USB-Sticks & Co: Wo liegen die IT-Risiken für Behörden?

Der Feind an meinem Rechner

| Autor / Redakteur: Sergej Schlotthauer* / Susanne Ehneß

„Uns wird schon nicht passieren“: Meist mangelt es an Zeit, Budget oder Sensibilität
„Uns wird schon nicht passieren“: Meist mangelt es an Zeit, Budget oder Sensibilität (Bild: Picture-Factory_Fotolia.com)

Die größte IT-Sicherheitsgefahr lauert innerhalb der Behörden: Mitarbeiter missachten Regeln oder verursachen Fehler. Einer dieser Fehler ist die Benutzung infizierter USB-Sticks.

Mit dem Datenverlust kann es ganz schnell gehen. Erst im September 2015 musste das Landratsamt Schmalkalden-Meiningen diese leidvolle Erfahrung machen: Ein Mitarbeiter des Amtes hatte seinen privaten, mit Schadsoftware infizierten USB-Stick an einen alten Dienstrechner angeschlossen.

Das Ergebnis: 226 Computer der kommunalen Behörde wurden mit einem Virus infiziert. In einer Nacht-und-Nebel-Aktion mussten die Mitarbeiter der IT-Abteilung des Landratsamtes die befallenen Rechner davon befreien.

Dabei ist der USB-Stick nur ein Gefahrenpotential von vielen. Am Beispiel von Schmalkalden zeigt sich aber: Die größte Gefahr droht nicht unbedingt von außen, sondern durch die eigenen Mitarbeiter. Dabei haben sie nur selten Böses im Sinn. Vielmehr missachten sie Regeln oder verursachen menschliche Fehler.

Magerer IT-Schutz

In Bezug auf die IT-Sicherheit gibt es im öffentlichen Sektor viele Defizite. Es beginnt schon damit, dass teils veraltete Betriebssysteme wie etwa Windows XP im Einsatz sind, für die keine neuen Sicherheits-Patches mehr zur Verfügung gestellt werden. Vielfach beschränkt sich die IT-Sicherheit auch auf Firewall und Antivirus. Doch beide Maßnahmen eignen sich nur selten, neue Bedrohungen abzuwehren. Sie werden nur dann aktiv, wenn Bedrohungen eine ausreichende Zeit bekannt sind.

Hinzu kommen rudimentäre oder veraltete Device-Management-Systeme, die entweder sehr umständlich zu nutzen oder leicht zu umgehen sind. In den seltensten Fällen sind diese dann gegen Bedrohungen wie Bad-USBs gewappnet, bei denen sich ein mit Malware bestückter Stick gegenüber einem Anti-Viren-Programm als Tastatur, Webcam oder Netzwerkkarte tarnt. Auch eine Verschlüsselung fehlt meist völlig. Das gilt sowohl für die Verschlüsselung von externen USB-Laufwerken als auch für interne Festplatten und Dateiordner.

Das Grundproblem in Behörden liegt oft in einer mangelnden Sensibilität für das Thema IT-Sicherheit. Um sich eingehender mit dem Thema zu befassen, fehlt entweder die Zeit oder das Budget. Teils rauben auch andere Projekte Ressourcen oder es gilt das „Augen-zu-und-durch“-Prinzip nach dem Motto: „Uns wird schon nichts passieren“. Im Fall von Schmalkalden hätte eine Umstellung auf ein aktuelles Betriebssystem und eine moderne Schnittstellen-Kontroll-Lösung vermutlich schon gereicht, um einen Vorfall dieses Ausmaßes zu verhindern.

Wirksamer Datenschutz

In Behörden liegt heute ein Großteil sensibler, oft personenbezogener Daten in digitaler Form vor. Ein erster Schritt in die richtige Richtung ist es, festzulegen, welche Personen welche Datenwege überhaupt benutzen dürfen. Technisch lassen sich mit einer Access-Control-Lösung die Berechtigungen von Benutzern zentral administrieren. Niemand kann dann ohne Berechtigung sensible Daten so „aus Versehen“ verlieren.

Im nächsten Schritt wird geklärt, welcher Umgang mit Daten für die berechtigten Mitarbeiter im Hinblick auf ihre Arbeit sinnvoll ist. Es wird besonders gefährlich, wenn Daten das Unternehmen verlassen. Daher sollte man den Kreis derer, die Daten außerhalb des Unternehmens speichern dürfen, zum Beispiel auf mobilen Endgeräten, externen Datenträgern oder in der Cloud, ebenfalls einschränken.

Bei der Implementierung einer Verschlüsselung sollte eine Methode gewählt werden, die von Mitarbeitern auch tatsächlich genutzt wird. So sind klassische Containerverschlüsselungen zwar sicher, sie werden aber im Tagesgeschäft aus Gründen der Bequemlichkeit oft einfach umgangen. Besser sind Lösungen, die sich vollkommen im Hintergrund um sämtliche Sicherheitsaspekte kümmern.

Protokollierung

Zwingend erforderlich ist eine Protokollierung, die Datenverluste nachvollziehbar macht. Sie regen in Behörden jedoch den Verdacht, dass Mitarbeiter dadurch ausspioniert werden könnten. Eine Lösung muss deshalb so konzipiert sein, dass sie nur dann Informationen über die persönlichen Tätigkeiten von Mitarbeitern im Datenumgang preisgibt, wenn ein Schaden oder gar ein Gesetzesverstoß vorliegt und auch der Arbeitnehmervertreter einer Einsicht in die Protokollierung zustimmt.

Mit Access Control, Device Management, verschiedenen Verschlüsselungen für unterschiedliche Datenwege und Protokollierung als Mindestanforderung für einen effektiven und gesetzeskonformen Datenschutz hat man es augenscheinlich mit vielen verschiedenen Lösungen zu tun.

Genau das ist in der Praxis häufig der Grund, warum sich viele Behörden dann doch lieber auf Firewall, Antivirus und administrative Policies beschränken. Mittlerweile sind jedoch voll integrierte Gesamtlösungen für alle aufgeführten Anforderungen verfügbar. Solche Lösungen arbeiten mit nur einer Datenbank und einer zentralen Managementkonsole, was die Installation, die Interaktion der Funktionen und die Administration deutlich vereinfacht. Die meisten Sicherheitsfunktionen laufen vollständig im Hintergrund ab und werden vom Benutzer gar nicht wahrgenommen.

Das richtige Maß finden

Der Autor: Sergej Schlotthauer, Geschäftsführer der EgoSecure GmbH
Der Autor: Sergej Schlotthauer, Geschäftsführer der EgoSecure GmbH (Bild: EgoSecure GmbH)

Fakt ist: Sicherheitsvorkehrungen müssen sicher und leicht zu bedienen sein. Sie sollten Arbeitsabläufe nicht stören, sodass Mitarbeiter gar nicht erst auf die Idee kommen, diese aushebeln zu wollen. Sicher ist aber auch, dass Angriffe auf die IT heute deutlich professioneller sind als noch vor wenigen Jahren und immer mehrere Maßnahmen benötigt werden, um eine realistische Chance zu haben, diese abzuwehren.

Eine 100-prozentige Sicherheit wird es nie geben. Beachtet man aber die oben beschriebenen Eckpfeiler Access Control, Device Management, Verschlüsselung und Protokollierung, können Behörden sich effektiv gegen Fehler von Mitarbeitern oder Angreifer von außen wappnen.

* Sergej Schlotthauer ist Geschäftsführer der EgoSecure GmbH.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44041737 / Endpoint)