Wenn ein Unternehmen wie IBM seinen Mitarbeitern die Benutzung von USB-Sticks und anderen tragbaren Speichern untersagt, können schon einige Fragen zur Absicherung der Daten im Unternehmen aufkommen. Zum Beispiel: Warum kommt IBM erst jetzt auf den Gedanken, Speichermedien zu verbieten? Ist dem IT-Security-Verantwortlichen jetzt erst aufgegangen, dass sie ein Risiko darstellen? Wie hält es der Konzern grundsätzlich mit dem Schutz seiner Daten? Wie ist es um die Sicherheitsrichtlinien bestellt, wenn jetzt, kurz vor Anwendung der DSGVO, ein Speichermedien-Verbot ausgesprochen wird? Und wie wird die Einhaltung der Richtlinien überwacht? Hat man bei dem Verbot nicht bedacht, dass es möglicherweise Arbeitsabläufe gibt, die auf USB-Sticks angewiesen sind?
Das Pauschal-Verbot klingt, als handele es sich um einen Schuss aus der Hüfte, ausgesprochen beispielsweise in einem Moment der Verärgerung über einen Vorfall, von dem der Verantwortliche soeben erfahren hat, und ohne dass er sich vorher einen Überblick über die tatsächlichen Gegebenheiten verschafft hätte. Es ist anzunehmen, dass es im Unternehmen um den Schutz der Daten deutlich besser bestellt ist, als das Verbot mutmaßen lässt. IBM gehört zu den größten IT-Unternehmen der Welt und dürfte daher immer schon im Fokus von Angreifern aller Art stehen. Anders als andere ist der Konzern nicht mit großen Datenskandalen aufgefallen, und sein Know-how scheint er ebenfalls ordentlich zusammenzuhalten: Wie anderswo auch werden die IT-Verantwortlichen vor Ort das zum Schutz der Netze und der Daten und zur Erfüllung regulatorischer Vorgaben Notwendige und Richtige schon immer getan haben und weiterhin tun.
Selbstverständlich kann es vorkommen, dass Sicherheitsrichtlinien nicht eingehalten werden oder im Lauf der Zeit verwässern. Für manche Aufgaben und Prozesse sind Ausnahmeregelungen erforderlich, und Untersuchungen zeigen, dass Mitarbeiter Richtlinien ignorieren, manche in besonderen Situationen, manche im Wissen, dass ein Nachweis ohne technische Überwachung der Richtlinien schwierig sein dürfte. Einem technisch nicht unterstützten Speichermedien-Verbot drohen Übertretung und Verwässerung über kurz oder lang auch bei einem Unternehmen wie IBM.
Sobald eine solche Einschränkung technisch überwacht wird, beispielsweise mit unserer DLP-Lösung Endpoint Protector, hätte das Unternehmen selbst bei einem Verlust oder Diebstahl eines USB-Sticks mit sensiblen Informationen nichts zu befürchten. Denn mit der in das Modul „Device Control“ integrierten Verschlüsselungskomponente lassen sich die Daten beim Transfer auf den Stick standardmäßig verschlüsseln. Die Administration kann mit den entsprechenden Richtlinien sicherstellen, dass an Rechnern außerhalb des Firmennetzes nicht auf den Stick zugegriffen werden kann; umgekehrt kann die Benutzung privater Sticks am Arbeitsplatzrechner und damit der Eintrag von Malware verhindert werden.
Zudem kann bis auf Benutzerebene hinunter geregelt werden, wer einen Stick verwenden darf und ob er nur lesen oder auch schreiben kann. Die Mitarbeiter im IT-Support von IBM müssten daher nicht befürchten, dass sie ihren Job nur noch mit erheblich mehr Aufwand erledigen können. Und dass sie nur die Daten auf ihre Sticks packen können, die sie für ihre Arbeit brauchen, lässt sich über das Modul „Content Aware Protection“ für die Inhaltsprüfung einrichten. Sicherheit und zügiges Arbeiten müssen sich also nicht ausschließen.
Vielleicht wäre ein überlegteres Vorgehen sinnvoller gewesen, um für alle Angestellten verbindliche, überprüfbare Richtlinien für die Verwendung von Speichermedien vorzugeben, ohne Mitarbeiter zu verunsichern und ohne Kopfschütteln in der Öffentlichkeit zu ernten.
