Im Rahmen des Trojaner-Befalls des Berliner Kammergerichts mit Emotet gegen Ende September, wurde bekannt, dass die Richter und Mitarbeiter jahrelang leichtfertig mit sensiblen Daten umgegangen seien und der Austausch dienstlicher Daten via USB Sticks zwischen Privat- und Arbeitsrechnern zum Alltag gehört haben solle (Der Tagesspiegel berichtete). Bei einem solchen Umgang kann grundsätzlich das Risiko bestehen, dass Mitarbeiter einer öffentlichen Einrichtung oder eines Unternehmens auch ihre Privatrechner mit einem Virus infiziert haben, der zuvor den Arbeitsplatz verseucht hat. Laut Tagespiegel raten Experten im Fall des Berliner Kammergerichts dazu infizierte Privatrechner direkt zu verschrotten. Ob das tatsächlich sinnvoll ist, erscheint mir jedoch als fragwürdig, da mir keine Fälle einer automatischen Verbreitung von Emotet per USB Stick bekannt sind und zuvor eine vollständige Neuinstallation des Systems vorgenommen werden könnte.

Im Zuge der weitreichenden Implikationen durch den Virusbefall im Berliner Kammergericht sollte sich jedoch jeder der Gefahren bewusst sein, die mit der Nutzung von mobilen Datenträgern, wie USB-Sticks, einhergehen, und entsprechende Maßnahmen dagegen umsetzen. Die Gefährdungen wollen wir im Folgenden etwas ausführlicher beleuchten und als Fazit entsprechende Maßnahmen angeben.

Geräteverlust

USB Sticks können sehr schnell verloren gehen. Sie sind sehr klein und geraten gerne aus dem Blickfeld. Ob sie dabei auf der Arbeit in eine Schublade gelegt und vergessen werden oder in die letzte Ecke einer Aktentasche gerutscht sind, spielt dabei keine Rolle. Genauso schnell können USB Sticks auch im privaten Umfeld verschwinden. Beispielsweise wenn ein herumliegender USB Stick von einem Familienmitglied eingesteckt wird, der diesen gerade dringend benötigt. Vielleicht fällt der USB Stick aber auch einfach auf dem Weg zur Arbeit in der U-Bahn aus der Hosentasche oder wird beim Durchsuchen des Rucksacks auf dem Heimweg heraus gewühlt…

Datenverlust

In all diesen Situationen gelangen Informationen bspw. eines Unternehmens nach außen und gehen verloren. Besonders schlimm ist dies, wenn sich auf dem Datenträger die Dateien für den nächsten Termin befinden, an denen grade noch letzte Änderungen vorgenommen wurden. Dann folgt aus dem Geräteverlust ein Datenverlust. Dies kann betriebswirtschaftliche Folgen nach sich ziehen, wenn sensible Informationen nicht mehr verfügbar und auch nicht aus Datensicherungen wiederherstellbar bzw. wiedererarbeitbar sind.

Gerätediebstahl

Parallel zum Geräteverlust können die kleinen Datenträger auch gestohlen werden. Bei einem Rempler in der Fußgängerzone oder einfach beim Warten in einer Schlange, können die kleinen USB-Sticks von Taschendieben entwendet werden. Ebenso einfach kann auch ein Gast oder Besucher im Unternehmen bei einer Führung oder Begutachtung der Räumlichkeiten einen unbeaufsichtigten USB Stick unbemerkt von einem Schreibtisch oder aus einem Regal entfernen und einstecken. Auch hier gelangen Informationen des Unternehmens nach außen und sogar in die Hände dritter Personen.

Datendiebstahl

Sind die Informationen auf einem USB Stick nicht separat verschlüsselt, können alle Personen, die sowohl nach einem Geräteverlust als auch nach einem Gerätediebstahl in den Besitz des Datenträgers gekommen sind, auf alle Informationen und Daten zugreifen. Damit gelangen Daten in die Hände Dritter, die die Daten einsehen, analysieren, verändern und auch veröffentlichen können. Im Bereich der Wirtschaftsspionage kann das Einsehen einer Präsentation zu der neuen Produktionstechnik einen riesigen Schaden für ein Mitbewerber verursachen. Das Veröffentlichen von sensiblen Kunden oder Mitarbeiterdaten kann sogar rechtliche Folgen nach sich ziehen.

Nutzungsmissbrauch

Nimmt ein Mitarbeiter einen USB Stick zur Weiterbearbeitung oder zum Lesen von Dokumenten mit nach Hause, kann es sich dabei bereits um einen Missbrauch der Nutzung handeln, sofern dies vom Arbeitgeber nicht erwünscht ist. Ist zudem ein USB Stick möglicherweise von Familienmitgliedern oder Freunden zu Hause zugänglich und wird zum Austauschen der Fotos vom letzten Urlaub verwendet, handelt es sich ebenfalls um einen Nutzungsmissbrauch. Sind auch hier die Daten nicht durch eine Verschlüsselung gesichert, können wieder unbefugte Personen auf möglicherweise sensible Daten der Firma zugreifen. Mögliche Folgen wurden in den vorangehenden Abschnitten bereits besprochen. Grundsätzlich dürfen dienstliche Geräte nie unbeaufsichtigt oder frei zugänglich aufbewahrt werden.

Schadsoftware

Bei einer privaten Nutzung werden private Daten auf einen USB Stick gespeichert. Dabei können sowohl ungeschützte firmeninternen Dokumenten gelesen, als auch Schadsoftware auf den USB Stick unbewusst übertragen werden. Wird ein verseuchter Datenträger wieder mit auf die Arbeit genommen und von einem Mitarbeiter an einen Rechner angeschlossen, kann sich Schadsoftware unbeabsichtigt auf dem Rechner und im schlimmsten Fall sogar im gesamten Netz ausbreiten.

Anders herum kann bei einer solchen privaten Nutzung ein Virus auch von der Arbeit aus über einen infizierten Datenträger auf private Geräte übertragen werden; Beispiel dafür wäre die Funktion zur automatischen Weiterverbreitung von Trickbot kombiniert mit anderer Schadsoftware. Heise beschreibt dazu in einem aktuellen Artikel das Zusammenspiel zwischen Emotet, Trickbot und Ransomware.

Fazit

Eine unkontrollierte und gestreute Nutzung von mobilen Datenträgern sollte vom Arbeitgeber unterbunden werden. Dazu ist es wichtig, dass Mitarbeiter entsprechend geschult werden und sich der Gefahren im Umgang mit USB Sticks stets bewusst sind. Gegen einen Datenverlust und den Diebstahl hilft bereits die Verschlüsselung der Daten mit einem aktuellen Verfahren und einem starken Passwort. „Fremde“ Datenträger sollten zudem in einem Unternehmen nicht verwendet werden. Mit einer Gerätekontrolle (Device Control) beispielsweise können solche Geräte gezielt blockiert werden. Darüber hinaus sollte auch eine private Nutzung über eine verpflichtende Nutzungsrichtlinie generell verboten und Mitarbeiter zu aktuellen Gefährdungen regelmäßig sensibilisiert werden.