutz der unternehmenseigenen IT vor USB-Sticks:
- Die Nutzung von Programmen, die unternehmensinterne Dokumente automatisch bei der Übertragung verschlüsseln, schützt vor unbefugtem Lesen und macht Datendiebstahl nahezu wertlos.
- Die Autostart-Funktion des Betriebssystems sollte abgeschalten sein, damit fremde USB-Sticks nicht automatisch freigegeben werden.
- Mit so genannten U3-Sticks ist es unter Umständen möglich, Programme auf Firmen-PCs unbemerkt auszuführen. Die Zulassung von U3-Sticks sollte deshalb eingeschränkt weden.
- Ein Virenscanner hilft nicht nur den E-Mail-Verkehr zu überwachen, sondern verhindert auch, dass so genannte Stick-Würmer Unternehmensrechner infizieren. Der Scanner sollte deswegen USB-Sticks mit einbeziehen.
- Es sollte mit Hilfe von Sicherheitssoftware oder Gruppenrichtlinen festgelegt werden, welche Benutzer welche USB-Sticks an welchem PC verwenden dürfen.
(Auflistung der Schutzmaßnahmen in Anlehnung an: secure-it Infodienst, 01/2008, S. 2)
