Speichern auf USB Sticks von Firmendaten – Datenschutz konform?

Speichern auf USB Sticks von Firmendaten – Datenschutz konform?

2018

Einige Kunden stellten uns die Frage, ob wir das Speichern von Daten auf einem USB Stick noch zur zugelassen halten.

Hierzu muss man ganz klar sagen, das es auch hier wieder auf die Art der Daten ankommt. Wenn wir über z.B. Bilder oder Dokumente ohne personenbezogene Daten reden, müssen Sie sich selbst die Frage stellen ob jeder der den USB Stick findet auf diese Daten zugreifen können darf oder aber nicht. Sofern Sie nur interne Kalkulationen, oder vorbereitende Dokumente die keine personenbezogenen Daten beinhalten darauf transportieren, sollten Sie sich trotzdem überlegen ob diese Daten nicht eventuell für jemand anderen einen Vorteil bieten könnten und somit schützenswert sind. Auch könnte eine Firmenrichtlinie festlegen, das die Daten auf keinen Fall Ihre Firma verlassen dürfen.

In dem Fall ist es also besser, wenn Ihre Daten auch auf dem Transportmedium geschützt und möglichst Hardware-verschlüsselt sind. Solche USB Sticks sind heute keine Seltenheit mehr und kosten kein Vermögen – bieten aber Schutz vor Datenverlust oder Datenlecks. Wir möchten Ihnen heute daher ein paar Möglichkeiten vorstellen wie man sich vor solchen Sicherheitslücken schützen kann.

Windows Domäne – Wechseldatenträger sperren

In der Windows Domäne ist es grundsätzlich möglich USB Laufwerke zu sperren über die Gruppenrichtlinie. So kann zwar ein Mitarbeiter einen USB Stick einstecken, aber dieser wird unter Windows nicht erkannt und so könne auch keine Daten auf den USB Stick abwandern.

Im Active-Directoy finden Sie diese Möglichkeiten unter „Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> System -> Wechselmedienzugriff„.

Auch Rechner die kein Mitglied einer Domäne sind, kann man so schützen – muss das aber für jeden Rechner einzeln vornehmen. Dort finden sich die Einstellungen in den lokalen Gruppenrichtlinien (gpedit.msc) unter „Computerkonfiguration -> Administrative Vorlagen -> System -> Wechselmedienzugriff„.

Wie erfahrene Administratoren wissen, können sie auch verschiedene Gruppenrichtlinien erstellen, die auf verschiedene Nutzergruppen angewandt werden und so auch User wie z.B. die Geschäftsführung ausnehmen. Dann müssen Sie diese Einstellung in den Benutzerkonfigurationen vornehmen.

Sie haben die Auswahl:

  • Wechseldatenträger: Lesezugriff verweigern
  • Wechseldatenträger: Schreibzugriff verweigern
  • Wechseldatenträger: Ausführungszugriff verweigern

Wer nur den Schreibzugriff verweigert, verhindert zwar das Speichern von internen Daten auf den USB-Stick, schützt sich aber nicht vor Schadsoftware, wie Trojanern etc, die eventuell auf dem USB-Stick vorhanden sind.

Die Option, „Wechseldatenträger: Ausführungszugriff verweigern“ kann zwar die Ausführung von .exe-Dateien über den USB-Stick verhindern, aber der Benutzer könnte diese vor der Ausführung auf die Festplatte kopieren und dann ausführen. Zudem verhindert diese Richtlinie nicht das Öffnen anderer Dateien.

Zugriff auf andere Wechselmedien einschränken
Wie man in unserem Bild sieht kann man an gleicher Stelle den Zugriff auf weitere Laufwerke wie  CD / DVD, Diskettenlaufwerke, Bandlaufwerke
Benutzerdefinierte Geräte (GUID  Kenntnisse erforderlich) verhindern.

Hiermit hat man also schon einiges geschaffen und auch den Abfluß von Daten aus dem Unternehmen unterbunden. Wechselt ein Mitarbeiter seinen Arbeitsplatz, so kann er nicht einfach über einen USB Stick die Kundendaten mitnehmen.

Auf der anderen Seite schützt man so auch den Abfluß von personenbezogenen Daten und handelt damit im Sinne der DSGVO.  Es gibt jedoch Mitarbeiter die vielleicht häufiger einen Zugriff auf einen USB Stick benötigen, um z.B. Preislisten oder andere Dokumente mit zu Kunden zu nehmen. Kleinere Firmen sichern auch eine kleine Kundendatenbank auf einem USB Stick. An dieser Stelle ist es aber wichtig, das dann der USB Stick geschützt ist.

Schutz von USB Stick mittels Bitlocker / Windows PRO

Zahlreiche USB Sticks können heute unter Windows 10 Pro und Enterprise mit Bitlocker – einer Verschlüsselung für Datenträger versehen werden. Öffnet man den Windows Explorer und klickt auf so öffnet sich ein Menü in dem man den Eintrag „Bitlockeraktivieren“ findet:

Im Anschluß ist dann der USB Stick verschlüsselt, kann aber nur noch an einem Windows System wieder geöffnet werden. Ab Windows 10 – 1511 wird ein neuer Verschlüsselungsmodus (XTS-AES) eingeführt, der mit älteren Windows Versionen nicht kompatibel ist. Auch hier hat man eine weitere Hürde, aber Karley eine Lösung:

USB Sticks mit Hardware Verschlüsselung

Solche Sticks finden Sie z.B. hier: https://www.karley.de/medien_und_duplizierer/speichermedien Und vor allem auf Anfrage in größeren Stückzahlen.