USB Sticks erfreuen sich im privaten Bereich wie in Unternehmen nach wie vor großer Beliebtheit. Sie machen es schließlich einfach und bequem, Daten zu transportieren, auszutauschen und zu sichern. Stellen aber gerade deshalb auch ein nicht zu unterschätzendes Risiko für die Sicherheit der Unternehmens-IT dar. So belegte der USB Anschluss etwa im Verizon 2016 Data Breach Investigations Report (http://www.verizon.com/about/news/verizons-2016-data-breach-investigations-report-finds-cybercriminals-are-exploiting-human) den dritten Platz bei Datenlecks. Die sicherste Lösung wäre daher ein Verbot der Nutzung von USB Sticks im Unternehmen und eine technische Ausschaltung aller USB Anschlüsse. Dies ist aber für die meisten Unternehmen keine Option, weil dies hieße, bewährte Arbeitsprozesse und Abläufe entscheidend zu behindern. Mahr EDV (https://www.mahr-edv.de) gibt daher im Folgenden eine erste Orientierungshilfe, sich dem Problem zu stellen und einen praktikablen Umgang zu finden, der Sicherheitslücken trotz Einsatz von USB Sticks im Unternehmen zu schließen ermöglicht.

Das typische Bedrohungsszenario durch USB Sticks

Es wäre natürlich immer mehr oder weniger denkbar, dass ein Angreifer einen mit Schadprogrammen versehenen USB Stick in ihm zugängliche PCs mit offenen Ports steckt und damit eine Kettenreaktion fürs Netzwerk auslöst. Verbreiteter und subtiler ist folgendes Szenario: Ein herrenloser USB Stick - anscheinend von irgendwem im Konferenzraum versehentlich liegen gelassen oder auf dem Flur aus der Tasche gefallen - macht den Finder neugierig und er steckt ihn in seinen Arbeitsrechner, um zu schauen, was drauf ist. Prompt hätte sich ein Trojaner ein Einfallstor ins Unternehmensnetzwerk verschafft.

Was beim Umgang mit USB Sticks grundsätzlich zu beachten ist

Grundsätzlich sollten qualitativ hochwertige USB Sticks verwendet werden, die einen effektiven Passwortschutz und Verschlüsselungsprogramme unterstützen, ebenso wie jeder PC mit auf neuestem Stand gehaltener Sicherheitssoftware vor Angriffen zu schützen ist: Firewall, Antiviren-Software und Anti-Spyware. Wichtige Daten sind immer an mehreren Orten gleichzeitig aufzubewahren ( Backup (https://www.mahr-edv.de/cloud-backup)). Von herausragender Bedeutung ist es, dass Mitarbeiter private Daten und Firmendaten immer getrennt halten, also eher zwei USB-Sticks mit sich führen, als alles gemischt auf einem Stick zu speichern, wobei Sticks mit privaten Daten nicht an Firmenrechner angeschlossen gehören. USB Sticks, deren Herkunft unbekannt ist, sollten von Anwendern niemals genutzt, sondern IT-Experten übergeben werden.

Zentrales USB-Device-Management

Für Firmen empfiehlt sich ein zentrales USB-Device-Management. Das bedeutet die Entwicklung und Durchsetzung einer umfassenden Strategie zum Umgang mit USB-Sticks in firmenpolitischer und IT-technischer Hinsicht. Sämtliche Mitarbeiter wären in eine solche insofern einzubinden, als sie aufgeklärt werden über die Gefahren, das Grundkonzept des Unternehmens, den Sinn bestimmter Verhaltensregeln und in groben Zügen auch IT-technische Abwehrmaßnahmen, insbesondere, soweit diese durch Fehlverhalten unterlaufen werden könnten. Verlust, Diebstahl und Manipulation relevanter Geschäftsdaten sind Gefahren, die sich nur abwehren lassen, wenn die Mitarbeiter eines Unternehmens an einem Strang ziehen.