Grundsätzlich sind USB-Sticks praktisch: Schnell lassen sich am PC die benötigten Daten darauf übertragen und an einem anderen PC auslesen. Aber: Manchmal können sich USB-Sticks als Gefahr erweisen!
Wir nennen drei Gründe, weshalb USB-Sticks ein Risiko für Unternehmen sein können.
Daten mit USB-Sticks immer griffbereit
Erst war die Diskette, danach die CD: Schon in frühen Zeiten des PCs gab es Techniken, mit denen Daten auf mobilen Datenträgern gespeichert und von einem Computer auf einen anderen übertragen werden konnten. Mit dem USB-Stick kam dann ein Nachfolger, der sich bis heute gehalten hat. Das liegt nicht nur daran, dass er in der Nutzung nach wie vor sehr praktisch ist, sondern auch daran, dass Hersteller ständig an der Weiterentwicklung arbeiten und die Größe der USB-Sticks stetig verringern, während die Speicherkapazitäten gleichzeitig steigen.
Das Ergebnis dessen ist, dass USB-Sticks weiterhin in vielen Unternehmen verbreitet sind. Wichtige Unternehmensdaten werden flugs am PC oder Laptop darauf übertragen, der Stick erst vom PC/Laptop getrennt und dann in die Aktentasche gesteckt, um ihn später einem Kollegen, Geschäftspartner oder Kunden zu übergeben. Oder um ihn zu einem späteren Zeitpunkt selbst an einem anderen Gerät zu nutzen.
Übersehen wird dabei allerdings häufig, dass die Nutzung von USB-Sticks für Unternehmen gefährlich sein kann. Vor allem drei Gründe unterstützen diese Aussage.
USB-Sticks sind grundsätzlich klein und praktisch. Bild: Pexels/Anete Lusina
USB-Sticks als Gefahr: die wichtigsten 3 Gründe
Fakt ist, dass die Gefahr, die von der Nutzung mobiler Datenträger wie den kleinen, handlichen USB-Sticks ausgehen kann, oft gar nicht gesehen wird. Oder die Gefahr wird zwar grundsätzlich gesehen, aber sowohl durch Unternehmen als auch Nutzer schlicht unterschätzt. Dabei ist das Risiko real und die Konsequenzen sind durchaus groß, wenn der Umgang mit USB-Sticks nicht mit der gebotenen Vorsicht einhergeht.
Sie gehören zu denjenigen, die die potenziellen Gefahren gar nicht kennen? Dann stoßen wir Sie gern mit der Nase darauf. In den folgenden Passagen nennen wir Ihnen die wichtigsten drei Gründe, weshalb USB-Sticks als Gefahr zu verstehen sind – und zwar unbedingt!
1. Grund: Datenschutz wackelt
Mit dem Datenschutz ist es bei der Nutzung von USB-Sticks aus mehreren Gründen schwierig. Los geht es damit, dass USB-Sticks verloren gehen können. Und handelt es sich um ein einfaches Modell ohne spezielle Verschlüsselungsmechanismen, kann ein möglicher Finder problemlos die gespeicherten (sensiblen) Daten einsehen. Ob er damit etwas anfangen kann, sei dahingestellt; Datenschutz geht jedenfalls anders.
Manchmal steckt auch böse Absicht dahinter, wenn ein USB-Stick plötzlich in den Händen einer Person auftaucht, für die er nicht bestimmt ist. Denn: Ganz gezielt könnte es zu einem Diebstahl kommen. Vielleicht weil es ein Dieb auf das in der Aktentasche befindliche Gerät abgesehen hat und den USB-Stick gleich mit abgreift; oder weil ein Geschäftskontakt gezielt den Langfinger macht, um an interessante Unternehmensgeheimnisse zu kommen.
Und dann wäre da noch das Problem, dass die Datenlöschung bei USB-Sticks oft nicht rückstandslos gelingt. Wird der Stick dann beispielsweise an einen Kollegen weitergereicht, der diese Daten nicht kennen sollte, ist auch das ein Datenschutzproblem.
Wichtig ist, dass USB-Sticks mit wichtigen Daten nicht in die falschen Hände geraten. Bild: Pexels/Anete Lusina
2. Grund: Malware im Gepäck
Auch weil die mobilen Datenträger Malware im Gepäck haben könnten, sind USB-Sticks als Gefahr einzustufen. Zu einem Virus-Befall des USB-Sticks kann es kommen, sobald er mit einem mit Schadsoftware infizierten Rechner verbunden oder sobald eine infizierte Datei darauf abgelegt wird. Die Folge ist, dass sich der USB-Datenträger dann zu einer regelrechten Virenschleuder entwickeln kann: Jedes Gerät, in das er eingesteckt wird, erhält die Malware ebenfalls.
Da sich die USB-Stick-Nutzung durch die Pandemie scheinbar wieder verstärkt hat, haben auch Cyberkriminelle einmal mehr ihr Augenmerk darauf gerichtet: Sie entwickeln mit besonderer Vorliebe Trojaner mit Fernsteuerungsfunktionen. Gelangt so ein Trojaner auf ein Gerät, können er Hinterleuten die Kontrolle darüber geben. Häufig lauert die Gefahr in infizierten Office-Dokumenten, besonders Excel-Dateien, bei denen der Schadcode in Skripten und Makros versteckt wird.
Übrigens sind auch gefundene USB-Sticks mit ganz besonderer Vorsicht zu behandeln, denn auch sie könnten mit Malware infiziert sein. Möglicherweise sind sie auch ganz gezielt „verloren“ worden, um in einem Unternehmen Malware einzuschleusen.
3. Grund: Ransomware-Attacken
Das Einschleusen von Malware scheint jedenfalls wieder im Trend zu liegen, wie Grund Nr. 3 zeigt. Im Januar 2022 hat das FBI dazu eine Warnung herausgegeben. Demnach gehen Cyberkriminelle vermehrt dazu über, einen eher altmodischen Weg der Infizierung einzuschlagen: Sie versenden mit Ransomware infizierte USB-Sticks ganz klassisch per Post an Behörden und Unternehmen – in der Hoffnung, dass irgendjemand im Unternehmen auf den Trick hereinfällt, den Stick in den USB-Slot seines Computer steckt und das Gerät damit infiziert.
Wie immer bedienen sich die Hintermänner dieser Ransomware-Attacke einer geschickten Tarnung: Vorgeblich stammen die Paketsendungen mal von Amazon, mal von der Gesundheitsbehörde und enthalten digitale Gutscheinkarten beziehungsweise neue wichtige Sicherheitsrichtlinien.
Hinter den Attacken, die Anfang 2022 die Runde gemacht haben, soll die sehr bekannte Cybercrime-Gang Fin7 (auch: Carbanank) gesteckt haben. Sie war glücklicherweise nur in den USA aktiv, sodass Unternehmen in Deutschland nicht gefährdet waren.
Einige USB-Sticks verfügen über spezielle Sicherheitsmechanismen. Bild: Pexels/cottonbro
USB-Sticks als Gefahr: die Konsequenzen
Die Konsequenzen sind in jedem Fall oft weitreichend. Geht ein USB-Stick mit sensiblen Daten verloren, gilt das zum Beispiel als Datenpanne; der Vorfall ist dementsprechend der zuständigen Datenschutzbehörde zu melden. Kommt ein Unternehmen dieser Meldepflicht nicht nach und der Vorfall wird auf andere Weise bekannt, kann eine saftige Strafe drohen.
Wohl noch schlimmer ist es, wenn eine Malware-Attacke per USB-Stick glückt. Möglich ist, dass die Schadsoftware sich selbst im System ausbreitet, Informationen ausliest und Daten ausspioniert. Es kann aber auch sein, dass die per USB-Stick eingeschleuste Malware weitere Schadsoftware nachlädt, die sich im Unternehmensnetzwerk ausbreitet.
Kommt es richtig schlimm, ist ein Ransomware-Befall das Ergebnis – und es dürfte längst bekannt sein, wie verheerend deren Folgen sein können. Produktionsausfälle, Datenverluste, Lösegeldforderungen, finanzielle Einbußen, Reputationsverlust – die Liste der möglichen Konsequenzen ist lang und unterm Strich kann die Existenz des Unternehmens auf dem Spiel sehen.
So schützen sich Unternehmen
Für Unternehmen gilt daher generell, dass beim Umgang mit USB-Sticks Vorsicht geboten ist. Manche Unternehmen gehen sogar so weit, den Einsatz von USB-Datenträgern komplett zu verbieten. Das ist eine Möglichkeit, es gibt aber noch einige weitere Tipps, mit denen Unternehmen USB-Sticks als Gefahr bannen können. Hier unsere Übersicht:
- Nur verschlüsselte USB-Sticks nutzen:
Wenn Sie an der Nutzung von USB-Sticks auch in Zukunft festhalten wollen, sollten verschlüsselte USB-Sticks zum Einsatz kommen. Diese verhindern den Zugriff durch Unbefugte auf die hinterlegten Daten. - Daten sicher löschen:
Grundsätzlich ist darauf zu achten, die auf USB-Sticks hinterlegten Daten sicher und rückstandslos wieder zu löschen, sobald sie darauf nicht mehr benötigt werden. Mehr dazu verrät unser Blog-Beitrag zum Thema. - Mitarbeiter sensibilisieren:
Sensibilisieren Sie Ihre Mitarbeiter für die Gefahren durch USB-Sticks. Letztlich ist es an jedem einzelnen, USB-Sticks nicht zu verlieren, Daten sicher zu löschen und gefundene Datenträger kritisch zu beäugen. Datenträger mit Unternehmensdaten sollten beispielsweise auch nicht mit dem Privatrechner genutzt werden. - Unbekannte USB-Sticks prüfen lassen:
Stick gefunden? Dann ab zur IT-Abteilung damit! Mit entsprechenden Schutzmaßnahmen können Profis den Datenträger öffnen, ohne dabei ein Risiko einzugehen. Im Idealfall lässt sich dann der Besitzer ermitteln – oder eine Attacke feststellen, die dann zu erhöhter Wachsamkeit führt. - USB-Stick sicher öffnen:
Achten Sie darauf, dass Ihr Antiviren-Programm auf dem neuesten Stand ist und in den Einstellungen die automatische Wiedergabe deaktiviert ist. Sobald der USB-Stick eingesteckt ist, sollten Sie ihn mit der Antiviren-Software überprüfen. Ist nichts Verdächtiges zu finden, können Sie ihn öffnen. Es ist aber weiterhin Vorsicht geboten. Schauen Sie sich den Inhalt des USB-Sticks im Datei-Explorer oder Finder genau an, bevor Sie Dateien öffnen. Achten Sie auf verdächtige Dateien oder Ordner. Ausführbare Dateien (zum Beispiel .exe oder .bat) sollten Sie nur öffnen, wenn Sie sich wirklich sicher sind, dass diese Dateien ungefährlich sind. - Alternativen nutzen:
Es gibt inzwischen weitaus sicherere und praktischere Alternativen zum USB-Stick. Cloud-Speicher sind dafür das beste Beispiel. Vor allem intern ist es viel einfacher, einem Kollegen über eine Cloud-Anwendung Zugriff auf eine bestimmt Datei zu gewähren, anstatt sie ihm auf einem USB-Stick zu übergeben. Und auch für die Datenfreigabe an Externe gibt es Möglichkeiten.
Sie sehen: Die durch USB-Sticks entstehende Gefahr in den Griff zu bekommen, ist gar nicht so schwierig. Wie immer ist der erste Schritt zur Besserung wohl das Bewusstsein um die Gefahr.
IT-Fachleute geben Tipps
Ob Sie nun Tipps zum richtigen Umgang mit USB-Sticks benötigen, nach alternativen Wegen für eine Datenübermittlung suchen oder sich generell vor einem Ransomware-Befall schützen möchten: Sollte das nötige IT-Wissen nicht intern in Ihrem Unternehmen vorhanden sein, nämlich in Form einer eigenen IT-Abteilung, stehen Ihnen externe IT-Dienstleister gern zur Seite – zum Beispiel die Experten aus dem IT-SERVICE.NETWORK.
Unsere IT-Fachleute sind versiert daran, ihre Unternehmenskunden mit benötigter Hardware, darunter auch verschlüsselte USB-Sticks, auszustatten, Cloud-Lösungen einzurichten oder sämtliche ratsame Maßnahmen für eine umfassende IT-Sicherheit umzusetzen. Sie möchten sich dazu einmal unverbindlich beraten lassen? Dann melden Sie sich gern bei uns – wir freuen uns auf Ihre Kontaktaufnahme!
Weiterführende Links:
Webersohn & Scholtz, Industry of Things, Dr. Datenschutz, Datenschutz-Notizen, Trojaner-Info
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Gemeint sind jedoch immer alle Geschlechter und Geschlechtsidentitäten.
Geschrieben von
Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich – anfangs in der Position der Online-Redakteurin und inzwischen als Content Marketing Managerin. Die studierte Germanistin/Anglistin und ausgebildete Redakteurin behält das Geschehen auf dem IT-Markt im Blick, verfolgt gespannt neue Trends und Technologien und beobachtet aktuelle Bedrohungen im Bereich des Cybercrime. Die relevantesten… Weiterlesen
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung