USB-Sticks & Co: Wo liegen die IT-Risiken für Behörden?

Der Feind an meinem Rechner

| Autor / Redakteur: Sergej Schlotthauer* / Susanne Ehneß

„Uns wird schon nicht passieren“: Meist mangelt es an Zeit, Budget oder Sensibilität
„Uns wird schon nicht passieren“: Meist mangelt es an Zeit, Budget oder Sensibilität (Bild: Picture-Factory_Fotolia.com)

Die größte IT-Sicherheitsgefahr lauert innerhalb der Behörden: Mitarbeiter missachten Regeln oder verursachen Fehler. Einer dieser Fehler ist die Benutzung infizierter USB-Sticks.

Mit dem Datenverlust kann es ganz schnell gehen. Erst im September 2015 musste das Landratsamt Schmalkalden-Meiningen diese leidvolle Erfahrung machen: Ein Mitarbeiter des Amtes hatte seinen privaten, mit Schadsoftware infizierten USB-Stick an einen alten Dienstrechner angeschlossen. Das Ergebnis: 226 Computer der kommunalen Behörde wurden mit einem Virus infiziert. In einer Nacht-und-Nebel-Aktion mussten die Mitarbeiter der IT-Abteilung des Landratsamtes die befallenen Rechner davon befreien.

Microsofts neue SharePoint-Strategie

Chance oder Risiko für DMS-Anwender?

Microsofts neue SharePoint-Strategie

02.05.16 - Was bedeutet Microsofts neue SharePoint-Strategie für den DMS-Anwender? Und wer ist stärker betroffen: Sharepoint-Einsteiger oder die alten Hasen? Ulrich Gerke und Jürgen Rentergent von Zöller & Partner geben Auskunft. lesen

Dabei ist der USB-Stick nur ein ­Gefahrenpotential von vielen. Am Beispiel von Schmalkalden zeigt sich aber: Die größte Gefahr droht nicht unbedingt von außen, sondern durch die eigenen Mitarbeiter. Dabei haben sie nur selten ­Böses im Sinn. Vielmehr missachten sie Regeln oder verursachen menschliche Fehler.

Magerer IT-Schutz

In Bezug auf die IT-Sicherheit gibt es im öffentlichen Sektor viele Defizite. Es beginnt schon damit, dass teils veraltete Betriebssysteme wie etwa Windows XP im Einsatz sind, für die keine neuen Sicherheits-Patches mehr zur Verfügung gestellt werden. Vielfach beschränkt sich die IT-Sicherheit auch auf Firewall und Antivirus. Doch beide Maßnahmen eignen sich nur selten, neue Bedrohungen abzuwehren. Sie werden nur dann aktiv, wenn Bedrohungen eine ausreichende Zeit bekannt sind.

Hinzu kommen rudimentäre oder veraltete Device-Management-­Systeme, die entweder sehr umständlich zu nutzen oder leicht zu umgehen sind. In den seltensten Fällen sind diese dann gegen Bedrohungen wie Bad-USBs gewappnet, bei denen sich ein mit Mal­ware bestückter Stick gegenüber einem Anti-Viren-Programm als Tastatur, Webcam oder Netzwerkkarte tarnt. Auch eine Verschlüsselung fehlt meist völlig. Das gilt sowohl für die Verschlüsselung von externen USB-Laufwerken als auch für interne Festplatten und Dateiordner.

Das Grundproblem in Behörden liegt oft in einer mangelnden Sensibilität für das Thema IT-Sicherheit. Um sich eingehender mit dem Thema zu befassen, fehlt entweder die Zeit oder das Budget. Teils rauben auch andere Projekte Ressourcen oder es gilt das „Augen-zu-und-durch“-Prinzip nach dem Motto: „Uns wird schon nichts passieren“. Im Fall von Schmalkalden hätte ­eine Umstellung auf ein aktuelles Betriebssystem und eine moderne Schnittstellen-Kontroll-Lösung vermutlich schon gereicht, um einen Vorfall dieses Ausmaßes zu verhindern.

Wirksamer Datenschutz

In Behörden liegt heute ein Großteil sensibler, oft personenbezogener Daten in digitaler Form vor. Ein erster Schritt in die richtige Richtung ist es, festzulegen, welche Personen welche Datenwege überhaupt benutzen dürfen. Technisch lassen sich mit einer Access-Control-Lösung die Berechtigungen von Benutzern zentral administrieren. Niemand kann dann ohne Berechtigung sensible Daten so „aus Versehen“ verlieren.

Im nächsten Schritt wird geklärt, welcher Umgang mit Daten für die berechtigten Mitarbeiter im Hinblick auf ihre Arbeit sinnvoll ist. Es wird besonders gefährlich, wenn Daten das Unternehmen verlassen. Daher sollte man den Kreis derer, die Daten außerhalb des Unternehmens speichern dürfen, zum Beispiel auf mobilen Endgeräten, externen Datenträgern oder in der Cloud, ebenfalls einschränken.

Bitte lesen Sie auf der nächsten Seite weiter.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44041030 / System & Services)