Die neue Datenschutz-Grundverordnung und die Schwachstelle USB-Sticks  

Die neue Datenschutz-Grundverordnung und die Schwachstelle USB-Sticks

Die Uhr tickt: Spätestens ab dem 25. Mai 2018 greift die neue EU-Datenschutz-Grundverordnung (DSGVO), deren Nichteinhaltung empfindliche Strafen nach sich zieht. Daher gilt es für Unternehmen jeder Größe, die Sicherheitsmaßnahmen anzupassen oder fehlende Schutzmechanismen zu installieren. Ein mögliches Datenleck, das hierbei gerne in Vergessenheit gerät aber immense Risiken birgt, sind USB-Sticks –sofern sie nicht die nötigen Sicherheitsstandards erfüllen.

USB Sticks mit sensiblen Daten Risiko für Unternehmen

Universelle Medien zur Speicherung und zum Transport von Daten ermöglichen uns, jederzeit und von überall aus auf wichtige Informationen zuzugreifen, Kopien anzulegen oder Dateien weiterzuverarbeiten. Das steigert die Effizienz und Produktivität. Doch die grenzenlose Flexibilität und Mobilität hat ihren Preis.

Studienergebnissen von Kingston Technology zufolge gehen in fast drei Viertel der befragten Unternehmen hin und wieder USB-Sticks verloren – unter anderem befinden sich auf ihnen vertrauliche Firmendaten. Und mehr noch: 80 Prozent der verwendeten Datenspeicher verfügen, den Recherchen zufolge, über keine hardwarebasierte Verschlüsselung. Ein Verlust der kleinen Datenträger kann daher massive Folgen nach sich ziehen: So gefährdet der Verlust personenbezogener Daten unter anderem das Kundenverhältnis und die Reputation des Unternehmens – je nachdem, in welche Hände diese Informationen geraten, drohen weitere Konsequenzen.

Um solchen Szenarien vorzubeugen, hat der Gesetzesgeber mit der EU-Datenschutz-Grundverordnung ein Regelwerk erlassen, welches die Unternehmen für die Sicherung und den Schutz dieser sensiblen Informationen in die Pflicht nimmt. Damit gelten die Regelungen allerdings nicht nur für Unternehmen, die ihren Sitz innerhalb der EU haben, sondern auch für solche, die mit solchen Firmen in einer Geschäftsbeziehung stehen und somit deren Daten verarbeiten.

Die Schwachstelle USB-Stick

Um den ultimativen Datengau zu vermeiden, muss analysiert werden, auf welchen Datenträgern sensible Informationen liegen. Ein oft unterschätztes Risiko bergen USB-Sticks, die sich überall im Unternehmen befinden – und teilweise sogar bei den Mitarbeitern zuhause. Ab dem 25. Mai 2018 muss allerdings auf Nachfrage jederzeit nachgewiesen werden können, welche Daten sich auf den einzelnen Sticks befunden haben und ob diese verschlüsselt oder unverschlüsselt waren.

Die DSGVO sieht weiterhin vor, dass, im Zuge einer geforderten Risikoanalyse, Maßnahmen ergriffen werden, deren Kosten in einem angemessenen Verhältnis zur Risikobewertung stehen. Diese Bewertung beinhaltet die Eintrittswahrscheinlichkeit und die materiellen sowie immateriellen Folgen eines möglichen Schadens. Gleichzeitig sollen die Schutzmechanismen allerdings dem neuesten Stand der Technik entsprechen

Empfehlungen von Behörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) oder der European Union Agency for Network and Information Security (ENISA) können herbeigezogen werden, wenn es um Fragen zur Bedeutung des Terminus „Stand der Technik“ geht.

Der erste Schritt sollte eine vollständige Übersicht über alle Speicherorte von personenbezogenen Daten sein – so behalten Sie einerseits die Kontrolle und bekommen andererseits ein Gefühl dafür, wo am dringlichsten gehandelt werden muss, beziehungsweise wo ein Datenleck die umfänglichsten Folgen nach sich ziehen könnte.

So sind Sie auf der sicheren Seite

Als konkrete Anhaltspunkte, wie Sie sich vor drohenden Sicherheitsrisiken schützen können und konform der neuen Regelungen handeln können, nennt die Datenschutzgrundverordnung die Pseudonymisierung und Verschlüsselung personenbezogener Daten. Im Zuge der Pseudonymisierung werden Namen durch zufällige Zahlencodes ersetzt und der Schlüssel in einer Mastertabelle gespeichert.

Allerdings bietet diese Maßnahme alleine noch keinen zuverlässigen Schutz – so muss die Tabelle beispielsweise jederzeit verfügbar sein und darf nicht überschrieben werden, darüber hinaus lassen unter Umständen andere Hinweise auf die Identität der betroffenen Personen schließen. Daher ist eine zusätzliche Verschlüsselung der Daten unabdingbar.

Ein gutes Qualitätsmerkmal für Verschlüsselung sind laut des Speicherprodukte-Spezialisten Kingston Technology freiwillige Herstellerzertifizierungen wie beispielsweise FIPS 197 oder 140-Level3. Sind personenbezogene Daten also sicher verschlüsselt – hier entspricht die 256-Bit-AES-Verschlüsselung dem neuesten Stand der Technik – können die Informationen selbst bei einem Datendiebstahl oder einer Datenpanne nicht genutzt werden. In diesem Fall entfällt die Informationspflicht an Betroffene, da keine Gefahr besteht.

Verschlüsselte USB-Sticks von Kingston minimieren das Risiko

Kingston Techology bietet mit den Produktserien DataTraveler DTVP3.0, DT4000G2, dem IronKey D300 und S1000 eine ganze Reihe an USB-Sticks, die höchsten Sicherheitsansprüchen genügen und mit denen Sie Ihre Daten DSGVO-konform sichern können.

Die gespeicherten Informationen sind hier hundertprozentig verschlüsselt, darüber hinaus bewahrt Sie ein komplexer Passwortschutz mit Mindestanforderungen vor unbefugtem Zugang. Nach zehn ungültigen Anmeldeversuchen ist ein Zugriff auf die Daten nicht mehr möglich.

Die USB-Sticks von Kingston sind nach dem aktuellen Sicherheitsstandard AES-256 im XTS-Modus verschlüsselt. Zertifizierungen gemäß FIPS 197 und FIPS 140-2 sorgen dafür, dass Ihre Daten auch im Falle eines Diebstahls oder Verlustes absolut sicher sind. Die Modelle DataTraveler 4000G2, IronKey D300 und IronKey S1000 bieten außerdem einen physischen Schutz vor Manipulation.

Für einige der im Kingston-Portfolio befindlichen USB-Sticks, wie DTVP3.0, DTVP3.0AV, DT4000G2 mit Management und D300, steht Ihnen zudem ein Personalisierungsprogramm zur Verfügung, mit Hilfe dessen beispielsweise über Seriennummern und Produkt-IDs die Einbindung in eine Endpoint-Management-Lösung vorgenommen oder die Anzahl der Zugriffsversuche festgelegt werden kann.

Um adäquate Managementlösungen bereitstellen zu können und Compliance-Anforderungen leichter zu erfüllen, kooperiert Kingston Technology mit DataLocker, einem Anbieter von zentralen Managementlösungen. DataLocker stellt für Kingstons verschlüsselte DataTraveler- und IronKey-USB-Laufwerke die Software-Programme SafeConsole und Enterprise Management System (EMS) zur Verfügung, über welche die USB-Sticks ganz einfach und zentral im Unternehmen verwaltet werden können. Unter anderem stehen Mitarbeitern somit Funktionen wie Remote Passwort Reset oder der automatische Anti-Malware Scanner zur Verfügung, und Systemadministratoren behalten die Kontrolle über alle USB-Sticks eines Unternehmens.

Titelbild: Fotolia/bluebeat76

 

Was denken Sie zu diesem Thema? Schreiben Sie einen Kommentar:

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.