Einige Kunden stellten uns die Frage, ob wir das Speichern von Daten auf einem USB Stick noch für zulässig halten.
Hierzu muss man ganz klar sagen, dass es auch hier wieder auf die Art der Daten ankommt. Wenn wir z.B. über Bilder oder Dokumente ohne personenbezogene Daten reden, musst du dir selbst die Frage stellen, ob jeder, der den USB Stick findet, auf diese Daten zugreifen können darf oder eben nicht. Sofern du nur interne Kalkulationen oder vorbereitende Dokumente, die keine personenbezogenen Daten beinhalten, darauf transportierst, solltest du dir trotzdem überlegen, ob diese Daten nicht eventuell für jemand anderen einen Vorteil bieten könnten und somit schützenswert sind. Auch könnte eine Firmenrichtlinie festlegen, dass die Daten auf keinen Fall deine Firma verlassen dürfen.
In dem Fall ist es also besser, wenn deine Daten auch auf dem Transportmedium geschützt und möglichst Hardware-verschlüsselt sind. Solche USB Sticks sind heute keine Seltenheit mehr und kosten kein Vermögen - bieten aber Schutz vor Datenverlust oder Datenlecks. Wir möchten dir heute daher ein paar Möglichkeiten vorstellen, wie man sich vor solchen Sicherheitslücken schützen kann.
Windows Domäne - Wechseldatenträger sperren
In der Windows Domäne ist es grundsätzlich möglich, USB Laufwerke über die Gruppenrichtlinie zu sperren. So kann zwar ein Mitarbeiter einen USB Stick einstecken, aber dieser wird unter Windows nicht erkannt und so können auch keine Daten auf den USB Stick abwandern.
Im Active Directory findest du diese Möglichkeiten unter „Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> System -> Wechselmedienzugriff„.
Auch Rechner, die kein Mitglied einer Domäne sind, kann man so schützen - muss das aber für jeden Rechner einzeln vornehmen. Dort finden sich die Einstellungen in den lokalen Gruppenrichtlinien (gpedit.msc) unter „Computerkonfiguration -> Administrative Vorlagen -> System -> Wechselmedienzugriff„.
Wie erfahrene Administratoren wissen, kann man auch verschiedene Gruppenrichtlinien erstellen, die auf verschiedene Nutzergruppen angewandt werden, und so auch User wie z.B. die Geschäftsführung ausnehmen. Dann musst du diese Einstellung in den Benutzerkonfigurationen vornehmen.
Du hast die Auswahl:
- Wechseldatenträger: Lesezugriff verweigern
- Wechseldatenträger: Schreibzugriff verweigern
- Wechseldatenträger: Ausführungszugriff verweigern
Wer nur den Schreibzugriff verweigert, verhindert zwar das Speichern von internen Daten auf den USB-Stick, schützt sich aber nicht vor Schadsoftware wie Trojanern etc., die eventuell auf dem USB-Stick vorhanden ist.
Die Option, „Wechseldatenträger: Ausführungszugriff verweigern“ kann zwar die Ausführung von .exe-Dateien über den USB-Stick verhindern, aber der Benutzer könnte diese vor der Ausführung auf die Festplatte kopieren und dann ausführen. Zudem verhindert diese Richtlinie nicht das Öffnen anderer Dateien.
Zugriff auf andere Wechselmedien einschränken
Wie man in unserem Bild sieht, kann man an gleicher Stelle den Zugriff auf weitere Laufwerke wie CD / DVD, Diskettenlaufwerke, Bandlaufwerke
Benutzerdefinierte Geräte (GUID Kenntnisse erforderlich) verhindern.
Hiermit hat man also schon einiges erreicht und auch den Abfluss von Daten aus dem Unternehmen unterbunden. Wechselt ein Mitarbeiter seinen Arbeitsplatz, so kann er nicht einfach über einen USB Stick die Kundendaten mitnehmen.
Auf der anderen Seite verhindert man so auch den Abfluss von personenbezogenen Daten und handelt damit im Sinne der DSGVO. Es gibt jedoch Mitarbeiter, die vielleicht häufiger einen Zugriff auf einen USB Stick benötigen, um z.B. Preislisten oder andere Dokumente mit zu Kunden zu nehmen. Kleinere Firmen sichern auch eine kleine Kundendatenbank auf einem USB Stick. An dieser Stelle ist es aber wichtig, dass dann der USB Stick geschützt ist.
Schutz von USB Stick mittels Bitlocker / Windows PRO
Zahlreiche USB Sticks können heute unter Windows 10 Pro und Enterprise mit Bitlocker - einer Verschlüsselung für Datenträger - versehen werden. Öffnet man den Windows Explorer und klickt mit der rechten Maustaste auf den Datenträger, so öffnet sich ein Menü, in dem man den Eintrag "Bitlocker aktivieren" findet:
Im Anschluss ist dann der USB Stick verschlüsselt, kann aber nur noch an einem Windows System wieder geöffnet werden. Ab Windows 10 - 1511 wird ein neuer Verschlüsselungsmodus (XTS-AES) eingeführt, der mit älteren Windows Versionen nicht kompatibel ist. Auch hier hat man eine weitere Hürde - aber Karley eine Lösung:
USB Sticks mit Hardware Verschlüsselung
Update: 07-2019. Wir haben die sicheren USB Sticks aus dem standard Shop genommen, da diese Artikel auch Privatpersonen anzogen, wir aber nicht an Privatpersonen liefern. Solltest du verschlüsselbare USB Sticks benötigen, so nenne sie uns bitte mit der Größe und gewünschten Menge über das
Kontaktformular an uns:
Kontaktformular 
Wer nur den Schreibzugriff verweigert, verhindert zwar das Speichern von internen Daten auf den USB-Stick, schützt sich aber nicht vor Schadsoftware wie Trojanern etc., die eventuell auf dem USB-Stick vorhanden ist.
Die Option, „Wechseldatenträger: Ausführungszugriff verweigern“ kann zwar die Ausführung von .exe-Dateien über den USB-Stick verhindern, aber der Benutzer könnte diese vor der Ausführung auf die Festplatte kopieren und dann ausführen. Zudem verhindert diese Richtlinie nicht das Öffnen anderer Dateien.
Zugriff auf andere Wechselmedien einschränken
Wie man in unserem Bild sieht, kann man an gleicher Stelle den Zugriff auf weitere Laufwerke wie CD / DVD, Diskettenlaufwerke, Bandlaufwerke
Benutzerdefinierte Geräte (GUID Kenntnisse erforderlich) verhindern.
Hiermit hat man also schon einiges erreicht und auch den Abfluss von Daten aus dem Unternehmen unterbunden. Wechselt ein Mitarbeiter seinen Arbeitsplatz, so kann er nicht einfach über einen USB Stick die Kundendaten mitnehmen.
Auf der anderen Seite verhindert man so auch den Abfluss von personenbezogenen Daten und handelt damit im Sinne der DSGVO. Es gibt jedoch Mitarbeiter, die vielleicht häufiger einen Zugriff auf einen USB Stick benötigen, um z.B. Preislisten oder andere Dokumente mit zu Kunden zu nehmen. Kleinere Firmen sichern auch eine kleine Kundendatenbank auf einem USB Stick. An dieser Stelle ist es aber wichtig, dass dann der USB Stick geschützt ist.
Im Anschluss ist dann der USB Stick verschlüsselt, kann aber nur noch an einem Windows System wieder geöffnet werden. Ab Windows 10 - 1511 wird ein neuer Verschlüsselungsmodus (XTS-AES) eingeführt, der mit älteren Windows Versionen nicht kompatibel ist. Auch hier hat man eine weitere Hürde - aber Karley eine Lösung:
