Bundesheer Bundesheer Hoheitszeichen

Bundesheer auf Twitter

Sicherheitsrisiko mobile Datenspeicher

Mobile Datenspeicher sind heute allgegenwärtig und aus dem Leben nicht mehr wegzudenken. Allein im Österreichischen Bundesheer sind rund 10 000 USB-Datenspeicher in Verwendung. Vielen Anwendern sind die damit verbundenen Risiken aber nicht bewusst.

Mobile - im Sinne einfach mittragbarer - Datenspeicher (z. B. Notebooks, PDAs, Mobiltelefone, Speicherkarten, USB-Speichermedien, externe Festplatten, DVDs, CD-R) gehören heute zum Arbeitsgerät eines jeden Computerbenutzers. Der wesentliche Unterschied zum Diskettenzeitalter ist, dass diese heute in einer Vielzahl an Geräten Verwendung finden (z. B. Computer, Digitalkamera, MP3-Player) und eine hohe Speicherkapazitäten aufweisen. Der geringe Preis unterstützt zusätzlich die rasante Verbreitung. Darüber hinaus werden vor allem USB-Speichermedien ("USB-Sticks") gerne als Werbeträger verwendet und bei diversen Veranstaltungen verteilt.

Mittlerweile kosten Festplatten mit einer Speicherkapazität von 1 500 Gigabyte (GB, oder 1,5 Terabyte) nur mehr rund 100 Euro. Auch USB-Speichermedien mit 256 Gigabyte Kapazität sind bereits erhältlich. Auf solchen Datenspeichern haben Millionen Dateien Platz. Ein durchschnittliches Worddokument hat rund 100 Kilobyte (KB) auf. Auf einem Acht-GB-USB-Datenspeicher hätten daher ca. 80 000 Dokumente Platz - ein Vielfaches des Jahresaufkommens der meisten Organisationseinheiten des Österreichischen Bundesheeres.

Computeranwender verfügen heute in der Regel über mehrere USB- oder sonstige Datenspeicher. Oftmals ist den Anwendern dabei gar nicht bewusst, dass darauf umfangreiche, häufig auch schützenswerte Informationen gespeichert sind.

Der Verlust mobiler Datenspeicher ist daher ein erhebliches Risiko für die Informationssicherheit. Der materielle und finanzielle Schaden bei einem Verlust oder Diebstahl ist in der Regel vernachlässigbar, der unwiederbringliche Informationsverlust, vor allem von sensiblen und klassifizierten Daten, jedoch auf keinen Fall! Aber auch im privaten Bereich kann es dadurch zu einem hohen (immateriellen) Schaden kommen, wenn persönliche Daten (z. B. Fotos) für immer verloren sind.

Über mobile Datenspeicher gelangen auch immer häufiger Schadprogramme in Umlauf. 2009 wurde vor allem die Schadsoftware "Conficker" durch umfangreiche Medienberichte bekannt. Mit diesem "Wurm" sollte die Kontrolle über Millionen von Rechnern weltweit erlangt werden um private Daten auzulesen, Spam zu versenden oder Webseiten zu sabotieren. "Conficker" wurde u. a. durch "verseuchte" USB-Datenspeicher in grundsätzlich abgeschottete Netze eingeschleppt. Entscheidend war dabei die in vielen Betriebssystemen standardmäßig aktivierte "autorun/autoplay"-Funktion. "Conficker" ist aber nur ein Vertreter einer Vielzahl sogenannter "autorun" Schadprogramme.

Darüber hinaus gibt es Schadprogramme, die vollautomatisch und unbemerkt alle Daten von angeschlossenen USB-Datenspeichern auf den präparierten Computer kopieren oder diese direkt über das Internet an den Angreifer versenden. Zusätzlich können auf dem Datenspeicher vorhandene Word- und Excel-Dateien mit Schadcodes versehen bzw. sonstige Dateien (ev. mit Schadfunktion) auf den USB-Datenspeicher kopiert werden. Daher ergeben sich zwei wesentliche Sicherheitsrisiken bei der Verwendung von mobilen Datenspeichern:

  • der endgültige Datenverlust und
  • die Verbreitung von Schadsoftware.

Diese Risiken können durch Sicherheitsmaßnahmen minimiert, jedoch nicht völlig ausgeschlossen werden.

Bewusstseinsbildung und Sensibilisierung der Anwender

Technische Maßnahmen können immer nur unterstützen. Daher sind die wichtigsten Maßnahmen, wie immer in der IKT-Sicherheit, die Bewusstseinsbildung und Sensibilisierung der Anwender. Ein entsprechendes Sicherheitsniveau kann nur erreicht werden, wenn sich die Anwender verantwortungsvoll verhalten und die vorgeschlagenen oder angeordneten Maßnahmen umsetzten. Anwender ist jeder, der Informations- und Kommunikationstechnik verwendet, unabhängig von Funktion, Dienstgrad oder Dienststellung. Sicherheit ist aber vor allem eine Managementaufgabe, d. h. eine Vorbildwirkung und Dienstaufsicht ist Chefsache!

Wichtige Sicherheitshinweise

Die folgenden Sicherheitshinweise sind ein grundsätzliches Mindestmaß an persönlichen Maßnahmen und darüberhinaus in jede Richtung erweiterbar.

Transportsicherung:

  • Verwenden Sie nach Möglichkeit eine mechanische Transportsicherung (z. B. Umhängeband oder Schlüsselanhänger) für Ihre Daten-speicher, um die Verlust- bzw. Diebstahlgefahr zu senken.
  • Tragen Sie Ihren mobilen Datenspeicher nach Möglichkeit am Körper bzw. sorgen Sie für eine sichere Verwahrung. Lassen Sie ihn keines-falls unbeaufsichtigt liegen.
  • Gelegenheit macht Diebe! Darüber hinaus besteht die Gefahr, dass der Datenspeicher in Ihrer Abwesenheit manipuliert wird!

Bewahren Sie den Überblick:

  • Halten Sie den Datenbestand auf den Datenspeichern so gering wie möglich!
  • Löschen Sie die nicht benötigten Daten auf Ihren Datenspeichern!
  • Bewahren Sie den Überblick über Ihre Datenspeicher und die darauf gespeicherten Daten!
  • Verwenden Sie ein für Sie passendes Ordnungssystem.
  • Kennzeichnen Sie Datenspeicher mit sensiblen oder klassifizierten Daten! Halten Sie dabei Vorgaben entsprechender Verschlusssachenvorschriften (z. B. VSaV/GehSV) ein!
  • Verwenden Sie Schutzmechanismen
  • Verwenden Sie, wann immer möglich, auch für mobile Datenspeicher die Verschlüsselung der 3.VE! Klassifizierte Daten sind grundsätzlich nur 3.VE verschlüsselt zu speichern.
  • Verwenden Sie auch auf privaten Datenspeichern Verschlüsselungs- bzw. Löschsoftware. Im Internet gibt es frei verfügbare Programme mit denen Sie Ihre Daten auch ohne vorheriger Installation oder Administrationsrechten verschlüsseln bzw. löschen können. Kopieren Sie ein derartiges Werkzeug standardmäßig auf Ihre mobilen Datenspeicher und verwenden Sie dieses auch!

Überlegen Sie, wo Sie Ihren Datenspeicher einsetzen:

  • Berücksichtigen Sie, dass äußere Einflüsse (z. B. Hitze, Nässe, Vibration, unsachgemäßes Entfernen vom Computer) die Lesbarkeit des Datenspeichers beeinflussen bzw. die Daten unbrauchbar machen können. Nutzen Sie daher derartige Datenspeicher nur als ergänzende Datensicherungsmedien!
  • Überlegen Sie gut, wo Sie ihren mobilen Datenspeicher einsetzen bzw. mit welchem Netzwerk oder welchem Computer Sie ihn verbinden! Ihre Daten könnten kopiert oder Ihr Datenspeicher manipuliert werden!
  • Seien Sie besonders sorgfältig, wenn Sie Ihren mobilen Datenspeicher zum Datenaustausch zwischen unsicheren (z. B. Internet) und den geschützten militärischen Netzen (z. B. 3.VE) verwenden! Sie könnten damit einen erheblichen Schaden verursachen!
  • Deaktivieren Sie die "autorun/autoplay" Funktion und verhindern Sie damit die einfache Verbreitung von Schadsoftware mittels manipulierter Datenspeicher! Sie finden entsprechende Anleitungen im Internet. (Autorun ist die Funktion von Windows-Betriebssystemen, die beim Einlegen oder Einstecken von auswechselbaren Datenträgern - CDs/DVDs, USB-Sticks usw. - ein bestimmtes Programm ausführt oder eine Datei öffnet. Auch fest eingebaute Datenträger wie Festplatten nutzen "autorun.inf", um zum Beispiel ein bestimmtes Icon anzuzeigen. Mit der Autoplay Funktion können automatisch Fotos, Videos oder Musikdateien angezeigt bzw. abgespielt werden.)

Sollten Sie einen USB-Datenspeicher finden oder geschenkt bekommen, überlegen Sie, ob es das Risiko wert ist, durch Verwendung Ihren Computer und vor allem Ihre Daten damit möglicherweise zu gefährden!

Autor: Major Herbert Saurugg

Eigentümer und Herausgeber: Bundesministerium für Landesverteidigung | Roßauer Lände 1, 1090 Wien
Impressum | Kontakt | Datenschutz | Barrierefreiheit

Hinweisgeberstelle