Mitte Mai hat IBM allen Mitarbeitern weltweit verboten, USB-Laufwerke oder andere externe Speichermedien einzusetzen. Der Grund: das Risiko für den Ruf des Unternehmens und die Finanzen seien zu hoch. Anstatt zu versuchen, das Problem zu lösen, wer was auf welchen USB-Stick von welchem Computer mit welcher Art von Verschlüsselung kopiert, verfolgt IBMs Chief Information Security Officer (CISO), Shamla Naidoo, einen viel strengeren Ansatz nach dem Motto: „Wenn Sie Dateien verschieben wollen, benutzen Sie das Netzwerk“.
Das ist ein mutiger Ansatz. In der modernen Cloud-Ära vielleicht aber nicht so abwegig. Viele Anwender sind es gewohnt, Daten in der Cloud zu sichern und sogar Dateien wie Fotos automatisch von einem Gerät hochzuladen und nahtlos mit einem anderen zu synchronisieren. Aber kann ein völliges Verbot für etwas, das so weit verbreitet und so nützlich ist wie USB-Laufwerke, wirklich funktionieren?
Sophos CISO Ross McKerchar erklärt dazu: „Wechseldatenträger sind ein großes Problem. Obwohl es sich heute um einen weniger verbreiteten (aber immer noch echten!) Malware-Infektionsvektor handelt, ist das größte Risiko heutzutage der Datenverlust.“
Da die europäische GDPR Ende dieses Monats einsetzt und Unternehmen, die sich nicht um ihre Daten kümmern, mit hohen Bußgeldern droht, ist der Zeitpunkt der neuen Regel von IBM kaum eine Überraschung. Denn wenn der Anwender kein USB-Datenträger hat, kann er Daten auch nicht verlieren und riskieren, dass sie an den falschen Stellen erscheinen.
Doch McKerchar warnt: „Völlige Verbote jeder nützlichen Technologie fördert Schatten-IT. Menschen sind sehr kreativ und finden oft eine Lösung, die riskanter ist als das, was verboten wird. Organisationen sind gut beraten, wenn sie den einfachen Weg zum sicheren Weg machen.“
Die Durchsetzung der USB-Verschlüsselung in einem Unternehmen der Größe von IBM ist wahrscheinlich sehr schwierig. Aber für ein Unternehmen von durchschnittlicher Größe ist es eine gute Möglichkeit, das Risiko zu minimieren. Gleichzeitig wird den Mitarbeitern eine Arbeitswese ermöglicht, mit der sie sich wohl fühlen. Auch die Bereitstellung von sanktionierten Cloud-Sharing-Diensten, kombiniert mit den richtigen Steuerelementen ist hilfreich, da das Kopieren von Daten auf USB-Laufwerke von vornherein vermieden werden kann. Eine praktische Sache beim Teilen statt beim Kopieren von Inhalten ist, dass es viel einfacher ist, sie zu prüfen und im Falle eines Fehlers wieder freizugeben.
Was ist überhaupt ein USB-Laufwerk?
Eine knifflige Angelegenheit bei einem völligen Verbot von USB-Laufwerken ist, dass es viele verschiedene Arten von Wechseldatenträgern gibt – insbesondere auch Geräte, die sich mit zwei Gesichtern präsentieren. Ein Beispiel: Ein Mitarbeiter verwendet für berufliche Podcasts einen tragbaren Audiorecorder, der an einem Laptop angeschlossen als hochwertiges Mikrofon und als eigenständiges Handgerät verwendet wird. Die Dateien werden später heruntergeladen. An diesem Beispiel sieht man wohin es führt: Wenn das Gerät über eine USB-Kabel angeschlossen wird, erscheint ein Menü, wo die Funktionsweise ausgewählt wird. Eine dieser Optionen bewirkt, dass es sich wie ein USB-Laufwerk verhält. Verbietet man dieses Gerät, weil es ein temporäres USB-Laufwerk ist? Ist dem Anwender zuzumuten, weitere Schritte zu unternehmen um der Gerätesteuerungssoftware beizubringen, dass es sich um zwei Untergeräte handelt und dass das Audiogerät in Ordnung ist? Wenn die Verwendung dieses Gerätes zu einer Ausnahme von der Regel gemacht wird, wer entscheidet dann über alle anderen Anwendungsfälle?
Was ist zu tun?
Für IBM, ein riesiges IT-Unternehmen, das selbst ein großer Cloud-Provider ist, wird der Ansatz, USB-Laufwerke durch allgegenwärtige Netzwerkspeicher zu ersetzen, sicherlich funktionieren und auch von den Mitarbeitern weitgehend befolgt. Doch für kleine Unternehmen mit wenigen Mitarbeitern, die mal im Büro, mal von zu Hause und mal von unterwegs arbeiten, sind USB-Laufwerke für beispielsweise temporäre Backups oder kurzzeitige Überbrückung von Internetausfällen äußerst bequem und nützlich. Versucht man USB-Laufwerke zu verbieten, um IT-Aufwand zu sparen, kann es sehr wohl sein, dass das Gegenteil eintrifft. Denn es muss sich jemand darum kümmern, die vielen Sonderfälle wie Audio-Recorder oder Kameras zu behandeln.
Deshalb hier einige Tipps von Sophos für Unternehmen, die nicht ein vollständiges Verbot von USB-Laufwerke umsetzen möchten:
- Verschlüsselung aller USB-Geräte. Es ist ein bisschen mehr Arbeit als nur ein „free-for-all“-Ansatz, aber wenn man alles routinemäßig verschlüsselt, muss man sich nie Sorgen machen, ob es irgendwelche Dateien gibt, die man vergessen hat.
- Anbieten von einfach zu bedienenden Alternativen. Wenn Mitarbeiter vom USB-Speicher entwöhnt werden sollen, benötigen diese eine Cloud-basierte Lösung, die sie verwenden möchten.
- Risikosensiblität bei allen Mitarbeitern stärken. Das Bannen von USBs stoppt den Datenverlust nicht – schließlich sind die in die Cloud kopierten Daten auch „woanders hin“ gegangen. Also stellt man tunlichst sicher, dass Mitarbeiter wissen, warum es wichtig ist, sich um die Sicherheit zu kümmern.
- Überprüfung der Protokolle. Ob nun USBs, Cloud-Laufwerke oder beides verwendet werden: das Führen und Überprüfen aller Protokolle, wer was wo hingelegt hat ist wichtig. Wer allerdings Protokolle nicht einsehen will, brauchen diese nicht aufzubewahren. Das Sammeln von Daten ohne Zweck ist sinnlos.
Zum Abschluss noch ein Ratschlag von McKerchar:
„Sichtbarkeit in der Computersicherheit ist entscheidend. Durch die Bereitstellung von Reporting-Tools für die gemeinsame Nutzung von Inhalten können CISOs dem Senior Management helfen, die Risiken und Vorteile von Sharing-Methoden zu verstehen, unabhängig davon, ob es sich um USB-Laufwerke oder Cloud-Dienste handelt.“
#Netzpalaver #Sophos
