Von der Offline- zur Online-Bedrohung

Ich kann mich noch gut entsinnen, als ich den ersten USB-Stick in Händen hielt. Was für ein Wunderwerk der Technik. Nicht zu vergleichen mit den Disketten. Die ersten USB-Sticks hatten zwar noch nicht die Speicherkapazität von CDs, jedoch waren sie sehr handlich. Die einfache Möglichkeit des Transportes und der problemlose Anschluss an jeden PC, haben nach meiner Einschätzung den Siegeszug des USB-Sticks begründet.

Mit der Verbreitung des USB-Sticks begannen die Anwender immer stärker Daten auf die kleinen mobilen Speicherriegel auszulagern oder zu kopieren. “Können Sie mir bitte mal den USB-Stick mit Ihrer Präsentation reichen?” wurde zur Normalität im Büroalltag. Mit der immer umfassenderen Möglichkeit Daten auf USB-Sticks zu speichern, stieg auch das Bedürfnis, Daten stets mit sich zu führen. Während zu Beginn maximal eine Präsentation oder kleinere PDF-Dateien auf einem Stick Platz fanden, können jetzt ganze Projektverzeichnisse oder andere größere Datenbestände problemlos auf einem USB-Stick untergebracht werden.

Die Verantwortlichen in der IT sahen diese Entwicklung mit Sorge. Zum einen waren die so gespeicherten Daten nicht gegen Verlust geschützt. Zum anderen hatten findige Hacker den USB-Stick schnell als effektive Möglichkeit entdeckt, Unternehmensnetzwerke zu korrumpieren. Die Aufgabe der IT war es nun, diesen beiden Bedrohungsszenarien zu begegnen. Dem Verlust eines USB-Sticks sollte durch verschiedenste Sicherheits- und Verschlüsselungssysteme vorgebeugt werden. Leider hat sich keines dieser Systeme durchgesetzt. Sie waren zu komplex in der Handhabung und sind damit schlicht an der Bequemlichkeit der Anwender gescheitert.

Um die Infiltration durch manipulierte USB-Sticks zu verhindern sind manche Unternehmen so weit gegangen, den Einsatz von USB-Sticks zu verbieten. Meine Erfahrung hat gezeigt, dass sich diese Restriktion nur sehr kurz durchhalten lässt. Spätestens dann, wenn wichtige Geschäftsdokumente “mal eben” von einem System zum anderen kopiert werden sollen, zeigt sich, wie sehr solch eine Einschränkung an der Realität im Unternehmen vorbei geht. Den Verantwortlichen in der IT blieb somit nur die Möglichkeit, durch intelligente Virenscanner den Einbruch in die Unternehmensnetzwerke zu verhindern.

Viele Unternehmen nutzen zudem USB-Sticks, als Kommunikations- und Werbemedium. Es gibt mittlerweile kaum noch Veranstaltungen, die nicht USB-Sticks als Medium einsetzen. Ausreichend dimensioniert und von einer gewissen Wertigkeit, ist ein dauerhafter Einsatz dieses Werbeträgers sicher. Der selbstverständliche und sorglose Umgang mit USB-Sticks, ist durch diese Aktionen wieder verstärkt worden.

Mit dem Aufkommen des sogenannten Cloud Computing haben sich in kurzer Zeit eine unüberschaubare Anzahl von Diensten etabliert. War es zu Beginn gerade einmal möglich die Bookmarks seines Browsers in der Cloud (damals wurde das allerdings noch nicht so genannt) zu speichern, können jetzt ganze Festplatten in der Cloud gespeichert werden. Die Entwicklung der Cloud Services kann daher mit der Entwicklung der USB-Sticks verglichen werden, wenn man sich auf den Aspekt Speicherplatz beschränkt.

Während es beim Transport von Daten auf einem USB-Stick vornehmlich darum ging, Zugriff auf gespeicherte Dokumente zu haben, hat sich der Anspruch bei der Nutzung von Cloud Services drastisch erweitert. Neben dem permanenten Zugriff auf Dokumente nutzen viele Anwender Cloud Services, um Teile ihrer Firmeninfrastruktur jederzeit verfügbar zu haben. Dies fängt bei so einfachen Dingen an, wie der Synchronisation des Adressbuchs und des Kalenders. Damit ist schon eine neue Qualität erreicht. Daten, die bislang intern in Firmennetzwerken sicher gespeichert waren, können problemlos von jedermann außerhalb des Firmennetzwerks transportiert werden.

Als einen der Haupttreiber für diese Entwicklung sehe ich die technische Möglichkeit private Endgeräte im Firmenalltag zu nutzen. Dies hat unabhängig davon, ob Firmen den Einsatz privater Endgeräte unterstützen, zur verstärkten Nutzung von Cloud Services geführt. Der wohl einfachste Ansatz ist, dass Anwender ihre Firmen-Mails auf ihren Googlemail-Account umleiten lassen, um diese auf dem iPad lesen zu können.

Dienste wie Dropbox erlauben die Synchronisierung ganzer Verzeichnisstrukturen. Andere Dienste lassen das Speichern von Präsentationen, Mindmaps oder Projektplänen zu. Die Vielfalt der Dienste ist mittlerweile unüberschaubar und stellt die Verantwortlichen in der IT vor eine große Herausforderung. Wie soll sichergestellt werden, dass wichtige Informationen nicht unabsichtlich im Netz veröffentlicht oder verloren werden? Wie kann verhindert wenn, dass z. B. versehentlich das gesamte Kontaktverzeichnis der Firma mit Facebook abgeglichen wird, nur weil ein Anwender, der sich alle Daten auf sein privates Endgerät repliziert hat, einen falschen Klick gemacht hat?

Nach meiner festen Überzeugung wird es keine technischen Möglichkeiten geben, dies zu kontrollieren oder gar zu verhindern. Für einen umfassenden Ansatz müssen andere Wege beschritten werden. Die immer stärkere Durchdringung von IT sorgt dafür, dass die Anwender immer mündiger werden. Dort gilt es anzusetzen. Die Anwender sollten systematisch geschult und informiert werden. Nur auf diese Art und Weise lässt sich dauerhaft eine Sensibilisierung schaffen. Neben einer umfassenden Information sollte über einen Code of conduct im Umgang mit Cloud Services nachgedacht werden. Für den Umgang mit sozialen Netzen existiert bereits in vielen Unternehmen solch ein Verhaltenskodex.

Ich bin sehr gespannt, in welche Richtung sich die Dinge entwickeln. Eins ist auf jeden Fall sicher – es bleibt spannend.

PS:
Diese Zeilen habe ich nicht lokal geschrieben. Ich nutze hierfür den Cloud Service Evernote. Er hilft mir meine Gedanken unabhängig vom Endgerät zu erfassen und zu verwalten.