Frage von lutsches99, 67

USB Sticks in Unternehmen?

Dies ist eine Frage an euch Fachinformatiker, Systemadministratoren etc. :)

Wie handhabt ihr USB Sticks in euren Betrieben? Dürfen Mitarbeiter einfach so USB Sticks benutzten? Wir suchen im Moment nach einer geeigneten Lösung, denn alle zu sperren funktioniert auch nicht.

PS: Automatische Wiedergabe abschalten ist schon in Planung.

Hilfreichste Antwort - ausgezeichnet vom Fragesteller
von acdxx, 21

Schau dir mal das Programm DriveLock an. Damit können externe Datenträger im Unternehmensnetz verwaltet werden. Ich kenne die Details nicht mehr, aber damit kann man glaube ich fast alles hinbekommen:

Nur "freigeschaltete" und/oder verschlüsselte Sticks zulassen, Sticks nur temporär zulassen, nur das Kopieren bestimmter Dateitypen erlauben, einen Virenscan vorm Öffnen des Sticks erzwingen, ...

Wir waren mal kurz davor das einzuführen, das Tool machte einen guten Eindruck. Nun ist die Nutzung von Sticks aber doch zulässig.

Antwort
von NoHumanBeing, 36

Viele Unternehmen machen doch heutzutage ohnehin BYOD (bring your own device).

Wenn das Unternehmensnetz entsprechend abgesichert ist, können dann Sticks am eigenen Rechner benutzt werden. Dann wird nur der Rechner des Mitarbeiters infiziert, kein unternehmenseigener. Und zum Netzwerk hin gibt es dann entsprechende Sicherheitsmaßnahmen (netzwerkbasierte Firewall mit entsprechenden Filterregeln, etc.).

Als ich einmal in einem Institut gearbeitet habe, durfte ich dort mein eigenes Notebook mitbringen und betreiben, um meine Forschungsarbeit darauf zu verfassen (damit ich die entsprechenden Daten auch zu Hause vorliegen habe). Das Gerät durfte aber nicht an das interne Netzwerk angebunden werden. Ich habe es dann per UMTS mit dem Internet verbunden und der stationäre (institutseigene) Rechner war am Institutsnetzwerk angeschlossen. Dazwischen befand sich dann also eine "air gap".

Kommentar von lutsches99 ,

byod gibt’s bei uns nicht, wir haben über 300 PC's :) Die Nutzer haben natürlich auch Zugriff auf Netzwerklaufwerke, worüber sich natürlich auch wieder Viren ausbreiten können.

Kommentar von NoHumanBeing ,

Dann deaktiviert USB-Massenspeicher (oder gleich alle "fremden" USB-Geräte), wenn ihr dafür eine geeignete Vorrichtung habt. Beachtet, dass per "bad USB" entsprechende Einschränkungen unter Umständen umgangen werden können. "Bad USB"-Geräte geben sich häufig als Eingabegeräte (Maus, Tastatur) aus. Die können in der Regel nicht gesperrt werden, weil dann ja niemand mehr mit dem Rechner arbeiten könnte. ;-)

Wozu nutzen die Mitarbeiter denn die USB-Sticks? Wenn sie Daten zwischen firmeninternen Rechnern tauschen wollen, sagt ihnen, dass sie die Netzlaufwerke dafür verwenden sollen. Daten mit einem eigenen Gerät haben sie ohnehin nicht zu tauschen, wenn ihr kein BYOD erlaubt.

Das macht es natürlich auch einfacher, zu verhindern, dass Firmeninterna das Unternehmen verlassen. BYOD braucht da immer ein gewisses Vertrauen, oder eine moderne Unternehmenspolitik, die keine Geheimhaltung mehr nötig hat. Aber die meisten Unternehmen sind noch nicht so weit.

Forschungsinstitute sind da ein bisschen weiter, dort wird früher oder später schließlich ohnehin alles publiziert.

Kommentar von lutsches99 ,

Wir haben die Möglichkeit bestimme USB Sticks oder den ganzen PC freizuschalten. Die USB Sticks werden für Bilder, Dateien etc. verwendet. Mit Freischalten einzelner Sticks sollte man gar nicht erst anfangen, wenn dann nur temporär. Wenn es nach mir ginge, wären ja alle verboten, doch geht es an manchen Stellen leider nicht anders. 

Meine Idee wäre noch so eine Art Sandbox oder ein Scan bevor man das Gerät benutzen kann. Vielleicht kennst du da ja eine Lösung?

Kommentar von NoHumanBeing ,

Nein, tut mir Leid. Eine konkrete Anwendung kann ich da nicht empfehlen. Ich arbeite hauptsächlich mit unixoiden Systemen, wo man zum Glück nicht "mal eben so versehentlich" Binaries ausführt.

Aber die Sandbox-Lösung gefällt mir besser, als ein "forced scan". Ein Virenscanner sucht ja nur nach bestimmten Signaturen, kann also prinzipbedingt nur bekannte (keine neue) Malware erkennen.

Außerdem solltet ihr Euch überlegen, vor welchen Angriffsszenarien ihr Euch schützen wollt. Ein Angestellter, der versehentlich (unwissend) Malware in das Unternehmen einschleust? Oder beispielsweise auch ein Angestellter, der bewusst versucht, über diese Datenträger (die man ja leicht irgendwo verstecken kann) Interna aus dem Unternehmen "heraus zu schmuggeln"? Wenn ihr wirklich sicher gehen wollt, solltet ihr entweder Eure internen Sicherheitsspezialisten (sofern vorhanden) anhören oder externes Security-Consulting in Anspruch nehmen. In diesem Rahmen können dann alle denkbaren Bedrohungsszenarien analysiert werden, hinsichtlich der Wahrscheinlichkeit, dass sie eintreten, dem wirtschaftlichen Schaden, den das Unternehmen erleiden könnte und den Kosten, die es verursachen würde, das Unternehmen gegen diese Art der Bedrohung zu schützen. Dann kann man abwägen, ob es Sinn macht, eine entsprechende Schutzmaßnahme zu implementieren oder nicht.

Grob gesagt ist es dann sinnvoll, eine Schutzmaßnahme zu implementieren, wenn der zu erwartende Schaden, der durch das Vorhandensein der Schutzmaßnahme abgewendet werden kann, die Kosten für die Inbetriebnahme und Aufrechterhaltung der Schutzmaßnahme (Installation, Wartung, aber beispielsweise auch zusätzlicher Zeitaufwand, weil bestimmte Arbeitsschritte nun komplizierter werden) übersteigt. Ist das nicht der Fall, wäre es unwirtschaftlich, das Unternehmen gegen die entsprechende Bedrohung abzusichern. So eine Abschätzung ist regelmäßig sehr schwierig, auch für einen Experten. Ich werde mich daher nicht aus dem Fenster lehnen und eine Vermutung abgeben, ob dies überhaupt sinnvoll ist oder nicht. Das muss man oftmals wirklich genau abwägen.

Antwort
von MDHOSTdotEU, Business, 12

Wir blockieren USB-Sticks und ähnliches. Haben ein Programm geschrieben mit dem der User auf die Daten zugreifen kann. Dafür muss User aber vorher in der EDV Abteilung anrufen um für 1-2 Stunden Zugriff zu erhalten. Jede Datei wird bevor Sie auf den Computer geladen wird nochmals auf Viren überprüft.

Antwort
von GravityZero, 57

Ich persönlich kenne kein Unternehmen wo sowas erlaubt ist. Ausnahme: geprüfte Sticks die ausschließlich intern benutzt werden.

Kommentar von lutsches99 ,

Wie kontrolliert man das, dass diese nur intern genutzt werden? 

Kommentar von GravityZero ,

Es gibt Anweisung welche unterschrieben und befolgt werden müssen - andernfalls drohen Konsequenzen. Mittlerweile arbeiten wir sowieso nur noch über die Cloud, bzw. mit Office 365 und interne Daten werden im Netzwerk verschoben. Einen Stick hab ich schon lange nicht mehr verwendet.

Keine passende Antwort gefunden?

Fragen Sie die Community

Weitere Fragen mit Antworten