Sicherheit von mobilen Datenträgern
USB-Stick ist nicht gleich USB-Stick
Der Einsatz von USB-Sticks wird im Unternehmensumfeld oft stiefmütterlich behandelt und verkompliziert. Dabei kann die Lösung so einfach wie sicher sein.
Der Artikel liefert unter anderem Antworten auf folgende Fragen:
- Inwiefern sind USB-Geräte Teil eines ganzheitlichen Datenschutzkonzeptes?
- Was gilt es beim Umgang mit USB-Stickes im Unternehmensumfeld zu beachten?
- Wie grenzen sich professionelle USB-Sticks von denen im Privatgebrauch ab?
Standortunabhängige und flexible Arbeitsmodelle, Homeoffice-Regelungen, reduzierte Büroflächen und offene Bürogemeinschaften – die Art und Weise, wie, wo und wann wir arbeiten, hat sich nicht zuletzt in den vergangen zweieinhalb Jahren nachhaltig verändert. Mitarbeiter, die selbstorgansiert und ortsungebunden tätig sind, müssen jedoch auch von unterwegs auf Unterlagen und Arbeitsmaterialien zugreifen und Informationen austauschen können. Daten aller Art – ein grundlegendes Gut vieler moderner Unternehmen – sind vermehrt in Bewegung und werden nicht zuletzt häufig auf mobilen Datenträgern transportiert. Mit den falschen Geräten stellt dies ein Risiko für sensible Kundeninformationen und Betriebsgeheimnisse dar. Dabei sind moderne USB-Geräte nicht nur ein bedeutender Teil eines ganzheitlichen Datenschutzkonzeptes – sondern auch eine unkompliziert einführbare Möglichkeit, Remote Work sicher zu gestalten.
Aktuell wie eh und je
Man möchte glauben, dass Wechseldatenträger und allen voran USB-Sticks zu einer aussterbenden Gattung von Speicherlösungen gehören – tatsächlich ist das Gegenteil der Fall. Statista-Erhebungen belegen, dass in Deutschland in der Gesamtheit noch immer elf Millionen Geräte innerhalb eines Jahres verkauft werden1. Ein Blick in den internationalen Industriesektor bestätigt diesen Trend auf der B2B-Seite: Laut einer Honeywell-Studie aus dem Jahr 20212 kamen in Produktionsstätten 30 Prozent mehr USB-Datenträger zum Einsatz als im Vorjahr. Gerade in diesem Bereich kann ein Verlust nicht ausreichend geschützter Daten verheerende Folgen für das betreffende Unternehmen haben.
Vorfälle wie der Fund eines Sticks mit Informationen rund um den Sicherheitsapparat des Londoner Flughafens Heathrow im Jahr 2018 oder der kürzlich bekannt gewordene Fall eines verlorenen USB-Sticks mit Daten aller Einwohner der japanischen Stadt Amagasaki (siehe Infokasten) verdeutlichen, welche sensiblen Daten auch im öffentlichen Bereich unter Umständen in falsche Hände geraten können. Die Krux mit den USB-Sticks: Mit ihnen existiert eine simple, praktische Lösung für den Transport und Austausch von Daten. Gleichzeitig stellt der Einsatz falscher Geräte jedoch auch eine enorme Gefahr für Unternehmen und deren Kunden dar – denn USB-Stick ist nicht gleich USB-Stick.
Von Äpfeln und Birnen
Tatsächlich ist ein Großteil der genutzten Wechseldatenträger für die Verwendung im Unternehmens- und Behördenumfeld ungeeignet. Häufig kommen einfache, für den Endverbraucher gedachte und schlimmstenfalls private USBs zum Einsatz. Vor einigen Jahren – 2016, um genauer zu sein – betrug der Anteil an in Unternehmen verwendeten privaten Sticks fast 60 Prozent. Ein Blick in aktuelle Statistiken des Speicherexperten Kingston Technology verrät, wie wenig sich daran geändert hat: Nur 5,8 Prozent der in Deutschland im B2B-Markt verkauften USB-Sticks sind Hardware-verschlüsselte Speichermedien, die speziell für den professionellen Einsatz entwickelt wurden und ein enormes Sicherheitsplus für die Unternehmen bieten.
Warum also vernachlässigen Unternehmen und öffentliche Stellen diesen Teil ihres Sicherheitskonzepts? Neben schlicht fehlender Kenntnis hinsichtlich verfügbarer Optionen wird häufig das Kostenargument angeführt – gerade in kleinen und mittelständischen Unternehmen ein wichtiger Punkt. Normale USB-Sticks aus dem Technikfachgeschäft kosten nur einen Teil der professionellen Datenträger, verfügen aber gleichzeitig über keinerlei Sicherheitsvorkehrungen. Abhilfe wird oft in der Verwendung diverser Softwarelösungen zur Verschlüsselung gesucht. Diese können zwar in bestimmten Fällen eine Alternative darstellen, haben jedoch auch ihre Schwachstellen. Unter anderem sind sie immer nur so sicher wie die Geräte, auf denen sie verwendet werden, sie beeinflussen die Leistung und Geschwindigkeit der Datenträger und sind häufig wenig benutzerfreundlich.
Entscheidend mit Blick auf die Diskussion ist außerdem: Die sichere Implementierung sogenannter Commodity-Sticks in die Unternehmens-IT bedeutet in Summe einen deutlich höheren und anhaltenden Aufwand bei nicht vergleichbaren Sicherheitsgarantien. Softwarelösungen benötigen regelmäßige Wartung und Updates, Mitarbeiter müssen geschult werden und die IT-Abteilung muss anhaltend Hintertürchen recherchieren und überprüfen. Umso komplexer der Prozess und die Anwendung im Alltag, desto größer ist außerdem die Gefahr, dass Mitarbeiter wieder auf die erwähnten privaten Datenträger zurückgreifen, die letztendlich ein zusätzliches, nicht kalkulierbares Risiko darstellen und alle Richtlinien hinfällig machen.
| Lost in Japan |
|---|
|
Im Juni 2022 sorgte ein Vorfall in Japan für Aufsehen: Ein USB-Stick mit personenbezogenen Daten der Einwohner von Amagasaki im Westen Japans war verloren gegangen. Nach Angaben der Stadt hatte der Mitarbeiter des IT-Dienstleisters Biprogy die Daten der über 460.000 Einwohner im Informationszentrum der Stadtverwaltung auf den Stick gezogen, um sie an anderer Stelle zu verarbeiten. Nach Feierabend hätte er die Tasche mit dem Stick verloren. Einen Tag später wurde der Stick als verschwunden gemeldet; tags darauf informierte die Stadt Amagasaki die Öffentlichkeit. Schließlich tauchte der USB-Stick nach vier Tagen wieder auf. Daten von 460.000 Menschen Nachdem der Stick wieder aufgetaucht war, berichtete die Stadt, man würde die Daten gemeinsam mit den Behörden untersuchen. Der Stick sei passwortgeschützt und die Daten darauf verschlüsselt, kein Datenleck sei bis dato bekannt. Die Stadt Amagasaki hatte in Folge vor Betrugsfällen im Zusammenhang mit dem zwischenzeitlich verlorenen USB-Stick gewarnt. Betrügerinnen und Betrüger könnten die Angst der Menschen vor einem Verlust ihrer Daten ausnutzen und ihnen etwa die Löschung ihrer Daten anbieten. Auf ihrer Webseite stellte die Stadt klar, dass weder die Polizei noch Mitarbeiter der Stadt oder des betroffenen IT-Unternehmens im Kontext des Vorfalls einzelne Menschen anrufen oder per Mail kontaktieren würden. Bis dato sind keine Konsequenzen des USB- Verlustes bekannt geworden. (DK) |
Hardware-verschlüsselte Datenträger
Im Gegensatz dazu bieten Hardware-verschlüsselte, speziell für den Unternehmenseinsatz konzipierte Datenträger dank eigenen, direkt im Laufwerk integrierten Prozessoren quasi aus der Verpackung heraus hohe Datensicherheit und Schutz vor den häufigsten Angriffsarten, darunter Cold-Boot-Attacks und Brute-Force-Angriffe. Für die Verantwortlichen bleibt als To-do die optionale Kombination mit einem Whitelisting-Tool, das gegebenenfalls die Verwendung externer Datenträger verhindert und so eine zusätzliche Sicherheitsebene für das Unternehmen schafft. Weitere Aufwände, Updates oder wiederkehrende Wartungen sind in der Regel nicht notwendig.
Über die Hardware-basierte Verschlüsselung hinaus bieten professionelle USB-Sticks meist eine Reihe an sicherheitsrelevanten Funktionen, die sie von herkömmlichen Datenträgern unterscheiden und für Unternehmen und Behörden mit hohen Sicherheitsansprüchen relevant machen. Dazu zählt unter anderem eine direkt auf dem Gerät verbaute Tastatur, die das Entsperren des Sticks ohne zusätzliche virtuelle Eingabe auf dem Rechnern ermöglicht. Eine weitere entscheidende Rolle spielt die sogenannte FIPS-Zertifizierung, eine von der US-Regierung definierte Reihe an Anforderungen an Endgeräte und Informationstechnologien im Allgemeinen. Um die aktuelle Zertifizierung, FIPS 140-3 Level 3, zu erhalten, müssen USB-Sticks unter anderem vor physischen Zugriffen geschützt sein. In der Praxis wird das beispielsweise durch mit Epoxid beschichtete Schaltkreise realisiert. Hinzu kommen Merkmale wie eine mit einer Polymer-Schutzschicht überzogene Tastatur für USBs mit PIN-Eingabe, bestimmte Regeln hinsichtlich der PIN-Länge oder ein automatisches Abschalten der Geräte bei ungewohnten Hitze- und Spannungsverhältnissen. Nicht zuletzt stellt die Verwendung von FIPS-zertifizierten Wechseldatenträgern außerdem sicher, dass Anforderungen der DSGVO erfüllt und Unternehmen so vor etwaigen rechtlichen Konsequenzen und gleichzeitig Imageschäden geschützt sind. Denn geht ein FIPS-zertifizierter Stick verloren, muss dies nicht öffentlich gemacht werden.
Nicht am falschen Ende sparen
Trotz der wachsenden Bedrohungen durch diverse Formen der Cyberkriminalität ist der Klassiker des verlorenen USB-Sticks nach wie vor – und nicht zuletzt aufgrund der erhöhten Datenmobilität – eine Gefahr für die Datensicherheit in Unternehmen, öffentlichen Stellen und Behörden. Überall, wo Remote Work und verwandte Konzepte eine Rolle spielen, sollte der Bedarf an entsprechend sicheren Datenträgern geprüft und die Lösungen in die Security-Konzepte integriert werden. Den Kosten und Aufwänden gilt es, rechtliche Folgen und Schäden durch den Datenverlust gegenüberzustellen. Wer mehrere tausend Euro in eine Firewall investiert, sollte auch in puncto Datenträger gegebenenfalls nicht am falschen Ende sparen.
Christian Marhöfer, Regional Director DACH, Nordics & Benelux, bei Kingston Technology sowie Daniel Döring, Managing Director Egomind
1 https://de.statista.com/statistik/daten/studie/28094/umfrage/absatzzahlen-im-bereich-speichermedien-seit-2005/
2 https://www.honeywellforge.ai/us/en/press-release/honeywell-cybersecurity-research-reports-significant-increase-in-usb-threats-that-can-cause-costly-business-disruptions
Lesen Sie mehr zum Thema
