Wechseldatenträger - Fluch und Segen

Der selbstverständliche Umgang mit Wechseldatenträgern birgt für Kanzleien Gefahren, die es in sich haben. Wer Schaden in seiner Steuerberatungskanzlei vermeiden will, sollte vorbeugen.

Die USB-Schnittstelle am PC ist mittlerweile unverzichtbar geworden. Einfach in der Handhabung, lässt sich eine Vielfalt an Geräten anschließen. Gerade darin steckt aber ein hohes Gefahrenpotenzial.

Steve Stasiukonis, Chef einer US-amerikanischen Firma für Datensicherheit, überprüfte das Firmennetzwerk einer Genossenschaftsbank auf Sicherheitslücken. Neben technischen Prüfungen testete Stasiukonis auch die Sicherheitslücke Mensch mit Hilfe des "Social Hacking". Hier wird, unter Vorspielen falscher Tatsachen, versucht, Mitarbeiter dazu zu bewegen, EDV-Zugangsdaten gegenüber Dritten zu offenbaren. In dem vorliegenden Fall wurden 20 USB-Sticks mit einem Trojaner präpariert und vor Dienstbeginn auf dem Parkplatz der Bank "zufällig verloren". Bei der Nutzung des USB-Sticks meldete der Trojaner dem jeweiligen Rechner zurück, dass der Stick benutzt wurde - innerhalb von drei Tagen gab es 15 Rückmeldungen.

Die Neugier verleitete Mitarbeiter dazu, fremde Hardware unkontrolliert im Firmennetzwerk einzusetzen und legte somit Schwächen offen. Beim Einsatz von USB-Schnittstellen gibt es mehrere Probleme:

1. Schadprogramme auf fremden USB-Sticks können im Kanzlei-Netzwerk aktiv werden.
2. Daten lassen sich über fremde USB-Sticks aus dem Kanzlei-Netzwerk abziehen.
3. Kanzleidaten auf USB-Datenträgern, die nicht korrekt vernichtet wurden, können bei Verlust in falsche Hände geraten.
4. Von USB-Datenträgern der Kanzlei, die an fremden Rechnern verwendet werden, können Daten kopiert oder Schadprogramme aufgespielt werden.

Eine Sperrung sämtlicher USB-Schnittstellen ist aber keine Lösung, da dann auch angeschlossene Geräte wie Maus, Tastatur und Drucker nicht mehr funktionieren. Doch die USB-Schnittstellen lassen sich kontrollieren:

1. Kontrolle mit Hilfe von Windows

Bei den Betriebssystemen Microsoft Windows 2000 und XP gibt es über das Betriebssystem nur grobe Kontrollmöglichkeit der USB-Schnittstellen. Mit dem Betriebssystem Microsoft Windows Vista ist der USB-Anschluss durch Einstellungen in so genannten Gruppenrichtlinien differenziert kontrollierbar geworden.

2. Schutz durch spezielle Programme

Für einen umfassenden Schutz von USB-Schnittstellen, Festplatten und anderen Anschlussgeräten werden von verschiedenen Anbietern kostenpflichtige Software-Programme angeboten. Ihr Vorteil ist in der Regel eine komfortable Benutzeroberfläche, in der sich die Rechte für anzuschließende Geräte detailliert festlegen lassen.

3. USB-Sticks mit Verschlüsselungssystem

Die meisten USB-Datenträger-Anbieter versehen ihre Produkte mit einem Programm, das sie mit einem Kennwort ver- und entschlüsselt. So lassen sich Daten sicher transportieren und bei Verlust vor fremdem Zugriff schützen. Neben den technischen Möglichkeiten zum Schutz des Firmennetzwerks wird im Datenschutz oft auf organisatorische Maßnahmen gesetzt.

So sollten auch Kanzleimitarbeiter für datenschutzrechtliche Probleme sensibilisiert sein. Auch der Datenschutzbeauftragte hat in Abstimmung mit den anderen Stellen gemeinsam Richtlinien zu erstellen und dafür zu sorgen, dass die Mitarbeiter diese Richtlinien auch einhalten (§ 4g BDSG).

Unkontrollierter Einsatz von USB-Sticks führt zu Problemen

Der unkontrollierte Einsatz von USB-Sticks kann zu einer Verletzung verschiedener Kontrollmaßnahmen führen (§ 9 BDSG und Anlage zu § 9 Satz 1):

1. Zugriffskontrolle – Zugriff auf personenbezogene Daten durch Unbefugte
2. Weitergabekontrolle – Datendiebstahl
3. Verfügbarkeitskontrolle – Einspielung von Schad-Software

Steuerberater sollten den Einsatz von USB-Geräten deswegen unbedingt datenschutzkonform regeln.

Diplom-Ökonom Stephan Rehfeld,
Geschäftsführer der scope & focus GmbH,
der IT-Tochter des Steuerberaterverbands Niedersachsen Sachsen-Anhalt e.V.,
externer Datenschutzbeauftragter, Datenschutzbeauftragter (TÜV)
E-Mail: info@scope-and-focus.com
www.scope-and-focus.com

Diplom-Ingenieur Ralf Röhr
Geschäftsführer der KRK Computer Systeme GmbH.
E-Mail: info@krk-computersysteme.de
www.krk-computersysteme.de

Veröffentlicht in: Steuer-Consultant 1/2009

• Datenschutz
• | Produkte
  • | externer DSB
  • | DS-Organisation
  • | Schulung
• | Fachinformationen
  • | Fachinformationen
• | Seminare
  • | DS-Seminare
• | Ansprechpartner
  • | Koordination
  • | Ansprechpartner

 

Seite drucken
Seite empfehlen
Kontakt