Als ich neulich an einem warmen Föhntag vor meinem Lieblingscafé in der Sonne saß, fiel mir ein Mann auf. Er ging von Tisch zu Tisch, schaute unter Tische und Stühle und trat den Kies auseinander. Irgendwann kam er zu mir und fragte, ob er auch hier gucken könne, er habe hier am Vormittag einen USB-Stick verloren. Wichtige persönliche Daten, sagte er, nicht verschlüsselt. Aber auch unter meinem Tisch nichts. Tja, so schnell kann es passieren.
Eigentlich müsste jeder wissen, dass man Daten, und schon gar personenbezogene oder andere wichtige, verschlüsselt, wenn man sie auf einem USB-Stick speichert, einfach weil die Speicher leicht mal verschwinden – vergessen, verloren, geklaut. Für Endanwender gibt es im Internet jede Menge kostenlose Tools samt Gebrauchsanweisung, die sicherstellen sollen, dass auch ungeübte IT-Anwender ihre Daten schützen können. Selbstverständlich kostet Verschlüsseln ein bisschen Zeit, aber die sollte es wert sein, wenn man seine Privatsphäre schützen und auch beim Abhandenkommen des Speicher-Mediums auf der sicheren Seite sein will. Aber Privatpersonen sind selbst verantwortlich dafür, wie sie mit ihren Daten umgehen.
In Unternehmen haben wir es, grob gesagt, mit zwei Arten von Daten zu tun, die vor unbefugtem Zugriff zu schützen sind. Das sind zum einen die, die das Unternehmen selbst für schützenswert hält, beispielsweise alles, woraus es seinen Wettbewerbsvorteil zieht wie Informationen aus Forschung und Entwicklung, aber auch Finanzdaten oder ähnliches. Bei diesen Daten entscheidet es selbst, ob und wie es sie schützt. Und dann gibt es die Daten, die es aufgrund gesetzlicher Bestimmungen wie dem Bundesdatenschutzgesetz (BDSG) und künftig der Europäischen Datenschutz-Grundverordnung (DSGVO) schützen muss.
USB-Speicher sind immer noch das beliebteste Medium für den Datentransport, etwa wenn Mitarbeiter mangels VPN Unterlagen zum Weiterarbeiten nach Hause mitnehmen oder zur Präsentation bei Kunden; häufig werden sie auch als mobile Arbeitsumgebung genutzt. Die meisten Unternehmen haben verstanden, dass die Sticks Datendiebstahl und Datenmissbrauch Tür und Tor öffnen können, vom Einschleppen von Schadsoftware ins Netzwerk ganz zu schweigen. Mitarbeiter werden für die mit ihnen verbundenen Gefahren sensibilisiert, Sicherheitsrichtlinien regeln den Umgang, klären Verfahren für den Fall, dass ein Stick abhandenkommt, und verpflichten die Mitarbeiter, die Daten zu verschlüsseln. Dafür gibt es verschiedene Verfahren:
Dateiverschlüsselung
Anwender können die Dateien mit einer auf ihrem Rechner installierten Verschlüsselungssoftware verschlüsseln und passwortgeschützt auf einem Stick speichern. Die Verschlüsselungssoftware muss zum Entschlüsseln auch auf den Rechnern installiert sein, auf denen die Dateien gelesen oder bearbeitet werden sollen. Für die Anwender bedeutet die Benutzung von Dateiverschlüsselung mehrere Schritte, die Entschlüsselung vor der Bearbeitung und die erneute Verschlüsselung für den Rücktransport der Dateien, und die Vergabe von Passwörtern für jede einzelne Datei.
Container-Verschlüsselung
Bei der Container-Verschlüsselung wird mit der Verschlüsselungssoftware ein verschlüsselter, passwortgeschützter Bereich auf dem USB-Stick angelegt, in dem die Anwender die Dateien speichern. Gegenüber der Dateiverschlüsselung besteht bei den meisten Container-Verschlüsselungen der Vorteil für die Anwender darin, dass die Datei vor dem Lesen oder Bearbeiten nicht entschlüsselt werden muss, die entsprechende Software also nicht auf dem Rechner installiert sein muss. Voraussetzung für den Zugriff auf die Datei ist ein Passwort.
Die Herausforderung bei der Verschlüsselung besteht jedoch weniger in der Wahl des passenden Verfahrens, sondern darin, dass die Mitarbeiter darüber entscheiden, ob sie verschlüsseln oder nicht. Selbstverständlich erhöht eine für die Anwender komfortable, weil mit weniger Arbeitsschritten zu bedienende Lösung die Wahrscheinlichkeit, dass sie tatsächlich verwendet wird. Trotzdem kann es vorkommen, dass der eine das Verschlüsseln einfach vergisst, der andere es gerade eilig hat und darauf verzichtet, damit er den Bus noch erwischt, oder ein dritter sich bevormundet fühlt und sich grundsätzlich über Richtlinien hinwegsetzt. Außerdem: Geben sich die Mitarbeiter, denen ein Speicher-Medium wegkommt, wirklich die Blöße, den Vorfall im Unternehmen zu melden? Und: Ist nachvollziehbar, welche Dateien, verschlüsselt oder unverschlüsselt, auf einem verlorenen Stick waren?
Mit anderen Worten: Verschlüsselung ins Belieben der Mitarbeiter zu stellen ist angesichts der Anforderungen der DSGVO und der drohenden Bußgelder bei Datenpannen eine riskante Strategie. Genauso verhält es sich, wenn im Unternehmen der Überblick über die eingesetzten USB-Sticks und die darauf gespeicherten Daten fehlt. USB-Sicherheit sollte deshalb umfassender angelegt sein und bei der Überwachung aller Speicher beginnen, die im Unternehmen eingesetzt werden.
So stellt die ganz klassische Software für Gerätekontrolle sicher, dass nur registrierte USB-Sticks benutzt werden, und nur von den Mitarbeitern, die dazu autorisiert sind. Die Übertragung von Dateien wird protokolliert und gegebenenfalls ein Dateimitschnitt erstellt. Wenn ein Speicher verloren geht, lässt sich lückenlos nachvollziehen, welche Dateien betroffen sind, und fundiert entscheiden, welche Maßnahmen ergriffen werden müssen, um Schaden für etwaige Betroffene und das Unternehmen zu verhindern oder zu verringern. Im Modul Device Control unserer DLP-Lösung Endpoint Protector ist zusätzlich eine Container-Verschlüsselung integriert, deren Benutzung nicht von den Anwendern initiiert werden muss, sondern standardmäßig und ohne Ausnahme für die Verschlüsselung sorgt, wann immer eine Datei auf einen Stick übertragen wird.
