Mitte Mai hat IBM allen Mitarbeitern weltweit verboten, USB-Laufwerke oder andere externe Speichermedien einzusetzen. Der Grund: das Risiko für den Ruf des Unternehmens und die Finanzen seien zu hoch. Anstatt zu versuchen, das Problem zu lösen, wer was auf welchen USB-Stick von welchem Computer mit welcher Art von Verschlüsselung kopiert, verfolgt IBMs Chief Information Security Officer (CISO), Shamla Naidoo, einen viel strengeren Ansatz nach dem Motto: „Wenn Sie Dateien verschieben wollen, benutzen Sie das Netzwerk”. Das ist ein mutiger Ansatz. In der modernen Cloud-Ära vielleicht aber nicht so abwegig. Viele Anwender sind es gewohnt, Daten in der Cloud zu sichern und sogar Dateien wie Fotos automatisch von einem Gerät hochzuladen und nahtlos mit einem anderen zu synchronisieren. Aber kann ein völliges Verbot für etwas, das so weit verbreitet und so nützlich ist wie USB-Laufwerke, wirklich funktionieren?
Wechseldatenträger sind ein großes Problem. Obwohl es sich heute um einen weniger verbreiteten (aber immer noch echten!) Malware-Infektionsvektor handelt, ist das größte Risiko heutzutage der Datenverlust. Da die europäische GDPR Ende dieses Monats einsetzt und Unternehmen, die sich nicht um ihre Daten kümmern, mit hohen Bußgeldern droht, ist der Zeitpunkt der neuen Regel von IBM kaum eine Überraschung. Denn wenn der Anwender kein USB-Datenträger hat, kann er Daten auch nicht verlieren und riskieren, dass sie an den falschen Stellen erscheinen.
Aber der Ansatz birgt natürlich auch andere Risiken. Völlige Verbote jeder nützlichen Technologie fördert Schatten-IT. Menschen sind sehr kreativ und finden oft eine Lösung, die riskanter ist als das, was verboten wird. Organisationen sind gut beraten, wenn sie den einfachen Weg zum sicheren Weg machen. Die Durchsetzung der USB-Verschlüsselung in einem Unternehmen der Größe von IBM ist wahrscheinlich sehr schwierig. Aber für ein Unternehmen von durchschnittlicher Größe ist es eine gute Möglichkeit, das Risiko zu minimieren. Gleichzeitig wird den Mitarbeitern eine Arbeitswese ermöglicht, mit der sie sich wohl fühlen. Auch die Bereitstellung von sanktionierten Cloud-Sharing-Diensten, kombiniert mit den richtigen Steuerelementen ist hilfreich, da das Kopieren von Daten auf USB-Laufwerke von vornherein vermieden werden kann. Eine praktische Sache beim Teilen statt beim Kopieren von Inhalten ist, dass es viel einfacher ist, sie zu prüfen und im Falle eines Fehlers wieder freizugeben.
Für IBM, ein riesiges IT-Unternehmen, das selbst ein großer Cloud-Provider ist, wird der Ansatz, USB-Laufwerke durch allgegenwärtige Netzwerkspeicher zu ersetzen, sicherlich funktionieren und auch von den Mitarbeitern weitgehend befolgt. Doch für kleine Unternehmen mit wenigen Mitarbeitern, die mal im Büro, mal von zu Hause und mal von unterwegs arbeiten, sind USB-Laufwerke für beispielsweise temporäre Backups oder kurzzeitige Überbrückung von Internetausfällen äußerst bequem und nützlich. Versucht man USB-Laufwerke zu verbieten, um IT-Aufwand zu sparen, kann es sehr wohl sein, dass das Gegenteil eintrifft. Denn es muss sich jemand darum kümmern, die vielen Sonderfälle wie Audio-Recorder oder Kameras zu behandeln. Deshalb hier einige Tipps für Unternehmen, die ein vollständiges Verbot von USB-Laufwerke nicht umsetzen können oder möchten:
- Verschlüsselung aller USB-Geräte. Es ist ein bisschen mehr Arbeit als nur ein „free-for-all“-Ansatz, aber wenn man alles routinemäßig verschlüsselt, muss man sich nie Sorgen machen, ob es irgendwelche Dateien gibt, die man vergessen hat.
- Anbieten von einfach zu bedienenden Alternativen. Wenn Mitarbeiter vom USB-Speicher entwöhnt werden sollen, benötigen diese eine Cloud-basierte Lösung, die sie verwenden möchten.
- Risikosensiblität bei allen Mitarbeitern stärken. Das Bannen von USBs stoppt den Datenverlust nicht – schließlich sind die in die Cloud kopierten Daten auch „woanders hin” gegangen. Also stellt man tunlichst sicher, dass Mitarbeiter wissen, warum es wichtig ist, sich um die Sicherheit zu kümmern.
- Überprüfung der Protokolle. Ob nun USBs, Cloud-Laufwerke oder beides verwendet werden: das Führen und Überprüfen aller Protokolle, wer was wo hingelegt hat ist wichtig. Wer allerdings Protokolle nicht einsehen will, brauchen diese nicht aufzubewahren. Das Sammeln von Daten ohne Zweck ist sinnlos.
Abschließend lässt sich sagen, dass Sichtbarkeit in der Computersicherheit entscheidend ist. Durch die Bereitstellung von Reporting-Tools für die gemeinsame Nutzung von Inhalten können CISOs dem Senior Management helfen, die Risiken und Vorteile von Sharing-Methoden zu verstehen, unabhängig davon, ob es sich um USB-Laufwerke oder Cloud-Dienste handelt.
Jaeger
Bei großen Firmen mit eigener IT-Abteilung mag ein komplettes USB-Stick – Verbot funktionieren. Bei kleineren Unternehmen und Ingenieurbüros mit wenigen Mitarbeitern sehe ich da schon mehr Schwierigkeiten.
Einige Mess- und Prüfgerätehersteller haben gerade erst umgestellt von Kabelverbindungen auf USB-Speicher; Fotoapparate, Diktiergeräte usw. speichern i.d.R. auch auf USB-Speicher. Eine Verschlüsselung von USB-Speichermedien, die auch in anderen Geräten genutzt werden, funktioniert nicht.
Cloudspeicher für den Austausch von Daten außerhalb des eigenen Gebäudes ist nur dann gebrauchstauglich, wenn schnelle Internetverbindungen (z.B. FTTH / FTTB) verfügbar sind, die auch brauchbare Uploadgeschwindigkeiten zur Verfügung stellen – und diese auch liefern. Hier sieht es in Deutschland mit DSL und “bis zu” noch recht düster aus, abgesehen von den Anschlüssen einiger regionaler Kabelnetzbetreiber.
An der Hardware sind dann außerdem Maßnahmen erforderlich, welche die Nutzung von Tastatur- und Mausanschlüssen für USB-Speicher verhindern, aber gleichzeitig die uneingeschränkte Nutzung von Hardware-Donglen ermöglichen. Diese sind bei Branchensoftware und auch bei Software, die von Ämtern zur Verfügung gestellt wird, noch weit verbreitet. Auch dafür gibt es fertige Lösungen, jedoch scheint der Aufwand hierfür recht hoch. Ein sicherer Gehäuseverschluss für die PC-Gehäuse kommt noch oben ‘drauf – sonst dockt der USB-Speicher auf dem Motherboard an.
Für kleine Unternehmen scheint mir ein separater “Multi-Media-PC” mit Internetanschluss aber ohne Intranet eine geeignete Lösung. Alle Daten werden dann von diesem separaten PC über Internet per E-Mail an das Firmennetz gesendet. Firewall, UTM, Sandbox, Mailserver usw. filtern die Daten und schützen so das Firmennetz. Nur bei großen Datenmengen (Vermessungsunterlagen, Videos, Fotodokumentationen, usw.) muss man sich Gedanken machen, wie diese transportiert werden.
Achim Schäfer
Bei einem kompletten USB-Verbot (das eigentlich auch z.B. die Cardreader für SD-Karten in vielen Notebooks einschließen müsste) bekommt man ziemlich “automatisch” eine Menge Akzeptanz-Probleme gerade mit den engagierten Mitarbeitern. Wie soll ich dann z.B. Fotos zur Dokumentation, die mit “richtigen” Kameras gemacht wurden, ins System bringen? Per WiFi? Abgesehen davon, dass dann die Kamera erst einmal in der IT registriert werden müsste, ist WiFi bei vielen (Semi)-Profi-Kameras entweder selten vorhandenes Zubehör, verlangt nach seltsamen Protokollen (Nikon…) oder nach FTP (ebenfalls Nikon) oder ist recht unbrauchbar (Sony). Regelt man dies über eine zentrale Stelle, fühlt man sich in das letzte Jahrhundert zurück versetzt… Per LAN? Das bieten nur ganz wenige Profi-Kameras und auch da müsste die jeweilige Kamera nicht nur vor Ort sein sondern auch noch registriert und freigegeben werden…
Aus meiner Sicht ist all dies der falsche Ansatz. Der richtige wäre, Betriebssysteme so zu konstruieren, dass z.B. solche Verschlüsselungs-Trojaner gar nicht erst funktionieren können. Z.B. in dem das gesamte Betriebssystem und alle installierten Programme wirklich “read-only” sind (Freischaltung zur Installation vielleicht sogar durch einen Hardware-“Schlüssel”), Daten müssen “Daten” sein und bleiben (d.h. evtl. enthaltener (Skript)-Code darf sich nur auf die eigenen Daten auswirken und keinesfalls auf irgendetwas außerhalb der eigenen Datei schreibend zugreifen usw.).
Auch dies wird Datendiebstahl nicht komplett verhindern, jedoch das unfreiwillige Ausspionieren und Sabotage relativ gut verhindern.
Datendiebstahl lässt sich nur verhindern durch Schulung UND loyale Mitarbeiter… Es wird zu oft vergessen, wieviel Knowhow sich in den Köpfen der Mitarbeiter befindet…
Achim Schäfer
und ganz vergessen: solche Konstruktionsfehler wie sie jetzt in der x86/x64-Architektur auftauchten (Spectre…) machen im Endeffekt sowieso alle anderen Massnahmen mehr oder weniger zum “Placebo”. Es ist höchste Zeit für einen kompletten Architektur-Neuanfang…
Daniel H
Ich sehe für KMU überhaupt keine Probleme USB Sticks und Cardreader zu verbieten. Das wird bei uns seit Jahren so gehandhabt und die Akzeptanz unter den Kollegen ist da. Firmeneigene Datenträger sind natürlich freigeschaltet, aber die bleiben immer im Unternehmen. Mitgebrachte USB Sticks funktionieren so nicht.
Wenn Dateien dann verteilt werden müssen (nach außen) nutzt man einfach Sharing Dienste in der Cloud oder hostet diese on premise. Dafür gibt es z.B. Nextcloud, Forshare, Seafile um mal einige zu nennen. Ich sehe jedenfalls keinen Grund 2018 noch einen Stick mit rum zu tragen, außer für die Windows Installation.