Suchen

Security und Datenschutz am Endpoint Mobiler Arbeitsplatz ohne Kompromisse

Autor / Redakteur: Christian Marhöfer / Peter Schmitz

Der Trend zum mobilen Arbeiten geht mit Sicherheitsrisiken einher. Einen häufig unterschätzten Schwachpunkt stellen unverschlüsselte USB-Sticks dar. Um sensible Informationen vor Datendiebstahl zu schützen und gesetzliche Direktiven wie die Datenschutz-Grundverordnung (DSGVO) einhalten zu können, gehört eine Implementierung benutzerfreundlicher Endpoint-Security-Lösungen zum Pflichtprogramm.

Firmen zum Thema

Im Namen der IT-Sicherheit erscheint es oft als effizienteste Lösung, USB-Speicher komplett zu verbieten. Dabei gibt es einfache Wege, Mitarbeitern die Arbeit mit USB-Sticks zu ermöglichen.
Im Namen der IT-Sicherheit erscheint es oft als effizienteste Lösung, USB-Speicher komplett zu verbieten. Dabei gibt es einfache Wege, Mitarbeitern die Arbeit mit USB-Sticks zu ermöglichen.
(Bild: gemeinfrei / Pixabay )

Längst zählt das mobile Arbeiten zum Unternehmensalltag. Weniger selbstverständlich ist für Organisationen allerdings noch immer der Schutz der mobilen Daten. So handelt es sich nach den Erfahrungen von Kingston bei zirka 80 Prozent aller verkauften USB-Sticks allein über den B2B-Channel nach wie vor um unverschlüsselte Datenträger. Um einen ausreichenden Schutz der auf gewöhnlichen Sticks gespeicherten Daten gewährleisten zu können, müssen diese Medien zunächst von Mitarbeitern der IT-Abteilung manuell und mit externen Software-Tools chiffriert werden. Doch hier mangelt es in der Regel an Zeit und Ressourcen – das mobile Arbeiten wird zum Vabanque-Spiel. Denn: Der Verlust oder Diebstahl von Speichermedien führt nicht selten dazu, dass sensible und geschäftskritische Informationen in falsche Hände geraten und so gravierende wirtschaftliche und rechtliche Schäden anrichten.

Unverschlüsselte USB-Sticks liegen bei der Risikobestimmung im Bereich 3 (hohes Risiko). Eine verschlüsselte Speicherlösung kann man dagegen als geringes Risiko (Bereich 1) einordnen.
Unverschlüsselte USB-Sticks liegen bei der Risikobestimmung im Bereich 3 (hohes Risiko). Eine verschlüsselte Speicherlösung kann man dagegen als geringes Risiko (Bereich 1) einordnen.
(Bild: Kingston)

Die richtigen TOM als Maß der Dinge

In Paragraph 32 der DSGVO heißt es, dass Verantwortliche „geeignete technische und organisatorische Maßnahmen“ (kurz: TOM) zum Schutz von Daten wählen müssen, „[u]nter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos“.

Auch mobile Arbeitsplätze müssen den Anforderungen entsprechend eingerichtet werden. Neben den technischen Ansprüchen muss die TOM auch den Sicherheitsanforderungen gerecht werden, also angemessen und risikoadäquat sein. Dafür ist es essenziell, dass Unternehmen und Verantwortliche das angemessene Schutzniveau beurteilen können. Die höchste Priorität sollte hierbei der Berücksichtigung und Bestimmung von Risiken und deren Eintrittswahrscheinlichkeit eingeräumt werden. Dazu gehören Vernichtung, Verlust oder Veränderung – ob unbeabsichtigt oder unrechtmäßig –, unbefugte Offenlegung von oder unbefugter Zugang zu verarbeiteten, personenbezogenen Daten. Die Folge: hohe Strafen und Reputationsschäden drohen. Sobald potenzielle Risiken ermittelt sind, können IT-Verantwortliche Sicherheitsmaßnahmen priorisieren und damit effizientere Prozesse und Entwicklungen vorantreiben.

Für die Risikobestimmung wird im ersten Schritt die Schwere des Schadens und die Eintrittswahrscheinlichkeit ermittelt. Beide Kriterien unterteilen sich in vier Größenordnungen von „1: Vernachlässigbar“ bis hin zu „4: Maximal“. Bei korrekter Einordnung der potenziellen Risiken ergibt sich ein Bereich von „1: Geringes Risiko“, „2: Risiko“ bis hin zu „3: Hohen Risiko“. Basierend darauf wird die Gefahr priorisiert.

Zum Vergleich: Unverschlüsselte USB-Sticks liegen bei der Risikobestimmung im Bereich 3, es besteht also ein hohes Risiko. Dagegen können Verantwortliche eine verschlüsselte Speicherlösung als geringes Risiko, also in Bereich 1 einordnen – sowohl der Schaden als auch die Eintrittswahrscheinlichkeit wären hier vernachlässigbar bis maximal begrenzt.

Verschlüsselung ist ein Muss

Für viele Risiken im Bereich des Mobility Computing bieten verschlüsselte USB-Sticks als TOM deutliche Vorteile für Unternehmen. Sie verhindern, dass Unbefugte auf die auf den Speichermedien enthaltenen Informationen zugreifen können. Im Vergleich zu zeit- und ressourcenintensiven Software-Lösungen bieten Datenträger, bei denen sich die Verschlüsselungsfunktion direkt auf der Hardware befindet, eine effiziente Chiffrierung ohne den zwangsläufigen Bedarf an manuellen Eingriffen und Wartungen.

Konkret setzt die Hardware-basierte Verschlüsselung auf einen eigenen Prozessor, der im USB-Stick integriert ist. Das entlastet das Host-System. Als Algorithmus kommt in der Regel der Advanced Encryption Standard (AES) mit Schlüssellängen von 128, 192 oder 256 Bit zum Einsatz. Ein weiteres Qualitätsmerkmal sowie klares Indiz für einen hohen Sicherheitsstandard ist zudem eine freiwillige Herstellerzertifizierung wie bspw. FIPS 197 oder 140 – Level 3.

Neben der Verschlüsselung kann auch die Individualisierung der Devices IT-Prozesse effizienter gestalten: Manche Anbieter ermöglichen eine Seriennummerierung der Sticks. Über die Gerätenummer kann der USB-Speicher dem Mitarbeiter eindeutig zugeordnet werden. Auch die duale Passwortoption erleichtert IT-Prozesse. Das Passwort wird dabei bereits auf Administratorenebene eingerichtet, noch vor Ausgabe an den Mitarbeiter. Sollte der Mitarbeiter sein Passwort vergessen haben, kann der Administrator das Passwort daher umgehend zurücksetzen. Außerdem bieten manche verschlüsselte USB-Sticks die Möglichkeit, spezifische Produktidentifizierungen (PID) einzurichten.

Endpoint Security: Vollumfängliche Sicherheit

Für die effiziente Integration einer umfassenden Datensicherungsstrategie kommen IT-Verantwortlichen geeignete Endpoint-Security-Software-Lösungen zugute. Während verschlüsselte USBs ein gesichertes Vehikel für den Datentransport bieten, ist der Schutz des Computers, auf den die Dateien übertragen werden, nicht automatisch gegeben. Gleiches gilt für die Verwaltbarkeit der Sticks. Endpoint-Security-Anwendungen bieten je nach Anbieter verschiedene Funktionen, um den Datenschutz umfassend zu gestalten: Dazu gehört unter anderem eine Zugriffskontrolle, mit der sich externe Geräte blockieren oder auf eine Whitelist setzten lassen.

Das bietet Unternehmen die Möglichkeit, grundlegende Richtlinien durchsetzen und die Compliance zu gewährleisten, da Anwender die USB-Schnittstelle nur über firmeneigene Geräte nutzen können. Speicher werden anhand personalisierter PIDs und/oder Seriennummern gezielt freigegeben, blockiert oder beschränkt. Ein Mitarbeiter kann so beispielsweise nur zuvor definierte Formate auf das Medium spielen, Dokumente mit sensiblen Unternehmensdaten wären aber davon ausgeschlossen. Das vermeidet ungewollten Datenabfluss und damit einen enormen Risikofaktor. IT-Verantwortliche sind außerdem jederzeit in der Lage festzustellen, wer einen bestimmen Datenspeicher erhalten hat. Nach einem Sicherheitsvorfall kann die IT problemlos die Schwachstelle identifizieren. Damit ist es auch, abhängig von der Software, möglich, Behörden Auskünfte darüber zu geben, welche Daten auf dem Stick gespeichert waren.

Bei der Wahl einer geeigneten Software-Lösung sollten Unternehmen darauf achten, dass das entsprechende Tool Fakten über die datenschutzrechtliche Situation schaffen kann. Hierzu zählen angemessene Protokollierungs­maßnahmen, die Datenflüsse im Detail sichtbar machen und somit auch mögliche Schwächen in den Schutzeinstellungen aufzeigen. Auf diese Weise ermitteln IT-Verantwortliche forensische Informationen und liefern damit einen wichtigen Beitrag zur IT-Compliance. Auch die DSGVO schreibt Protokollierung zwingend vor. Das Unternehmen muss diese Maßnahmen aber unbedingt betriebs- und personalratskonform aufsetzen und sicherstellen, dass dabei keine Persönlichkeitsrechte der Mitarbeitet verletzt werden. Hier eignet sich beispielsweise ein Vier- oder Sechs-Augen-Prinzip zur Absicherung.

Automatisierte Lösungen minimieren Reaktionszeiten und verringern so oft auch die Schwere des potenziellen Schadens. Sie werten die aufgezeichneten Protokolldaten nach zuvor definierten Regeln aus. Anomalie oder kritische Situationen werden automatisch erkannt und entsprechende Schutzreaktionen ausgelöst. Das entlastet IT-Administratoren und verschlankt bzw. beschleunigt Prozesse.

Nicht zuletzt bieten Endpoint-Security-Softwares Schutz gegen Viren und Malware. Bei einem verschlüsselten Device sind zwar die Daten auf dem USB-Stick selbst geschützt. Befindet sich aber ein Virus oder eine „infizierte“ Datei auf dem Datenträger, schützen Medien ohne Virenschutz nicht den entsprechenden Computer, sobald die Daten übertragen werden. Hier kann die Software-Lösung Abhilfe schaffen.

Bei der Wahl der richtigen Endpoint-Security-Software sollte sich das Unternehmen fragen: Bietet die Lösung die Tools, die für die unternehmenseigene Datenschutzstrategie benötigt werden? Sind die Schutzfunktionen in eine Lösung eingebettet, die im Arbeitsalltag – beispielsweise über eine Management-Konsole – praktikabel ist? Kann die Software mit der bereits bestehenden Struktur und den Anwendungen im Unternehmen durch Schnittstellen und Integrationen effizient interagieren?

Daniel Döring, Technical Director Security & Strategic Alliances bei Kingston Technology‘s Partner für Endpoint Security Lösungen Matrix42 AG, hat dazu eine klare Auffassung: „Mobile Computing bringt Herausforderungen von dem Moment an mit, an dem der Mitarbeiter Firmendaten extern speichert, mit diesen unterwegs arbeitet, bis hin zu dem Moment, an dem die Daten wieder in dem internen Netzwerk oder am lokalen Computer aufgerufen werden. Mit Endpoint-Security-Lösungen erhalten Unternehmen eine vollumfängliche und lückenlose Sicherheitslösung für diese Herausforderungen.“

Fazit: Verschlüsseln statt verbieten

Oft erscheint es Unternehmen als effizienteste Lösung, USB-Speicher im Namen der IT-Sicherheit komplett zu verbieten oder die Schnittstellen am Computer sogar zu verschließen. Das Ergebnis: Gewohnte Arbeitsmuster werden durchbrochen und letztendlich leidet die Produktivität. Bei einer umfassenden Beurteilung des Schutz-Niveaus, den daraus resultierenden Maßnahmen inklusive effizienten, verschlüsselten Datenträgern in Kombination mit einer geeigneten Endpoint-Security-Software erreichen Unternehmen eine vollumfängliche Sicherheitslösung, bei der der Arbeitsalltag größtenteils wie gehabt beibehalten werden kann. Mitarbeiter werden intuitiv und automatisch in die Sicherheitsstrategie eingebunden, ohne die Produktivität einzuschränken.

Über den Autor

Christian Marhöfer ist Regional Director DACH bei Kingston Technology. Seine Hauptverantwortung liegt in der Leitung der Geschäftsaktivitäten in Deutschland, Österreich und der Schweiz über alle Produktlinien hinweg. Herr Marhöfer blickt auf knapp 20 Jahre Erfahrung in der Technologie-Branche zurück und ist seit 2000 bei Kingston beschäftigt.

(ID:46289410)