Mitte Mai hat IBM allen Mitarbeitern weltweit verboten, USB-Laufwerke oder andere externe Speichermedien einzusetzen. Der Grund: das Risiko für den Ruf des Unternehmens und die Finanzen seien zu hoch. Anstatt zu versuchen, das Problem zu lösen, wer was auf welchen USB-Stick von welchem Computer mit welcher Art von Verschlüsselung kopiert, verfolgt IBMs Chief Information Security Officer (CISO), Shamla Naidoo, einen viel strengeren Ansatz nach dem Motto: „Wenn Sie Dateien verschieben wollen, benutzen Sie das Netzwerk”. Das ist ein mutiger Ansatz. In der modernen Cloud-Ära vielleicht aber nicht so abwegig. Viele Anwender sind es gewohnt, Daten in der Cloud zu sichern und sogar Dateien wie Fotos automatisch von einem Gerät hochzuladen und nahtlos mit einem anderen zu synchronisieren. Aber kann ein völliges Verbot für etwas, das so weit verbreitet und so nützlich ist wie USB-Laufwerke, wirklich funktionieren?
Wechseldatenträger sind ein großes Problem. Obwohl es sich heute um einen weniger verbreiteten (aber immer noch echten!) Malware-Infektionsvektor handelt, ist das größte Risiko heutzutage der Datenverlust. Da die europäische GDPR Ende dieses Monats einsetzt und Unternehmen, die sich nicht um ihre Daten kümmern, mit hohen Bußgeldern droht, ist der Zeitpunkt der neuen Regel von IBM kaum eine Überraschung. Denn wenn der Anwender kein USB-Datenträger hat, kann er Daten auch nicht verlieren und riskieren, dass sie an den falschen Stellen erscheinen.
Aber der Ansatz birgt natürlich auch andere Risiken. Völlige Verbote jeder nützlichen Technologie fördert Schatten-IT. Menschen sind sehr kreativ und finden oft eine Lösung, die riskanter ist als das, was verboten wird. Organisationen sind gut beraten, wenn sie den einfachen Weg zum sicheren Weg machen. Die Durchsetzung der USB-Verschlüsselung in einem Unternehmen der Größe von IBM ist wahrscheinlich sehr schwierig. Aber für ein Unternehmen von durchschnittlicher Größe ist es eine gute Möglichkeit, das Risiko zu minimieren. Gleichzeitig wird den Mitarbeitern eine Arbeitswese ermöglicht, mit der sie sich wohl fühlen. Auch die Bereitstellung von sanktionierten Cloud-Sharing-Diensten, kombiniert mit den richtigen Steuerelementen ist hilfreich, da das Kopieren von Daten auf USB-Laufwerke von vornherein vermieden werden kann. Eine praktische Sache beim Teilen statt beim Kopieren von Inhalten ist, dass es viel einfacher ist, sie zu prüfen und im Falle eines Fehlers wieder freizugeben.
Für IBM, ein riesiges IT-Unternehmen, das selbst ein großer Cloud-Provider ist, wird der Ansatz, USB-Laufwerke durch allgegenwärtige Netzwerkspeicher zu ersetzen, sicherlich funktionieren und auch von den Mitarbeitern weitgehend befolgt. Doch für kleine Unternehmen mit wenigen Mitarbeitern, die mal im Büro, mal von zu Hause und mal von unterwegs arbeiten, sind USB-Laufwerke für beispielsweise temporäre Backups oder kurzzeitige Überbrückung von Internetausfällen äußerst bequem und nützlich. Versucht man USB-Laufwerke zu verbieten, um IT-Aufwand zu sparen, kann es sehr wohl sein, dass das Gegenteil eintrifft. Denn es muss sich jemand darum kümmern, die vielen Sonderfälle wie Audio-Recorder oder Kameras zu behandeln. Deshalb hier einige Tipps für Unternehmen, die ein vollständiges Verbot von USB-Laufwerke nicht umsetzen können oder möchten:
- Verschlüsselung aller USB-Geräte. Es ist ein bisschen mehr Arbeit als nur ein „free-for-all“-Ansatz, aber wenn man alles routinemäßig verschlüsselt, muss man sich nie Sorgen machen, ob es irgendwelche Dateien gibt, die man vergessen hat.
- Anbieten von einfach zu bedienenden Alternativen. Wenn Mitarbeiter vom USB-Speicher entwöhnt werden sollen, benötigen diese eine Cloud-basierte Lösung, die sie verwenden möchten.
- Risikosensiblität bei allen Mitarbeitern stärken. Das Bannen von USBs stoppt den Datenverlust nicht – schließlich sind die in die Cloud kopierten Daten auch „woanders hin” gegangen. Also stellt man tunlichst sicher, dass Mitarbeiter wissen, warum es wichtig ist, sich um die Sicherheit zu kümmern.
- Überprüfung der Protokolle. Ob nun USBs, Cloud-Laufwerke oder beides verwendet werden: das Führen und Überprüfen aller Protokolle, wer was wo hingelegt hat ist wichtig. Wer allerdings Protokolle nicht einsehen will, brauchen diese nicht aufzubewahren. Das Sammeln von Daten ohne Zweck ist sinnlos.
Abschließend lässt sich sagen, dass Sichtbarkeit in der Computersicherheit entscheidend ist. Durch die Bereitstellung von Reporting-Tools für die gemeinsame Nutzung von Inhalten können CISOs dem Senior Management helfen, die Risiken und Vorteile von Sharing-Methoden zu verstehen, unabhängig davon, ob es sich um USB-Laufwerke oder Cloud-Dienste handelt.