- 26.04.24
- Lesedauer: 4 Minuten
Angriffdurch mobile Speichermedien
USB-Sticks sind brisanter Sprengstoff für die Firmen-IT. Wegen der hohen Cyberrisiken fordert die NIS2-Richtlinie mehr Sicherheitsbewusstsein von den Betrieben. Wie Unternehmen handeln können.
Neugier verbündet sich oft mit illegalem Tun. Dies zeigte eine Studie der Universität von Illinois, Michigan und dem Unternehmen Google. Die Forscher verteilten 297 USB-Sticks auf dem Campus der Uni. Das Ergebnis: So gut wie alle der ausgelegten Speichergeräte wurden von Passanten mitgenommen. Knapp die Hälfte schlossen die Sticks an ihren Computern an. Lediglich 13 Prozent der Personen, die die Fragen der Forschenden beantworteten, gaben an, dass sie „besondere Vorsichtsmaßnahmen ergriffen, bevor sie den USB-Stick öffneten“. Das war zwei Drittel der Befragten offensichtlich egal. Sie riefen die Daten aus dem Mobilspeicher auf, „ohne misstrauisch gegenüber dem Inhalt der Sticks zu sein“. Diese immer noch aktuelle Studie von 2016 zeigt, dass Anwender ohne Misstrauen zufällig gefundene USB-Sticks ungeprüft mitnehmen und sogar einsetzen. Das hohe Risiko: mit Malware infizierte Sticks verseuchen Computer mit Viren und greifen vertrauliche Daten ab.
Mittlerweile sollte solch gefährlicher Leichtsinn in Unternehmen mit Blick auf Hackerattacken, lahmgelegte IT-Netze sowie Sicherheits- und Datenschutzverstößen kein Thema mehr sein. Dennoch erfreuen sich USB-Sticks immer noch großer Beliebtheit als Werbegeschenk oder Beigabe in Kundenmailings. Verbraucherschützer und IT-Experten sorgten sich, weil solche USB-Sticks häufig den Anschein besonderer Vertrauenswürdigkeit erwecken.
Zu praktisch, um darauf zu verzichten?
Kein Zweifel, auch im Cloud-Zeitalter sind USB-Sticks noch sehr gefragt. Auf ihnen lassen sich Daten schnell und unkompliziert austauschen. Mitarbeiter in Unternehmen verwenden sie gerne im beruflichen Alltag, da sie im wahrsten Sinne des Wortes greifbarer erscheinen als Daten in der Cloud. Dadurch ist das subjektive Sicherheitsempfinden bei vielen Nutzern auch deutlich höher als beim Zugriff von online gespeicherten Daten. Doch dieses Sicherheitsempfinden ist trügerisch. Denn die kleinen Helfer können zu einer echten Bedrohung für den Geschäftsbetrieb werden. Cyberkriminelle nutzen USB-Sticks, um in Firmennetzwerke einzudringen.
Neugier schwächt IT-Sicherheit
Besonders auf der Hut sollten kleine und mittlere Unternehmen (KMU) sein. Die Schwachstelle ist der menschliche Faktor. So kann ein auf dem Firmengelände „verlorener“ (in Wirklichkeit von einem Angreifer platzierter) USB-Stick schnell dafür sorgen, dass sich Cyberkriminelle gezielt Zugang zu einem Firmennetzwerk verschaffen können. Angreifer nutzen dabei Schwächen wie Neugier aus. Daher sind Mitarbeitende über die Risiken aufzuklären und im Unternehmen verbindliche Regelungen für den Umgang mit USB-Sticks zu schaffen.
Dazu gehört auch das Wissen, wie Cyberkriminelle USB-Schnittstellen nutzen. Sie können einen Stick so programmieren, dass das manipulierte USB-Gerät beim Anschließen seine technischen Informationen an das Netzwerk fälscht – etwa bei der Auskunft, um welchen Gerätetyp es sich handelt (Stick, Tastatur oder Smartphone). Das ist eine technisch bedingte Sicherheitslücke bei USB-Schnittstellen, denn hier geht es um funktionierende Kommunikation, weniger um Identifizierung. Daher muss der Netzrechner den Anschlüssen vertrauen, tatsächlich das zu sein, was sie vorgeben.
Was die NIS2-Richtlinie von Unternehmen fordert
Solche Risiken haben den Gesetzgeber auf den Plan gerufen. Ab Oktober sind auch kleine und mittlere Unternehmen verpflichtet, ihre Cybersicherheit professionell zu managen und Sicherheitsvorfälle zu melden. Wer sich nicht daran hält, dem drohen Strafen bis zu zehn Millionen Euro oder 2 Prozent vom Jahresumsatz. Das verlangt die NIS2-Richtline. Für KMU bedeutet das: Sind Unternehmen direkt oder indirekt in einem gesellschaftlich relevanten Sektor tätig, unterfallen sie der NIS2-Richtlinie. Damit sind sie demnächst viel weitreichender als bisher gesetzlich verpflichtet, ein Risikomanagement im Hinblick auf Cyberangriffe einzuführen.
Wie sollen Firmen nun mobile Datenspeicher verwalten, um auf der rechtlich sicheren Seite zu stehen? Ein praktischer Rat wäre: USB-Sticks ja – aber nur als Unternehmens-Hardware. Das bedeutet, dass die IT für alle Mitarbeiter registrierte und passwortgesicherte USB-Sticks zur Verfügung stellt. Idealerweise begleitet durch die Dienstanweisung, dass andere USB-Sticks nicht genutzt werden dürfen.
USB-Sticks sind ein Cybersicherheitsrisiko
Angreifer können einen USB-Stick so einrichten, dass sich dieser gegenüber dem IT-Netzwerk als Tastatur ausgibt. Auf dem Stick sind bestimmte Tastenkombinationen gespeichert, die nach dem Einstecken automatisch Schadsoftware auf das Gerät übertragen. Auf diese Weise lässt sich jede denkbare Form von Malware ins Unternehmensnetzwerk einschmuggeln. Szenarien sind etwa die Sabotage von Produktionsanlagen oder die Installation von Schadprogrammen, die zur Spionage oder zur Verschlüsselung von Daten des kompletten Firmennetzes verwendet werden und Lösegeld fordern. So kann ein einziger virenverseuchter USB-Stick die Existenz kleiner und mittlerer Unternehmen ernsthaft bedrohen.
Eine vernachlässigte IT-Sicherheit bringt jedoch auch erhebliche Haftungsrisiken mit sich. Bei Angriffen auf Unternehmensdaten sind fast immer auch personenbezogene Daten, zumindest der eigenen Mitarbeiter, betroffen. Hat das Unternehmen das Datenleck durch mangelnde IT-Sicherheit ermöglicht, macht es sich gegenüber den betroffenen Personen schadensersatzpflichtig. Da im Regelfall der Vorfall auch an die Landesdatenschutzbeauftragten gemeldet werden muss, drohen zugleich Bußgelder. Durch die NIS2-Richtlinie wird die Haftung noch erheblich ausgeweitet. Denn zusätzlich zum Datenschutz und dem IT-Sicherheitsgesetz ist hiermit eine neue Rechtsgrundlage entstanden, die nun eigene Meldepflichten und Bußgelder mit sich bringen. Dies alles bringt zudem einen erheblichen Aufwand in der rechtlichen Abwicklung mit sich.
Diese Risiken haben bei vielen Firmen dazu geführt die USB-Schnittstellen an ihren Firmengeräten zu deaktivieren. Allerdings ist das Verwenden von USB-Stick in zahlreichen Unternehmen ein fester Bestandteil der Betriebsabläufe. Daher ist ein generelles Deaktivieren der Schnittstelle wenig hilfreich. Besser ist es, auf hardwareverschlüsselte USB-Speicher zu setzen, die über eine freigegebene Hardware-ID verfügen oder von einem internen Sicherheitsteam überprüft wurden.
USB-Device-Management
Zentraler Punkt für die IT-Sicherheit ist somit das zentralisierte USB-Device-Management. Hier werden die mobilen Datenträger verwaltet. So lassen sich Verlust, Diebstahl sowie eine Manipulation von Daten vorbeugen. Dabei sollte die IT für jeden USB-Speicher ein verschlüsseltes Backup einrichten und die Sticks mit Hilfe eines Passworts vor dem Öffnen von Unbefugten schützen. Eine weitere Hilfe ist eine Anti-Viren-Software, die im Firmennetz eingesteckte USB-Geräte auf schadhafte Dateien scannt, bevor Mitarbeitende die Dateien öffnen können. So werden Schadprogramme daran gehindert, auf die Systeme im Unternehmen zu gelangen.
Neben den technischen Aktionen ist die wichtigste Sicherheitsmethode, die Mitarbeiter für Risiken und Gefahren eines USB-Sticks zu sensibilisieren. Ob Werbegeschenk oder Konferenzbeigabe: Jeder unbekannte USB-Speicher ist ein Sicherheitsrisiko, von mindestens ebenso hoher Bedeutung wie Phishing-Mails oder die Sicherheit von Passwörtern. Damit taugt er höchstens zum privaten Gebrauch.
Wie lässt sich das praxisorientiert umsetzen?
Wir unterstützen gerne bei der Gestaltung der Compliance für die IT-Sicherheit.
