USB: Flexibilität kostet

Sie ist unscheinbar, aber in jedem PC enthalten: Die USB-Schnittstelle hat sich in den vergangenen Jahren an breiter Front etabliert – zum An-schluss von Eingabegeräten, Druckern oder CD-Brennern. Ein Ein- und Ausstecken ist im laufenden Betrieb möglich, und dieselbe Schnittstelle kann für verschiedenste Geräte verwendet werden. Die nötigen Treiber sind im Computer oft schon vorhanden. Doch solche Flexibilität hat in der IT-Welt immer eine besondere Schattenseite: Sie öffnet dem Missbrauch Tür und Tor. Im Falle von USB wird diese Gefahr massiv unterschätzt. Ein Beispiel für das Risiko dieser Technology sind Memory-Sticks. Es gibt sie in diversen Ausführungen, auch gut versteckt in Stiften, Uhren und neuerdings Taschenmessern. Sie speichern bis zu 1 Gigabyte an Daten. Die kleinsten Modelle haben in einer Brieftasche Platz, und dank USB 2.0 sind die Transferzeiten bei grossen Datenmengen gering – kein Vergleich zur Diskette.

Risiken werden unterschätzt

Darum ist Erfolg dieser Geräte nicht erstaunlich. Was erstaunt, ist dagegen die Tatsache, dass sich die meisten Betriebe gegen Missbräuche der USB-Schnittstelle in keiner Weise schützen. Da werden mit viel Aufwand Firewalls, Antiviren-Software und weitere Sicherheitstechniken eingesetzt, die USB-Schnittstelle bleibt jedoch frei nutzbar und macht dabei ihrem «universellen» Ruf als Schnittstelle in das Innere eines PCs alle Ehre. Das Risiko besteht nicht nur im unbemerkten «Abzügeln» von Daten. Immer mehr PCs erlauben heute auch das Booten ab dem USB-Stick. Der Mitarbeiter kann so das auf seinem PC installierte Betriebssystem umgehen und erhält oftmals vollen Zugriff auf die Festplatte. Nicht minder gefährlich, wenn auch in anderer Weise, sind Netzwerkschnittstellen auf USB-Basis: Hat ein Mitarbeiter einen WLAN-Adapter dank USB an seinem PC in Betrieb nehmen können und diesen nicht fachgerecht abgesichert, öffnet er damit eine Hintertür für Dritte. Bestenfalls gewährt er nur Zugriff auf seinen PC, schlimmstenfalls auf das ganze Netzwerk seiner Firma.

Nutzungsreglemente anpassen

Diese Risiken würden in vielen Betrieben spezielle Schutzmassnahmen erfordern. Weil diese aber fehlen, müssen etliche der Unternehmen und Behörden damit rechnen, für unautorisierte Zugriffe oder Datenkopien rechtlich ebenfalls zur Verantwortung gezogen zu werden. So verlangt das Datenschutzgesetz, dass Unternehmen die von ihnen bearbeitetenden Personendaten mit angemessenen technischen und organisatorischen Massnahmen gegen eine unbefugte Nutzung schützen müssen. Das bedeutet, dass Unternehmen neben den technischen Schutzmassnahmen auch ihre Betriebsreglemente und die Massnahmen zu deren Durchsetzung hinsichtlich der Gefahren der USB-Schnittstelle überprüfen müssen. Das kann ein Verbot von unautorisierten USB-Geräten wie etwa persönlicher USB-Sticks bedeuten, aber auch Verhaltensregeln für erlaubte USB-Speicher (z.B. in PDAs), Regeln zur Überwachung oder Sanktionen bei Verstössen. In manchen Branchen, so etwa bei Banken, Behörden, Anwälten oder Ärzten, sind zusätzliche, gesetzliche Geheimhaltungspflichten zu befolgen: Wer ihre Verletzung – etwa als IT-Verantwortlicher – in Kauf nimmt, muss mit strafrechtlichen Konsequenzen rechnen. Aber auch der an sich authorisierte Einsatz von USB-Memory-Sticks birgt Risiken: So sind die Daten auf USB-Speichern im Gegensatz zu Daten auf Notebooks oft nicht vor neugierigen Blicken geschützt. Wer den Stick in die Hand bekommt, hat damit vollen Zugriff.