Vergessen und Verdrängen, so könnte der Umgang mit dem Thema IT-Sicherheit im unternehmerischen Alltag wohl am besten zusammengefasst werden. Solange nichts passiert, muss sich darüber auch nicht der Kopf zerbrochen werden. Doch kaum geschieht etwas Gröberes, geht sie um, die Angst um Datenverlust und dem daraus drohenden finanziellen Schaden.

Jüngstes Beispiel: Die Attacken des Computerwurms "Conficker", dem auch in Österreich viele Unternehmen und Organisationen zum Opfer gefallen sind. Dass dieser sich so ungehemmt verbreiten konnte, daran ist nicht nur eine schon im Oktober publizierte Windows-Sicherheitslücke beteiligt, sondern auch der oft allzu sorglose Umgang mit den kleine und ach so praktischen USB-Speichersticks.

Über die kleinen mobilen Speichermedien gelangten nicht nur private oder berufliche Daten von einem Rechner zum nächsten, sondern auch der Computerschädling. Unbemerkt - eingenistet zwischen den restlichen Dokumenten - wartete Conficker, bis der nichts ahnende Anwender seinen USB-Stick an den Computer anschloss.

"Conficker ist ein sehr durchdachter Schädling, der unter anderem die 'AutoPlay' beziehungsweise 'AutoRun'-Funktion unter Windows ausnutzt" , so Martin Penzes von Sicontact, dem Generaldistributor von Eset-Sicherheitsprodukten in Österreich. Es hat somit gereicht, einen USB-Stick an einen Rechner anzuschließen und - dank der automatischen Startfunktion - konnte der Computerschädling mit seiner "Arbeit" beginnen.

Doch die Bedrohung für die (IT)Sicherheit durch USB-Sticks geht über Viren und Würmer weit hinaus. Allzu schnell sind Daten - im Fall der britischen Gesundheitsbehörde auch streng vertrauliche - auf den USB-Stick gespielt. Beim Verlassen der Firma rasch in die Hosentasche gesteckt, und schon geht der Stick samt Daten auf Wanderschaft.

Der USB-Stick hat sich zum Schrecken der IT-Administratoren entwickelt. Unabhängiges Arbeiten, Komfort und schnelles Synchronisieren, gepaart mit mangelndem Sicherheitsbewusstsein auf der einen, treffen auf massive Sicherheitsrisiken auf der anderen Seite. Die Sicherheitsbedrohung geht nicht nur vom USB-Stick aus: iPods, mobile Festplatten und Smartphones sind nicht weniger Feind der IT. Selbst das bestgesicherte Netz ist dadurch kompromittierbar.

Risiken wie diese lassen sich zwar nicht aus der Welt schaffen, aber zumindest minimieren. "Ganz wichtig ist, dass auch kleinere Unternehmen ein Bewusstsein für IT-Sicherheit unter ihren Mitarbeitern schaffen. Es fehlt in diesem Bereich an klaren Regeln und geschultem Personal" , weiß Penzes.
Proaktive Schritte setzen, lautet die Strategie: persönliche Zugriffsrechte im Unternehmen definieren, welcher Anwender mit welchen Geräten auf welche Information zugreifen darf. Ein internes Verschlüsselungskonzept gibt vor, wie Daten vor unerlaubtem Zugriff geschützt werden müssen. Auch der USB-Stick selbst sollte mit einem elektronischen Safe ausgestattet sein. Datenverschlüsselung mit einem zentral festgelegten Benutzerschlüssel kann die uneingeschränkte Nutzung aller Daten im Unternehmen, nicht aber auf firmenfremden Rechnern garantieren.

Der USB-Stick sollte über zwei Partitionen verfügen: eine für vertrauliche Dokumente, eine für öffentlich zugängliche. Auch biometrische Sicherheitsfunktionen wie ein Fingerabdruckscanner auf dem Stick schützen vor Missbrauch.

Der USB-Stick sollte niemals an einem fremden Rechner angeschlossen werden, ohne zuvor den manuellen Schreibschutz zu aktivieren. Im Unternehmen sollte die automatische Startfunktion stets deaktiviert sein. Zu guter Letzt darf ein gründlicher Virencheck nicht fehlen, um schädliche Software vom Firmennetz fernzuhalten. Hundertprozentige Sicherheit gibt nie, aber ausreichend Möglichkeiten, das Risiko zu minimieren. (Gregor Kucera/DER STANDARD, Printausgabe, 27.1.2009)