Klein, handlich und bequem: USB-Sticks gibt es in allen Farben und Formen – vom eleganten Schlüssel bis zum Rohrstück als Werbeträger für Installateure. Wenn es um den Transport digitaler Daten geht, haben USB-Sticks im Alltag längst die CD oder DVD abgelöst, Speichergrößen von acht Gigabyte zählen inzwischen zum Standard, kosten unter 20 Euro. Doch die Datenzwerge bergen auch Gefahren und verleiten ihre Benutzer oft zum leichtfertigen Gebrauch. „Gerade im Geschäftsleben müssen Sie lernen, mit USB-Sticks umzugehen – so wie Sie gelernt haben, ihre Bürotür abzuschließen“, betont Diplom-Informatiker und Buchautor Markus Linnemann. Der Geschäftsführer des Instituts für Internet-Sicherheit an der FH-Gelsenkirchen reist zu Unternehmen, um dort praktisch und humorvoll Sicherheitslücken zu demonstrieren – „Live-Hacking“ genannt. Dabei verteilt er manchmal heimlich einige präparierte USB-Sticks auf den Firmenschreibtischen. „Meist vergeht nur kurze Zeit, bis ein Mitarbeiter kommt und einen der Sticks einfach aus Neugier in seinen PC steckt“, berichtet Linnemann. Im Ernstfall wäre der Computer dann mit einem Virus oder anderer Schadsoftware infiziert gewesen.
Nora Basting – BSI-Sprecherin
Zur Vorsicht beim Gebrauch von USB-Sticks mahnte ebenso das Bundesamt für Sicherheit in der Informationstechnik (BSI) – wegen der Verbreitung neuer Windows-Viren. „Ob Firmenpräsentationen, MP3- oder Textdateien, sie alle werden oft auf USB-Sticks gespeichert und von Computer zu Computer weitergereicht. Diese Weitergabe bietet Schadsoftware wie dem ‚Conficker-Wurm’ ideale Möglichkeiten, sich auf einer Vielzahl von Systemen auszubreiten“, erklärt BSI-Sprecherin Nora Basting. Dabei stützt sich das Amt auf diverse Berichte wie dem der Shadowserver-Foundation, die bestätigen, dass zurzeit weltweit mehr als sieben Millionen Rechner mit dem seit einem Jahr aktiven Conficker-Wurm infiziert sind. Es sei also durchaus denkbar, dass auch künftige Schadsoftware auf die Verbreitung via USB-Stick setzt, warnt Basting.
Betroffen von dieser Gefahr sind vor allem die Betriebssysteme Windows XP, 2000, Vista und Windows 7, die standardmäßig mit einer so genannten „Autorun-“ beziehungsweise „Autoplay-Funktion“ ausgestattet sind. USB-Sticks, die über eine Autostart-Datei verfügen, starten automatisch ein Programm, wenn sie eingesteckt werden. Das kann ein schädlicher Virus oder ein Trojaner sein, der heimlich Daten ausspäht und via Internet versendet. Meist laufen diese Schadprogramme unsichtbar und vom Nutzer völlig unbemerkt. Der „Conficker-Wurm“ zum Beispiel setzt gezielt auf die Naivität der USB-Stick-Benutzer.
Autoplay- bzw. Autorun-Deaktivierung
Hier wird erklärt, wie Sie unter Windows XP, 2000, Vista, 7 die Autoplay- bzw. Autorun-Deaktivierung für externe Medien wie USB-Sticks abschalten:
http://support.microsoft.com/kb/967715/de
Die Folgen unwissentlich übertragener Schadsoftware können weitreichend sein: Infiziert beispielsweise ein Verkäufer bei einer Präsentation den PC eines Kunden, kann das ebenso juristische Konsequenzen für den betroffenen PC-Besitzer – zum Beispiel ein Unternehmen – haben. „Im Rahmen der Haftung ist auch ein Mitverschulden des geschädigten Unternehmens aufgrund unterlassener Sicherungsmaßnahmen zu berücksichtigen“, wie der Düsseldorfer Rechtsanwalt und Datenschutzexperte Peer Lambertz meint, „Denn wer verlangt, dass ein Dritter Maßnahmen zum Schutz vor Viren und Malware ergreift, muss sich auch in seinem Einflussbereich diesen Anforderungen stellen.“ Die Frage des Mitverschuldens sei unter anderem davon abhängig, inwiefern das geschädigte Unternehmen schutzwürdig ist – „etwa weil es bei Vertragsverhandlungen mit dem Verkäufer ein besonderes Vertrauen in Anspruch nimmt und insofern darauf vertrauen durfte, dass der USB-Stick virengeprüft ist“, so Lambertz. Per Gesetz wurden Unternehmen verpflichtet, ab September 2009 die Daten ihrer Kunden besser zu schützen und mögliche Datenpannen zu veröffentlichen.
5 Tipps zum sicheren Gebrauch von USB-Sticks:
Markus Linnemann
von Markus Linnemann, Informatiker und Geschäftsführer des Instituts für Internet-Sicherheit an der FH Gelsenkirchen
- Keine fremden USB-Sticks am eigenen Rechner verwenden. Falls kein Weg daran vorbeiführt, mindestens mit aktueller Anti-Virensoftware prüfen. Autorun- beziehungsweise Autoplay-Funktion deaktivieren.
- In größeren Unternehmen: USB-Stick-Management einführen. Nur verschlüsselte und dem System bekannte USB-Sticks verwenden. Dazu gibt es Software diverser Hersteller, die zum Beispiel die ID ausliest und nur bekannte Sticks zulässt.
- Laufend über Sicherheitsrisiken informieren und Mitarbeiter sensibilisieren.
- Basissicherheit beachten: Immer aktualisierte Virenschutz-Software verwenden, laufend Programme aktualisieren, Firewall verwenden.
- Eigenen USB-Stick mit sensiblen Daten nicht in fremde PCs stecken, es besteht Ausspähgefahr! Zudem können USB-Sticks ohne Schreibschutz von Schadsoftware infiziert werden.
Weitere Informationen: www.internet-sicherheit.de
Datentresor: Schutz bei Verlust
Rechtsanwalt und Datenschutzexperte Peer Lambertz
Es sind nicht nur Viren, Würmer und Trojaner, welche für die handlichen Sticks eine Gefahr darstellen. Unternehmensmitarbeiter verwenden hochbrisante Kundendaten auf den kleinen Speichern und sind sich nicht über die möglichen Risiken bewusst. „In datenschutzrechtlicher Hinsicht ist stets die veranwortliche Stelle, also das Unternehmen des Mitarbeiters, gegenüber den Betroffenen verantwortlich. Dies gilt umso mehr, als heutzutage ausgereifte sicherheitstechnische Lösungen gegen den unberechtigten Zugriff auf USB-Sticks existieren, etwa durch Passwörter oder Fingerabdrucksensor. Im Innenverhältnis zwischen Mitarbeiter und Unternehmen kommt – je nach firmeninterner Regelung und den Umständen des Einzelfalls – auch eine Haftung des Mitarbeiters in Betracht“, erklärt Datenschutzexperte Lambertz die Rechtslage.
Für Unternehmen und Selbständige sowie Privatpersonen existieren heute zahlreiche technische Lösungen, mit deren Hilfe die Sticks entweder komplett per Software oder Hardware verschlüsselt werden oder sich sichere „Datentresore“ anlegen lassen. Wird der Stick gestohlen oder verloren, sind die Daten für den Dieb oder Finder unbrauchbar. Kopien sollten allerdings auf einer anderen Festplatte existieren – oder alternativ in so genannten „Online-Tresoren“ wie beispielsweise bei Wuala, der zum französischen USB-Speichermedienhersteller Lacie gehört. Im Kaufpreis von Lacie-USB-Sticks sind vier Gigabyte kostenfreier, verschlüsselter Online-Speicherplatz bei Wuala enthalten.
Technische Lösungen – Beispiele:
Wir stellen Ihnen drei beispielhafte Produkte mit unterschiedlichen Ansätzen zur USB-Stick-Sicherheit vor:
USB-Bouncer
Eine Software, die als „Türsteher“ zum Schutz der USB-Schnittstellen arbeitet. Nur vorher registrierte USB-Speichermedien werden am USB-Port des PCs, auf dem der „Bouncer“ läuft, akzeptiert („Whitelist-Verfahren“). Die Software verhindert so auch den Gebrauch von privaten USB-Sticks an Firmenrechnern.
www.usb-security.org
Safey
Sicherer Datentresor für Dokumente, Kennworte, Bankdaten wie TANs und Notizen. Die Besonderheit: Safey ist ein ausführbares Programm, in dem auch alle verschlüsselten (nach „Blowfish 448 Bit“) Dokumente enthalten sind. Es läuft auf allen Windows-Systemen und muss nicht gesondert installiert werden. Beim Start wird ein Kennwort abgefragt.
www.safey.de
Safestick
Hardware-verschlüsselte USB-Sticks (nach „AES 256 Bit“), die keine gesonderte Software-Lösung benötigen: Einstecken, Passwort eingeben und Loslegen. Die prämierte Lösung hat allerdings ihren Preis: So kostet ein einzelner 8 GB großer Stick rund 125 Euro. Zusammen mit dem Programm Safeconsole bieten die Safesticks ein umfassendes USB-Management für mittelständische Unternehmen. Safestick und Safeconsole wurden von der Initiative Mittelstand als innovativstes Produkt 2009 ausgezeichnet.
www.prosoft.de/produkte/safestick/