Praktisches Teufelszeug

19.11.2007: Umgang mit USB-Sticks in der betrieblichen Praxis

USB-Speicher sind gleichermaßen praktisch wie riskant. Angesichts der immensen Verbreitung dieser handlichen Systeme sollte jede Organisation die zugehörigen Risiken ergründen und Vorsichtsmaßnahmen für den eigenen Gebrauch treffen.

USB-Sticks haben die Diskette als Speichermedium nahezu komplett abgelöst. Durch den enormen Preisverfall und die Verfügbarkeit selbst bei Lebensmitteldiscountern sind sie enorm verbreitet. Im Unternehmen muss man deshalb immer damit rechnen, dass Mitarbeiter auch mal einen privaten USB-Stick mitbringen und in den dienstlichen Rechner stecken, was unter Umständen eine Gefährdung der internen Systeme und Daten bedeutet.

Doch auch offiziell eingesetzte USB-Medien stellen einen Risikofaktor dar: einerseits für die darauf gespeicherten Daten (Verlust, Ausspähung), aber auch als "Store-and-Foward"-Schnittstelle ins interne Netz sowie als Mikro-Plattform für (evtl. unerwünschte oder gefährliche) Software. Selbst spezifische Hacker-Tools existieren mittlerweile für die handlichen Systeme.

Beim Anschluss von USB-Speichern an Windows-Systeme laufen - je nach Systemkonfiguration und Inhalt des Datenträgers - verschiedene Vorgänge automatisch oder nach kurzer Bestätigung durch den Benutzer ab, um betriebssystem- (Plug&Play, Treiber, ...) oder applikationsgesteuerte Vorgänge anzustoßen. Auch das Booten eines PCs ist vom USB-Stick möglich: Ob das funktioniert, hängt nicht zuletzt vom BIOS des Rechners ab. Neuere BIOS-Versionen können in der Regel von beiden erwähnten Formaten booten, ältere sind jedoch häufig auf eines festgelegt; hier hilft im Zweifel nur Ausprobieren.

Zur Beschränkung der allgemeinen Nutzung oder der erlaubten Funktionen von USB-Speichern (und anderer Plug&Play-Hardware) gibt es eine Reihe von Windows-Einstellungen (Gruppenrichtlinien etc.) und spezifische Sicherheitssoftware zur Device-Verwaltung, die entsprechend einer Unternehmens-Policy eingerichtet und genutzt werden sollten.

USB-Stick-Policy

Die folgenden Punkte sollten in einer Nutzerordnung beziehungsweise Betriebsvereinbarung geregelt sein:

  • Die Nutzung privater USB-Sticks im Unternehmen ist nicht erlaubt.
  • Das Starten nicht-freigegebener Software von einem USB-Stick ist nicht erlaubt.
  • Sind auf dienstlichen USB-Sticks personenbezogene oder andere vertrauliche Daten gespeichert, so muss der USB-Stick am Arbeitsplatz verbleiben und bei Nichtnutzung weggeschlossen werden.
  • Werden auf dienstlichen USB-Sticks personenbezogene oder andere vertrauliche Daten transportiert, so sind die gespeicherten Daten zu verschlüsseln.
  • Dienstliche USB-Sticks mit personenbezogenen oder anderen vertraulichen Daten dürfen nicht an unternehmensfremde Rechner angeschlossen werden.
  • Zum Anschluss an unternehmensfremde Rechner ist ein seperater USB-Stick zu nutzen. Dieser muss über einen Schreibschutzschalter verfügen und darf nur öffentliche Daten enthalten.
  • Für die Einhaltung der Regeln ist der Mitarbeiter verantwortlich, dem der Stick zur dienstlichen Nutzung überlassen wurde.
  • Ein Verstoß gegen diese Regeln hat arbeitsrechtliche Konsequenzen.

Erhält eine Mitarbeiterin oder ein Mitarbeiter einen dienstlichen USB-Stick, so sollten diese Regeln mit Übergabe des USB-Sticks schriftlich ausgehändigt und gegebenenfalls unterschrieben werden. Der Anschluss unternehmensfremder USB-Sticks an Rechner im Unternehmen ist in der allgemeinen Policy zu regeln.

Autor: Rainer W. Gerling, München
Quelle und ausführliche Infos/vollständiger Artikel: www.kes.info