"Die häufigste Antwort, die ich von IT-Verantworlichen auf diese Frage bekommen ist ein 'ich weiß es nicht'", so Stephan Neumeier, Head of Enterprise Channels für Zentral, Süd- und Osteuropa sowie in den ehemaligen Sowjet-Staaten der SanDisk Enterprise Division.* Eine von uns in 2007 durchgeführte Studie ergab allerdings, dass über drei Viertel aller Angestellten (77 Prozent) persönliche USB-Sticks im Firmennetzwerk für ihre Arbeit nutzen."
IT-Verantwortliche schätzen diese Zahl hingegen auf lediglich 35 Prozent. Fatal, wenn man bedenkt, welche Sicherheitsrisiken Unternehmen dadurch eingehen. Die Daten sind nicht mehr geschützt, können verloren gehen oder gestohlen werden. Und auch Viren und Trojaner können so ins firmeneigene Netzwerk gelangen.
Wie können IT-Administratoren die Sicherheitslücke schließen?
1. "Zuerst einmal muss die Unternehmensführung eine klare Aussage zur Nutzung von privaten USB-Sticks am Arbeitsplatz treffen", sagt Neumeier. "Jeder sollte diese Richtlinien kennen und auch verstehen." Den Angestellten zu erklären, warum private Sticks verboten sind und welche Risiken sie für das Unternehmen und letztendlich auch für den Arbeitsplatz bedeuten, erspart eine Menge Unmut.
So fand SanDisk heraus, dass 44 Prozent der Arbeitnehmer Verständnis für eine solche Richtlinie hatten, nachdem ihnen die Problematik bewusst wurde. 23 Prozent hatten sich zuvor noch nie mit dieser Thematik befasst.
2. Statt private Sticks zu nutzen, sollte das Unternehmen interne USB-Sticks zur Verfügung stellen, die gemanaged werden und nur mit einer Authorisierung funktionieren. "Dadurch wird Verantwortung geschaffen und die Thematik immer wieder in den Vordergrund gestellt", ergänzt Neumeier.
3. Es ist wichtig, dass die internen Unternehmens-Sticks komplett verschlüsselt sind, damit die Daten, die mittels des Sticks transportiert werden, auch sicher sind. Die Verschlüsselung sollte so stark wie möglich sein, am besten eine Hardware-Verschlüsselung. In der Regel ist ein 256-bit AES Algorithmus die stärkste legal erwerbbare Verschlüsselung.
4. Automatisieren sie die Verschlüsselung, so dass sie nicht vergessen oder umgangen werden kann. "Oft ist Angestellten nicht bewusst, dass es bereits ausreicht, die Daten nur einmal nicht zu verschlüsseln, um sie zu verlieren", erklärt Neumeier.
5. Verwenden Sie Hardware-, nicht Software-Verschlüsselung, damit die Daten unversehrt bleiben. Hardwarebasierte Verschlüsselung benötigt keinen Treiber und keine Installation auf einem Host PC. Zudem hält es IT-Bedrohungen aller Art ab und ist einfach zu verwalten.
6. Behalten Sie einen Audit-Trail der Daten und Dateien, die auf die Flash-Laufwerke des Unternehmens kopiert werden. Die Management-Software für die Flash-Laufwerke sollte diese Informationen liefern. Der SanDisk-Umfrage zufolge werden am häufigsten folgende Daten auf ein Flash-Laufwerk kopiert: Kundendaten (25%), Finanzinformationen (17%), Geschäftspläne (15%), Mitarbeiterdaten (13%) und Marketingpläne (13%). Sie müssen also unbedingt wissen, was verwendet wird und von wem.
7. "Sie sollten eine unterstützende Software wählen, die das Wiederherstellen der Daten auf dem Stick ermöglicht", sagt Neumeier. Manchmal ist der Zugriff durch die IT-Administration notwenig und muss gewährleistet sein.
8. Verlorene oder gestohlene USB-Sticks sollten zerstört werden können bzw. die darauf enthaltenen Informationen sollten sich selbst zerstören. "Das klingt jetzt vielleicht nach 'James Bond' oder 'Mission Impossible', doch es ist möglich die Daten auf dem Stick nach einer gewissen Zeit zu zerstören. Dies erhöht zusätzlich die Sicherheit der sensiblen Information", so Neumeier.
9. Ein zentrales Management der Laufwerke ist sinnvoll, da Updates notwendig sind, die Information gesichert dokumentiert werden muss oder Zugangspasswörter vergeben werden müssen.
10. "Zuletzt sollten sie auch darauf achten, dass das Flash-Laufwerk flexibel ist und andere Sicherheitsanwendungen unterstützt, um ihren Daten die größtmögliche Sicherheit zu bieten", ergänzt Neumeier.
Welche Lösung bietet sich an?
Es bietet sich so z. B. eine Lösung an, die die einfache und vor allem sichere Kontrolle und Verwaltung von USB-Flash-Laufwerken mit einer Management-Software ermöglicht", sagt Neumeier. Unternehmen können mit solch einem Managed Service die Flash-Laufwerke als so genannte "Cooperate Drives" definieren. Nach der Festlegung können lediglich diese USB-Sticks im Unternehmen eingesetzt werden. "Ein unbefugtes Entwenden mit Hilfe privater Sticks ist damit unmöglich", erklärt Neumeier.
Auch die Vergabe unterschiedlicher Rechte ist möglich. Der IT-Administrator kann verschiedene User-Gruppen einrichten, die verschiedene Nutzungsmöglichkeiten der Daten haben. So könnten der einen User-Gruppe beispielsweise nur Lese-Rechte eingeräumt werden, während die andere uneingeschränkten Zugriff hat. Ein detailliertes Reporting ist ebenfalls sinnvoll.
* SanDisk Enterprise Division ist führend in der Herstellung von Flash-Lösungen für das Unternehmensumfeld.