Mobile Datenträger: Risiko bei der EU-DSGVO-Umsetzung
Unterschätzte Schwachstelle USB-Stick
Wenn im Mai 2018 die EU-DSGVO (EU-Datenschutz-Grundverordnung, engl: GDPR) zur Vereinheitlichung des europäischen Datenschutzrechts in Kraft tritt, sind Unternehmen gefordert, personenbezogene Daten mit klaren Richtlinien und Prozessen sowie geeigneten technischen und organisatorischen Maßnahmen zu schützen. Die Umsetzung stellt Firmen vor große Herausforderungen. Dabei besteht nach Meinung des Speicherprodukte-Herstellers Kingston und des Endpoint-Protection-Anbieters Datalocker die Gefahr, eine Schwachstelle beim Datenschutz zu übersehen: den USB-Stick.
"Beim Thema EU-GDPR denkt man bestimmt nicht an USB-Sticks", sagt Robert Korherr, CEO von Prosoft, "am Ende gehen die Mitarbeiter aber mit dem USB-Stick nach Hause". Als VAD (Value Added Distributor) für unter anderem Datalocker und Kingston hilft Prosoft seinen Partnern beispielsweise dabei, die Maßnahmen für die EU-DSGVO umzusetzen.
Diese Maßnahmen müssen laut Korherr zum einen dem Stand der Technik und zum anderen dem Zweck der Verarbeitung entsprechen. Auch sind Unternehmen gefordert, eine Risikobewertung vorzunehmen, also zu überprüfen, wie riskant eine Datenpanne im Verarbeitungsprozess ist. Aus diesem Ergebnis und den Implementierungskosten im Verhältnis zum Risiko resultieren dann die zu ergreifenden Maßnahmen, so der Prosoft-CEO. Ein unterschätztes Risiko in Unternehmen stelle der USB-Stick dar.
Laut einer von Kingston durchgeführten Studie nutzen 33 Prozent der Mitarbeiter mehr als fünf USB-Sticks. Im Rahmen der Studie hat der Hersteller 200 Mitarbeiter in Unternehmen aus unterschiedlichen Branchen zu ihrer Nutzung von USB-Sticks befragt. Dabei gaben 95 Prozent an, dass sie mindestens einen mobilen USB-Datenspeicher beruflich verwenden.
Ein Viertel der Umfrageteilnehmer speichert zudem sensible Unternehmensdaten darauf ab. Dabei verfügen laut Kingston 80 Prozent der verwendeten Datenspeicher über keine hardwarebasierte Verschlüsselung. Wie problematisch das sein kann, zeigt ein weiteres Ergebnis der Studie. Demnach waren in fast drei Viertel (72 Prozent) der Unternehmen USB-Sticks nicht mehr auffindbar. Davon gingen 39 Prozent der Speicher verloren, vier Prozent wurden gestohlen und bei 57 Prozent ist unklar, was mit den Sticks passiert ist.
Durch die hohe Anzahl an unverschlüsselten USB-Sticks und dem häufigen Verlust der mobilen Speicherträger ergibt sich für Unternehmen ein hohes Datenverlustrisiko. Laut Korherr schätzt die Datenschutz Agentur den Verlust eines unverschlüsselten USB-Sticks als "wesentlich" ein, etwa wenn sich darauf Mitarbeiterdaten befunden haben.
Unternehmen müssen beim Verlust eines USB-Sticks nach Inkrafttreten der neuen EU-Datenschutz-Grundverordnung nachweisen können, welche Daten darauf gespeichert waren und ob der Stick verschlüsselt oder unverschlüsselt war. "Auf der anderen Seite wollen Administratoren nicht auch noch mit der Kontrolle und Verwaltung von sämtlichen USB-Sticks im Unternehmen beschäftigen", unterstreicht Korherr. Jedoch könne der Einsatz von verschlüsselten Speichermedien das Risiko nahezu minimieren. In diesem Fall schätzt die Datenschutz Agentur das Risiko auf "vernachlässigbar" ein.
Im Zusammenspiel mit dem USB-Device-Management-Lösungen von Datalocker haben Administratoren die Möglichkeit, neben einer Bestandskontrolle auch Sicherheitsrichtlinien bei der Nutzung von USB-Sticks wie etwa den hardwareverschlüsselten Sticks von Kingston umzusetzen. Zudem umfassen die Plattformen Funktionen wie Remote Passwort Reset, Anti-Malware-Scanner, Factory Reset und Compliance-Berichte. Dadurch sollen Unternehmen das nötige Rüstzeug erhalten, um die GDPR-Anforderungen zu erfüllen.
Unternehmen können zum Beispiel zwischen den beiden USB-Device-Management-Lösungen Ironkey EMS und Safeconsole von Datalocker wählen. Ironkey EMS ist laut Konstantin Fröse, EMEA Account Executive bei Datalocker, kompatibel mit den USB-Sticks Ironkey D300M und S1000 von Kingston. Die Management-Plattform verfüge über eine Failover-Funktion und sei beliebt bei Behörden in Nato-Ländern. Einziges Manko sei, dass die Lösung in Rechenzentren in den USA gehostet werde und der Installationsaufwand beim lokalen Einsatz sehr hoch sei, so Fröse. Diese Variante lohnt sich daher nach Meinung des Datalocker-Mitarbeiters auch erst ab einer Zahl von 250 Laufwerken.
Bei Safeconsole können Unternehmen, die sich für die Cloud-Variante entscheiden, auch Deutschland als RZ-Standort wählen. Die Plattform unterstütze zudem die verschlüsselten Kingston-USB-Sticks DTVP30DM und DT4000G2DM. Auch der Installationsaufwand der On-Premise-Variante gestaltet sich laut Fröse bei Safeconsole einfacher, da die Lösung beispielsweise das Active Directory unterstützt (LANline berichtete). Bei der Cloud-Variante erfolge der Benutzerimport manuell. Mit der zentralen Plattform sollen Administratoren stets die im Unternehmen verwendeten USB-Speichermedien und die darauf befindlichen Daten im Blick haben. Auch seien sie in der Lage, bei Verlust oder Diebstahl diese aus der Ferne zu löschen.
Lesen Sie mehr zum Thema
