Montag, 29 April 2019 07:50

USB-Sticks – die (gefährlichen) Mädchen für alles

USB-Sticks sind als Massenspeicher auf der einen Seite überaus praktisch. Auf der anderen Seite sind sie eine nicht zu unterschätzende Gefahrenquelle für Datenschutz und IT-Sicherheit. Welche Möglichkeiten gibt es, Risiken zu minimieren?

Mit USB-Massenspeichern lassen sich sehr leicht Daten aus dem Unternehmen hinausschleusen. Die kleinen „Sesam-öffne-dichs“ können aber auch als Einfallstor für Schadcode dienen. Im Ergebnis ist es dann auch unerheblich, ob das unbeabsichtigt oder unrechtmäßig geschah.

USB-Speichersticks sind teilweise so winzig, dass sie selbst ein geübtes Auge nicht sofort erkennt, erst recht nicht, wenn die Farbe des USB-Sticks geschickt gewählt wurde.

Auch was die Menge der gespeicherten Daten angeht, sind die Geräte heute sehr flexibel.

Können schon beim Diebstahl von drei oder vier Gigabyte Daten erhebliche Schäden entstehen, wie viel mehr Schaden lässt sich dann erst mit den heute verkauften Sticks mit mehreren Terabyte Daten anrichten?

USB-Sticks als Schnittstelle für unterschiedliche Aufgaben

Viele Beschäftigte können sich ein Arbeiten am Computer ohne die „Mädchen für alles“, die USB-Sticks, kaum vorstellen.

Zu praktisch sind diese kleinen Geräte, die über die USB-Ports ohne Kompatibilitätsprobleme so gut wie überall funktionieren.

USB-Ports dienen in erster Linie als Schnittstelle für Komponenten, die im Arbeitsalltag nötig sind. Dabei kann es sich um alltägliche Geräte wie Tastatur und Maus handeln. Aber auch um mobile Arbeitsspeicher auf USB-Sticks und mehr oder weniger exotische Komponenten wie kleine Ventilatoren, die sich an den USB-Ports anschließen lassen.

USB-Geräte als Partyspaß runden das schier unüberschaubare Angebot an brauchbaren und überflüssigen USB-Komponenten ab. Dass viele davon für den Einsatz im Unternehmensumfeld nicht geeignet oder gar gefährlich sind, bedarf wohl keiner tieferen Erläuterung.

Waren die Geräte in der Vergangenheit eher dafür da, digitale Bilder, Dokumente, Videos oder Musik von einem Rechner auf einen anderen zu übertragen, kommen die Sticks mittlerweile auch als Datensafe, Zugangsschlüssel oder als bootfähiges Betriebssystem-Laufwerk zum Einsatz, um nur einige der Funktionen zu nennen.

Die meisten Einsätze dürften USB-Sticks jedoch nach wie vor in den Bereichen haben, wo rasch Dateien mitgenommen und woanders weiterverwendet werden müssen.

Wer eine Präsentation halten möchte, hat für alle Fälle einen USB-Stick dabei. Wer mit Kunden im Vertriebsgespräch rasch Daten austauschen möchte, kann genauso einen USB-Stick nutzen wie jemand, der testen möchte, ob Geräte sicher sind oder sich per USB-Stick austricksen lassen.

Welche Gegenmaßnahmen sind sinnvoll?

Ob die Aufgabe als Massenspeicher angesichts zahlreicher Cloud-Lösungen noch zeitgemäß ist, ist eine andere Frage.

Viele Anwender haben heute von nahezu überall her Zugriff auf die beruflich erforderlichen Daten. Das war ursprünglich die Stärke der USB-Sticks.

Andererseits gibt es noch die anderen USB-Komponenten, auf die die Beschäftigten nicht verzichten können. Auch wenn sich Mäuse und Tastaturen immer häufiger mit Bluetooth-Anwendungen betreiben lassen, ist es derzeit keine Option, aus Sicherheitsgründen komplett auf die USB-Ports zu verzichten.

Was lässt sich also tun, um die Gefahren trotzdem in den Griff zu bekommen?

Nur bestimmte USB-Geräte zulassen

USB-Sticks lassen sich über die Registry oder per Gruppenrichtlinie sperren. Das gilt je nach Einstellung entweder für alle USB-Geräte oder nur für Massenspeicher.

Die IT kann auch entweder vom Netzwerk aus oder mittels zusätzlicher Software grundsätzlich alle USB-Massenspeicher sperren, einzelne Geräte aber zulassen.

Damit kann die IT beispielsweise allen Mitarbeitern, die einen Stick benötigen, einen solchen Massenspeicher zur Verfügung stellen.

Dieser USB-Stick lässt sich an allen Rechnern oder auch nur an einzelnen Geräten im Netzwerk freigeben.

Sticks inventarisieren und verschlüsseln

USB-Sticks sind ein Sicherheitsrisiko für Datenschutz und Informationssicherheit. Sorgen Sie daher dafür, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen ergreift, um zu verhindern, dass es zu Datenschutzverletzungen kommt.

Hier ist es sinnvoll, zuerst einen Überblick über die zwingend erforderlichen USB-Sticks zu bekommen, diese zu inventarisieren, sie – ganz wichtig! – zu verschlüsseln und ihr Vorhandensein durch eine regelmäßige Kontrolle zu überprüfen.

PRAXIS-TIPP: Sprechen Sie die IT an, ob es einen verlässlichen Überblick gibt, welche USB-Komponenten im Unternehmen zugelassen sind.

Mutmaßlich wird es einen solchen Überblick noch nicht geben. Daher ist Selbsthilfe gefragt.

Untersuchen Sie doch einmal anhand einer Ortsbegehung, welche USB-Komponenten im Umlauf sind. Hier genügt eine kleine Stichprobe. Sie werden erstaunt sein, welche Komponenten die Mitarbeiter so verwenden.

Sind die Beschäftigten oder Externen ehrlich, werden wohl noch mehr genutzte Komponenten, v.a. Massenspeicher – sofern die USB-Ports nicht gesperrt sind –, in Ihrer selbst erstellten Liste auftauchen.

Beschäftigte sensibilisieren

Angesichts der zahlreichen Gefährdungen ist eine umfassende Sensibilisierung der Beschäftigten unumgänglich.

Programme, die einen Angriff per USB-Stick simulieren, finden sich zum Ausprobieren auf den Seiten von Sicherheitsunternehmen.

Am besten machen Sie das auf einem Rechner, der nicht ins Netzwerk kommt und sich nach dem Experiment wieder neu aufsetzen lässt. Drehen Sie von einer solchen Aktion einen kleinen Film oder führen Sie eine Simulation live in der Schulung vor.

Der Effekt bei den Teilnehmern ist erheblich. Denn viele können sich schlicht nicht vorstellen, dass auf diesem Weg eine reale Gefahr droht.

Geeignete Sensibilisierungsmaßnahmen sorgen darüber hinaus nicht nur dafür, dass die Beschäftigten die Risiken kennen – sie erinnern sie auch an ihre persönliche Verantwortung, falls sie gegen verbindliche Vorgaben des Verantwortlichen verstoßen.

Danach dann einen Test mit präparierten und „verlorenen“ Sticks wie eingangs beschrieben zu fahren, schadet sicher auch nicht. Das zeigt, ob die Botschaft bei den Beschäftigten wirklich angekommen ist.

Welche Risiken bestehen?

USB-Sticks sind alles andere als harmlos. Warum genau? Das zeigen die folgenden Punkte.

Risiko Datendiebstahl

Wird per USB-Schnittstelle eine Verbindung zu einem Massenspeicher aufgebaut, der mit Schadcode versehen ist, kann Datendiebstahl die Folge sein.

Steckt ein Externer einen Stick in einen Arbeitsplatzrechner ein und erlangt dadurch Zugang zum Unternehmensnetzwerk, kann in der Folge so ziemlich alles geschehen, von der Infektion der Systeme bis hin zu unkontrollierbarem Datenabfluss.

Mittels USB-Massenspeicher lassen sich auch innerhalb kürzester Zeit große Mengen an Daten kopieren. Das gilt selbst für Geräte, die auf den ersten Blick nicht ganz so gefährdet erscheinen, wie Multifunktionsgeräte, die Tausendsassas im Büroalltag.

Diese Geräte können Kopien erstellen, Daten einscannen, Faxe versenden und empfangen und auch einfach nur Dokumente ausdrucken. Und um diese Arbeit zu vereinfachen, haben die meisten dieser Geräte einen USB-Stecker. So lassen sich auch von mobilen Komponenten wie USB-Sticks Daten ausdrucken oder anderweitig weiterverarbeiten.

Mit entsprechend präparierten Sticks, klein und unscheinbar, könnte jemand im schlimmsten Fall alle nicht geschützten Daten von der Festplatte des Multifunktionsgeräts abziehen. Also auch eingescannte Konstruktionsunterlagen, gefaxte Patientendaten, Verträge usw.

Risiko Schadcode

USB-Sticks können Schadcode enthalten. Das kann in mehrerlei Hinsicht weitreichende Folgen haben:

  • Erstens ist die Gefahr recht groß, dass nicht geprüfte Geräte, die Beschäftigte über die USB-Ports an das System anschließen, schädliche Software übertragen. Je nach Virenprogramm oder Trojaner dauert es einige Zeit, bis die üblichen Schutzprogramme die Schädlinge entdecken. In der Zwischenzeit – wenige Sekunden Verzögerung reichen schon – können sie ordentlich Schaden anrichten.
  • Zweitens können Angreifer über USB-Sticks mit eigenem Betriebssystem leichter Schadprogramme in Computersysteme einschleusen als über das Internet, das in aller Regel zusätzlich per Firewall abgesichert ist.
  • Drittens registrieren die üblichen Log-Dateien Angriffe über USB-Sticks oft nicht. Man erfährt also nicht einmal im Nachhinein, dass verbotene Aktivitäten stattgefunden haben.

Risiko USB-Sticks von Beschäftigten

Bringen Beschäftigte von ihren Privatrechnern Daten per USB-Stick mit, etwa um den Kollegen Urlaubsfotos zu zeigen oder um Musik zu tauschen, besteht die Gefahr, dadurch den Arbeitsplatzrechner zu infizieren.

Vor allem wenn sich Beschäftigte privat bei nicht autorisierten Quellen bedienen, um sich Filme oder Musik herunterzuladen, ist die Infektionsgefahr nicht zu vernachlässigen.

Aber selbst wenn sich Beschäftigte auf einem eigens zugelassenen USB-Stick Dateien mit nach Hause nehmen, um dort weiterzuarbeiten, kann es zu einer Infizierung des Arbeitsplatzrechners kommen.

Das passiert nämlich dann, wenn auf dem Heimrechner eine Schadsoftware vorhanden ist. Verantwortliche müssen also auch erlaubte USB-Sticks einer Sicherheitsprüfung unterziehen.

Risiko Notebooks

Häufig verfügen Arbeitsplätze, an denen Beschäftigte mit Notebooks arbeiten, über eine sogenannte Docking-Station. Das ist eine Vorrichtung, in die das Notebook beim Arbeiten im Unternehmen eingeklinkt wird. Hier wird das Gerät während der Arbeit im Unternehmen aufgeladen und mit dem Netzwerk des Unternehmens verbunden.

Arbeiten die Beschäftigten jedoch mobil, nutzen sie nicht selten einen USB-Stick zum Datentransfer.

Risiko Werbegeschenke

Auf Messen verteilen Hersteller immer wieder USB-Sticks mit den eigenen Angeboten. Da diese Sticks in der Regel nicht komplett mit den Angebotsdaten belegt sind, sind sie bei den Messebesuchern beliebt, um eigene Daten darauf zu speichern, ohne selbst in einen USB-Stick investieren zu müssen.

Aber auch solche Sticks können eine Gefahr darstellen. Zwar wird kein Messeaussteller absichtlich einen Schadcode auf den verteilten Stick aufbringen. Doch könnten Angreifer eine dort verwendete Software als Backdoor missbrauchen.

Risiken für die betroffenen Personen

Aus Sicht der betroffenen Personen kann es zu Verletzungen ihrer Rechte und Freiheiten kommen, wenn die Schnittstellen bei den informationstechnischen Systemen nicht hinreichend geschützt sind.

Hier müssen Verantwortliche geeignete technische und organisatorische Maßnahmen treffen – allem voran dafür sorgen, dass die personenbezogenen Daten auf dem USB-Stick verschlüsselt sind –, um u.a. die folgenden Risiken zu entschärfen:

  • Risiko Vernichtung von Daten, beispielsweise durch Aufspielen eines Schadcodes, der Daten dauerhaft sperrt oder löscht. Die Gefahr besteht v.a. bei Geräten, auf denen nicht oder noch nicht synchronisierte Daten vorhanden sind. Dabei ist es egal, ob dies unberechtigt oder unbeabsichtigt geschieht.
  • Risiko Verlust von Daten, etwa durch Kopien personenbezogener Daten durch Unbefugte mittels präparierter oder einfach nur als Arbeitsspeicher verwendeter USB-Sticks. Dabei ist es egal, ob dies unberechtigt oder unbeabsichtigt geschieht.
  • Risiko Veränderung von Daten, z.B. durch vorübergehenden Abzug von personenbezogenen Daten und später erneutes Einspielen von veränderten Daten. Dabei ist es egal, ob dies unberechtigt oder unbeabsichtigt geschieht.
  • Risiko der unbefugten Offenlegung von personenbezogenen Daten, beispielsweise durch unbefugtes Kopieren von Daten über einen USB-Stick, der in einem nicht hinreichend gesicherten USB-Port eingesteckt wurde.
  • Risiko des unbefugten Zugangs zu personenbezogenen Daten, etwa durch unbefugtes Kopieren von Daten über einen USB-Stick, der in einem nicht hinreichend gesicherten USB-Port eingesteckt wurde, und anschließende Weiterbearbeitung dieser Daten.

Meldepflicht gegenüber der zuständigen Aufsichtsbehörde

Kommt es durch unsachgemäßen Einsatz von USB-Sticks zu einer Schutzverletzung von personenbezogenen Daten, muss der Verantwortliche gemäß Artikel 33 der Datenschutz-Grundverordnung (DSGVO) prüfen, ob er den Vorfall an die zuständige Aufsichtsbehörde für den Datenschutz melden muss.

Auf diese Meldung kann er nur verzichten, wenn es bei dem Vorfall nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen kommt. Eine entsprechende Prüfung lässt sich jedoch nur vornehmen, wenn bekannt ist, um welche Daten es sich handelt und ob sie verschlüsselt sind.

War der USB-Stick wirksam verschlüsselt, kann die Meldepflicht entfallen. Ist die Verschlüsselung in ihrer Wirkung fragwürdig, lässt sie sich also möglicherweise mit einfachen Mitteln überwinden, muss die Meldung dennoch erfolgen, dann allerdings unter Hinweis auf die Verschlüsselung.

Eine wirksame und starke Verschlüsselung von USB-Massenspeichern ist also in jedem Fall zu empfehlen.

Autor: Eberhard Häcker
Eberhard Häcker ist externer Datenschutzbeauftragter sowie Geschäftsführer TDSSG und Gründer von Team Datenschutz.

Kontakt

Wir freuen uns über Ihre Kontaktaufnahme. Sie erreichen uns über das Kontaktformular oder unter der Telefonnummer 0163 - 70 53 684

Mitgliedschaft

GDD Mitglied

Zertifizierung

Tüv Zertifikat