Im Rahmen des Trojaner-Befalls des Berliner Kammergerichts mit Emotet gegen Ende September, wurde bekannt, dass die Richter und Mitarbeiter jahrelang leichtfertig mit sensiblen Daten umgegangen seien und der Austausch dienstlicher Daten via USB Sticks zwischen Privat- und Arbeitsrechnern zum Alltag gehört haben solle (Der Tagesspiegel berichtete). Bei einem solchen Umgang kann grundsätzlich das Risiko bestehen, dass Mitarbeiter einer öffentlichen Einrichtung oder eines Unternehmens auch ihre Privatrechner mit einem Virus infiziert haben, der zuvor den Arbeitsplatz verseucht hat. Laut Tagespiegel raten Experten im Fall des Berliner Kammergerichts dazu infizierte Privatrechner direkt zu verschrotten. Ob das tatsächlich sinnvoll ist, erscheint mir jedoch als fragwürdig, da mir keine Fälle einer automatischen Verbreitung von Emotet per USB Stick bekannt sind und zuvor eine vollständige Neuinstallation des Systems vorgenommen werden könnte.
Im Zuge der weitreichenden Implikationen durch den Virusbefall im Berliner Kammergericht sollte sich jedoch jeder der Gefahren bewusst sein, die mit der Nutzung von mobilen Datenträgern, wie USB-Sticks, einhergehen, und entsprechende Maßnahmen dagegen umsetzen. Die Gefährdungen wollen wir im Folgenden etwas ausführlicher beleuchten und als Fazit entsprechende Maßnahmen angeben.
Geräteverlust
USB Sticks können sehr schnell verloren gehen. Sie sind sehr klein und geraten gerne aus dem Blickfeld. Ob sie dabei auf der Arbeit in eine Schublade gelegt und vergessen werden oder in die letzte Ecke einer Aktentasche gerutscht sind, spielt dabei keine Rolle. Genauso schnell können USB Sticks auch im privaten Umfeld verschwinden. Beispielsweise wenn ein herumliegender USB Stick von einem Familienmitglied eingesteckt wird, der diesen gerade dringend benötigt. Vielleicht fällt der USB Stick aber auch einfach auf dem Weg zur Arbeit in der U-Bahn aus der Hosentasche oder wird beim Durchsuchen des Rucksacks auf dem Heimweg heraus gewühlt…
Datenverlust
In all diesen Situationen gelangen Informationen bspw. eines Unternehmens nach außen und gehen verloren. Besonders schlimm ist dies, wenn sich auf dem Datenträger die Dateien für den nächsten Termin befinden, an denen grade noch letzte Änderungen vorgenommen wurden. Dann folgt aus dem Geräteverlust ein Datenverlust. Dies kann betriebswirtschaftliche Folgen nach sich ziehen, wenn sensible Informationen nicht mehr verfügbar und auch nicht aus Datensicherungen wiederherstellbar bzw. wiedererarbeitbar sind.
Gerätediebstahl
Parallel zum Geräteverlust können die kleinen Datenträger auch gestohlen werden. Bei einem Rempler in der Fußgängerzone oder einfach beim Warten in einer Schlange, können die kleinen USB-Sticks von Taschendieben entwendet werden. Ebenso einfach kann auch ein Gast oder Besucher im Unternehmen bei einer Führung oder Begutachtung der Räumlichkeiten einen unbeaufsichtigten USB Stick unbemerkt von einem Schreibtisch oder aus einem Regal entfernen und einstecken. Auch hier gelangen Informationen des Unternehmens nach außen und sogar in die Hände dritter Personen.
Datendiebstahl
Sind die Informationen auf einem USB Stick nicht separat verschlüsselt, können alle Personen, die sowohl nach einem Geräteverlust als auch nach einem Gerätediebstahl in den Besitz des Datenträgers gekommen sind, auf alle Informationen und Daten zugreifen. Damit gelangen Daten in die Hände Dritter, die die Daten einsehen, analysieren, verändern und auch veröffentlichen können. Im Bereich der Wirtschaftsspionage kann das Einsehen einer Präsentation zu der neuen Produktionstechnik einen riesigen Schaden für ein Mitbewerber verursachen. Das Veröffentlichen von sensiblen Kunden oder Mitarbeiterdaten kann sogar rechtliche Folgen nach sich ziehen.
Nutzungsmissbrauch
Nimmt ein Mitarbeiter einen USB Stick zur Weiterbearbeitung oder zum Lesen von Dokumenten mit nach Hause, kann es sich dabei bereits um einen Missbrauch der Nutzung handeln, sofern dies vom Arbeitgeber nicht erwünscht ist. Ist zudem ein USB Stick möglicherweise von Familienmitgliedern oder Freunden zu Hause zugänglich und wird zum Austauschen der Fotos vom letzten Urlaub verwendet, handelt es sich ebenfalls um einen Nutzungsmissbrauch. Sind auch hier die Daten nicht durch eine Verschlüsselung gesichert, können wieder unbefugte Personen auf möglicherweise sensible Daten der Firma zugreifen. Mögliche Folgen wurden in den vorangehenden Abschnitten bereits besprochen. Grundsätzlich dürfen dienstliche Geräte nie unbeaufsichtigt oder frei zugänglich aufbewahrt werden.
Schadsoftware
Bei einer privaten Nutzung werden private Daten auf einen USB Stick gespeichert. Dabei können sowohl ungeschützte firmeninternen Dokumenten gelesen, als auch Schadsoftware auf den USB Stick unbewusst übertragen werden. Wird ein verseuchter Datenträger wieder mit auf die Arbeit genommen und von einem Mitarbeiter an einen Rechner angeschlossen, kann sich Schadsoftware unbeabsichtigt auf dem Rechner und im schlimmsten Fall sogar im gesamten Netz ausbreiten.
Anders herum kann bei einer solchen privaten Nutzung ein Virus auch von der Arbeit aus über einen infizierten Datenträger auf private Geräte übertragen werden; Beispiel dafür wäre die Funktion zur automatischen Weiterverbreitung von Trickbot kombiniert mit anderer Schadsoftware. Heise beschreibt dazu in einem aktuellen Artikel das Zusammenspiel zwischen Emotet, Trickbot und Ransomware.
Fazit
Eine unkontrollierte und gestreute Nutzung von mobilen Datenträgern sollte vom Arbeitgeber unterbunden werden. Dazu ist es wichtig, dass Mitarbeiter entsprechend geschult werden und sich der Gefahren im Umgang mit USB Sticks stets bewusst sind. Gegen einen Datenverlust und den Diebstahl hilft bereits die Verschlüsselung der Daten mit einem aktuellen Verfahren und einem starken Passwort. „Fremde“ Datenträger sollten zudem in einem Unternehmen nicht verwendet werden. Mit einer Gerätekontrolle (Device Control) beispielsweise können solche Geräte gezielt blockiert werden. Darüber hinaus sollte auch eine private Nutzung über eine verpflichtende Nutzungsrichtlinie generell verboten und Mitarbeiter zu aktuellen Gefährdungen regelmäßig sensibilisiert werden.
4. April 2022 @ 11:37
USB Stick gefährlich
18. November 2019 @ 10:07
Es gibt auch mittlerweile USB-Sticks die lokal verschlüsseln. Bei einer einstellbaren Anzahl von Authentifizierungsfehlern wird der Stick gesperrt.
Übrigens gibt es auch Viren, die eine Neuinstallation des Betriebssystems überstehen: https://www.theregister.co.uk/2011/09/14/bios_rootkit_discovered/
8. November 2019 @ 8:19
Ist dieser Text aus dem Jahr 2001? Seit 20 Jahren wird ständig der USB-Stick verteufelt, obwohl die meisten Schäden nachweislich andere Ursachen hatten. Her mit der Heisklebepistole und schnell die USB-Buchse versiegelt. Heute kommt aber doch viel Schadsoftware aus dem Netz. Aber Mail und Internet und vor allem den ganzen WhatsApp-Quatsch will niemand verbieten. Immer nur USB-Sticks … Warum? Weil es so einfach ist?
9. Dezember 2019 @ 11:09
Es ist schon richtig, dass es viele weitere Problemzonen gibt, die ebenfalls Angriffsvektoren bieten (wie beispielsweise Phishing über E-Mail). Fairer Weise muss man aber sagen, dass solche Themen ebenfalls ausführlich diskutiert werden. Teilweise auch hier in unserem Blog.
Es ging in diesem Artikel auch nicht darum die USB Sticks zu verbieten… Aufgrund ihrer doch sehr hochen Verwendung wird dies kaum erreicht werden können. Eher sollte erneut für einen verantwortungsvollen Umgang appelliert werden.
7. November 2019 @ 10:52
Datenschutz- und Sicherheitsvorfälle am laufenden Band seit Jahren also….seitens der Judikative!
Bin mal gespannt ob die Landesbehörde hier genauso vehement vorgeht wie gegen die Privatwirtschaft.
Ein Witz, aber kein Guter.