(13.3.2013)
Weitergabe-Kontrolle auch bei Verwendung von USB-Sticks
Aus dem täglichen Arbeitsleben sind USB-Sticks fast nicht mehr wegzudenken. Wir haben zum Beispiel oft eine Version unserer Folien für Datenschutzschulungen auf einem Stick dabei – und das ist sehr hilfreich, wenn sich das Notebook einfach nicht mit dem Beamer im Schulungsraum verbinden lassen will.
Allerdings sind auf unseren Sticks auch keine sensiblen Daten und im Falle eines Verlusts könnte der Finder lediglich etwas zum Thema Datenschutz lernen.
Im Rahmen der Weitergabe-Kontrolle stellen USB-Sticks tatsächlich ein Problem dar: Sie sind klein (d. h. leicht zu verlieren oder zu verstecken) und sie fassen erstaunliche Datenmengen.
Für alle Bereiche, in denen Sie die Verwendung von USB-Sticks nicht vermeiden können oder wollen, sollten Sie möglichst mindestens eine der folgenden Schutzmaßnahmen ergreifen:
-
- Zulassen registrierter USB-Sticks
Es ist möglich, nur “bekannte” (also registrierte) USB-Sticks auf den Systemen des Unternehmens zu akzeptieren: Es gibt verschiedene Software-Hersteller, die entsprechende Systeme anbieten.
Es werden dabei USB-Sticks über ihre eindeutige Seriennummer bestimmten Mitarbeitern zugeordnet. Alle Aktivitäten wie zum Beispiel kopieren / löschen / verschieben werden dabei protokolliert und fremde USB-Sticks werden an den unternehmenseigenen Rechnern technisch ausgeschlossen. Die Tatsache, dass den Mitarbeitern die Protokollierung ihrer Aktivitäten mit dem USB-Stick bewusst ist, bietet unter Umständen eine zusätzliche Sicherheit. Allerdings sind diese Systeme zurzeit noch recht teuer und beim Einsatz unterschiedlicher Systemplattformen kann es zu Problemen kommen. - Sperren der USB-Ports
Es ist in der Regel nicht erforderlich, dass alle Rechner mit USB-Schnittstellen ausgestattet sind. Überlegen Sie sich, an welchen Rechnern Schnittstellen sinnvoll sind und an welchen nicht. Beispielsweise könnte man den Präsentations-Rechner im Besprechungsraum für die USB-Sticks von Gästen bzw. Geschäftspartnern öffnen und Systeme, mit denen sensible Daten verarbeitet werden, durch eine Deaktivierung der USB-Ports schützen. - Verschlüsselung der Daten
Es gibt verschiedene Möglichkeiten, Verschlüsselung als Schutz von Daten bei der Weitergabe per USB-Stick einzusetzen. Eine ist, einen sogenannten verschlüsselten Container auf dem Stick anzulegen, in dem sich schützenswerte Daten befinden. Bei dieser Variante ist es aus meiner Sicht sinnvoll, möglichst den kompletten Speicherplatz des USB-Sticks zu verschlüsseln:
Die Erfahrung zeigt leider, dass Mitarbeiter, die einen verschlüsselten und einen unverschlüsselten Bereich auf ihrem USB-Stick haben, aus Gründen der Zeitersparnis die Daten eher im unverschlüsselten Bereich ablegen. - Regelung in einer Arbeitsanweisung
Die beiden erstgenannten Möglichkeiten sind überwiegend technische Maßnahmen zum Schutz von Daten vor unbefugtem Zugriff. Sie können alternativ eine Arbeitsanweisung erstellen, in der mindestens folgende Punkte geregelt sein sollten:
- Zulassen registrierter USB-Sticks
- Wie und wann dürfen USB-Sticks eingesetzt werden?
- Wie ist mit den Datenträgern umzugehen (Aufbewahrung etc.)?
- Welche Maßnahmen sind bei Verlust zu treffen?
- Welche weiteren Maßnahmen (z. B. Verschlüsselung) sind zu treffen?
Diese Arbeitsanweisung könnte zum Beispiel bei Übernahme eines USB-Sticks vom Mitarbeiter unterzeichnet werden.