Risiko durch mobile Datenträger
Mobiles Gerät einstöpseln und loslegen – die Bequemlichkeit des einen ist der Alptraum des anderen. Denn Datenklau, Wurmverseuchung und dergleichen mehr können die Firmen-IT ernsthaft gefährden. Spezielle Software soll Abhilfe schaffen.Mobile Datenträger von der Größe eines Fingers können mehrere Gigabyte an Informationen speichern. Berücksichtigt man noch ihren hohen Datendurchsatz und die große Verbreitung, stellen sie eine ernsthafte Gefahr für die interne Sicherheit von Organisationen dar. Mit Hilfe eines kleinen USB-Speichersticks ist es heute möglich, teure Investitionen in die Netzwerksicherheit einfach zu umgehen. Die Bordmittel der Betriebssysteme bieten bestenfalls rudimentären Zugriffsschutz – dem Administrator bleibt somit nur der Griff zu spezieller Software.
Gefährlich sind außer mobilen Datenspeichern alle transportablen Geräte, über die ein direkter Datentransfer erfolgen kann und die einfach mit einem PC verbunden und durch das Betriebssystem eingebunden werden. Ein Beispiel dafür sind durch Anwender eingerichtete WLANs via Access Points oder WLAN-PCMCIA-Karten, die direkten Zugang zum internen Netzwerk ermöglichen. Nur wenige Unternehmen ergreifen geeignete Maßnahmen zur Vermeidung von Missbrauch.
Das Risiko beschränkt sich nicht nur auf den potenziellen Diebstahl von vertraulichen oder gar urheberrechtlich geschützten Informationen, denn mit den mobilen Geräten lassen sich auch beliebige Daten in das interne Netzwerk einspielen. Dieser im Prinzip nützliche und erwünschte Datentransfer hat leider Nebenwirkungen: etwa das Einschleusen von Viren oder Trojanern ins Firmennetz.
Die Gefahr muss nicht einmal von unzufriedenen oder kriminellen Mitarbeitern ausgehen. Auch fahrlässig handelnde Mitarbeiter mit unzureichendem Sicherheitsbewusstsein sind eine Bedrohung. Heimcomputer befinden sich in der Regel nicht unter der Kontrolle der internen IT-Abteilung, ihr Status hinsichtlich Patch-Level, Virenschutz oder Spyware ist ungewiss. Und in vielen Organisationen ist es gang und gäbe, dass Mitarbeiter vertrauliche Dokumente zu Hause bearbeiten und anschließend wieder auf dem Firmen-PC speichern.
Die folgenden Fragen vermitteln einen ersten Eindruck der potenziellen Gefahren – insbesondere, wenn es auf die drei letzten keine zufriedenstellende Antwort gibt:
* Wie viele mobile Datenträger gibt es in der Organisation?
* Wer benutzt diese Datenträger und wofür?
* Wie sind die Daten auf diesen Datenträgern im Verlustfall vor unberechtigtem Zugriff geschützt?
* Wird der Verlust vertraulicher Informationen erkannt?
* Wie wird das Einschleusen von Malware verhindert?
Das von mobilen Datenträgern oder Wechseldatenträgern ausgehende Risiko findet zunehmend Beachtung, wie die unlängst von Ernst & Young veröffentlichte Studie Global Information Security Survey 2005 belegt. Regularien wie Basel II, Sarbanes-Oxley (SOX) oder der Health Insurance Portability and Accountability Act (HIPAA) tun ein Übriges, denn sie schreiben einen restriktiven Umgang mit vertraulichen und personenbezogenen Daten und den Nachweis der Unternehmen über die getroffenen Schutzmaßnahmen vor.
Und dass Wirtschaftsspionage kein Produkt der Fantasie von Unterhaltungsschriftstellern ist, zeigt schließlich der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte Bericht zur Lage der IT-Sicherheit in Deutschland 2005. In ihm prognostiziert das BSI einen weiteren Anstieg der Wirtschaftsspionage, nicht zuletzt durch mangelndes Sicherheitsbewusstsein des Managements in den Unternehmen.
MehrQuelle :
www.heise.de
