EU-Agentur ENISA warnt und gibt Tipps

USB-Speicher können große Sorgen machen

Die EU-Agentur für Europäische Netzwerk- und Informationssicherheit ENISA warnt in einem neuen Bericht vor dem möglichen Missbrauch von USB-Speicher-Sticks, welche die Sicherheit von Firmendaten gefährden oder bösartige Viren einschleppen können. Die Agentur will mit 19 Tipps die Risiken dieser Geräte minimieren.

Der heutige Trend immer online, komplett mobil und verbunden zu sein, hat zu einem deutlich ansteigenden Gebrauch von mobilen Geräten, wie Notebooks und so genannten persönlichen Digitalen Assistenten, geführt. Persönliche Speichergeräte wie USB-Sticks wurden zu universellen Geschäftstools, um die Produktivität auch außerhalb des Büros aufrecht zu erhalten. Zum ersten Mal im Jahre 2000 vermarktet, wurden im vergangenen Jahr bereits 85 Millionen USB-Speicher-Sticks verkauft.

Und doch fehlt es diesen mobilen Geräten oft noch an Sicherheitskontrollen: 80 bis 90 Prozent der an Unternehmen verkauften USB-Speicher-Sticks werden nicht verschlüsselt, werden nicht an einem sicheren Ort aufbewahrt oder ohne jegliche Regelungen benutzt. Wegen der Tatsache, dass die Stick nicht nur private Daten, sondern auch Finanzinformationen, Geschäftspläne sowie andere streng vertrauliche Daten enthalten könnten, warnt die EU-Agentur davor, dass USB-Speicher-Sticks üblicherweise bei Firmenregelungen bezüglich Prüfungen, Backups, Verschlüsslungen und Vermögensverwaltung nicht berücksichtigt werden.

Oftmals kommt es zu einem versehentlichen Verlust solcher Geräte. Beispielsweise verlegte die britische Finanz- und Zollbehörde eine unverschlüsselte CD-ROM, auf der die persönlichen Daten von 25 Millionen Steuerzahlern gespeichert waren. Aus einer Datenerhebungsstudie unter 1400 Fachleuten aus der ITK-Branche ging kürzlich hervor, dass 60 Prozent der Befragten bereits einen Datenverlust erlebt haben und davon 61 Prozent glaubten, dass dies ein Werk von Insidern gewesen sei. In den meisten Fällen sind Kriminelle hinter Speicher-Sticks her, weil deren Diebstahl aufgrund der kleinen Größe und der geringen Kosten gewöhnlich nicht gemeldet wird.

ENISA gibt in ihrer Studie auch 19 Empfehlungen zur Risikominimierung. Vor allem betont die Agentur die Wichtigkeit einer Risikoeinschätzung, um die Kosten eines Datenlecks sowie die Kontrollen, die nötig sind, um dieses Risiko zu vermeiden, zu verstehen. Unternehmen sollten auch Sicherheitsregelungen für solche Geräte einführen und Authentifizierung- und Verschlüsselungstools in Erwägung ziehen.

„Die Kosten für einen USB-Speicher-Stick sind relativ unbedeutend, jedoch kann der Wert der Daten auf den Sticks unbezahlbar sein“, erklärt ENISA-Geschäftsführer Andrea Pirotti. „ENISA empfiehlt Unternehmen mit stark regulierten und sensiblen Daten daher dringend den Gebrauch von ‚plug and play’-Geräten besser zu verwalten. Aber genauso sollten alle Unternehmen eine erste Verteidigungslinie aufbauen, um das Bewusstsein über mögliche Risiken sowie vorhandene Sicherheitsmaßnahmen zu schärfen. Ein Datenverlust ist nicht nur eine Sicherheitsangelegenheit für die IT-Abteilung, sondern ein strategisches Thema mit weitreichenden Folgen für die gesamte Zukunft einer Firma“, so Pirotti weiter. (speicherguide.de/cvi)