Nur sechzig Sekunden

Klein, speicherstark - und überall nutzbar, auch im Firmennetz: Das ist der in IT-Abteilungen ungeliebte Nebeneffekt von Lifestyle-IT-Zubehör, angefangen beim USB-Speicherstick über MP3-Player wie den iPod bis hin zu externen Mini-Laufwerken für die Fotosammlung. Zwangsläufig mischt sich der Gebrauch dieser privaten Geräte mit der IT-Ausstattung am Arbeitsplatz, wenn etwa über den Firmenrechner schnell noch ein Song auf den Player geladen wird. Genau hier öffnet sich selbst in einem nach außen gut gehüteten Netzwerk eine große Sicherheitslücke: 70 Prozent aller Sicherheitsvorfälle ereignen sich innerhalb des Netzwerks.

Datenklau und Viren. Die Furcht vor Folgeschäden ist zweigeteilt - je nachdem, welche Ebenen man im Unternehmen betrachtet: Unerlaubtes Herunterladen von Firmeninterna - selbst in der guten Absicht, damit zu Hause noch zu arbeiten - kann dazu führen, dass sensible Daten ihren Weg aus dem Unternehmen nach draußen finden und im schlimmsten Fall für kriminelle Zwecke missbraucht werden. Hier bekommt das Management insbesondere Druck von Kunden, die um ihre Privatsphäre fürchten: Das Privacy Rights Clearinghouse in den USA schätzt, dass zwischen 2005 und 2006 private Daten von 88 Millionen Amerikanern durch Verstöße gegen Sicherheitsregeln aus Unternehmen verschwunden sind. Auf der anderen Seite steht die übertragung von Viren und Spyware von dem tragbaren Device auf das Netzwerk: Während hier Scan-Programme auf Client-Ebene noch größeren Schaden verhindern könnten, ist das bei unerwünschten Inhalten schwieriger.

Gezielt blocken. Der einfachste Lösungsansatz, den Einsatz von USB-Geräten grundsätzlich im Unternehmen zu verbieten, ist kontraproduktiv: Er schließt auch die geschäftlich sinnvolle Nutzung der Speicherwinzlinge aus. Zweckmäßiger ist es daher, offizielle USB-Devices im Unternehmen direkt über das Active Directory zu definieren und sie elektronisch für den Zugriff zu berechtigen. Wird ein Gerät mit einem Arbeits-PC verbunden, wird der Zugang je nach Autorisierung verwehrt oder gestattet und damit auch der Datentransfer. Extra-Sicherheit liefert eine Zusatzfunktion, die alle Daten, die berechtigt auf einen Stick gezogen werden, noch verschlüsselt.

Tipps für den richtigen Umgang. Der Sicherheitsspezialist Centennial, der sich unter anderem mit USB-Device-Kontrolle beschäftigt, empfiehlt fünf Schritte, um das Risiko von tragbaren Speichergeräten, aber gleichzeitig auch die Kriminalisierung von Mitarbeitern einzudämmen:

1. Sicherheitsrisiko beurteilen: Wie viele Mitarbeiter verfügen über private Speicher - wer nutzt sie tatsächlich im Unternehmen?
2. Notwendigkeiten einschätzen: Welche Geräte werden für welchen Zweck benutzt? Ein PDA oder Smartphone muss einen anderen Stellenwert haben als ein privat genutzter iPod.
3. Sicherheitsregeln formulieren: Für die tragbaren Speicher muss es eine umsetzbare Richtlinie geben, die für alle Mitarbeiter verbindlich ist.
4. Policy durchsetzen: Die schriftllichen Regeln müssen mit entsprechender Software unterstützt werden, die unautorisierten Zugriff per USB-Stick verhindert.
5. Mitarbeiter fortlaufend informieren und schulen: Offene Kommunikation über den möglichen Einsatz von USB-Devices wird helfen, menschliche Fehler zu reduzieren, die zuvor zu Sicherheitsrisiken geführt haben.