Praxisbericht
/ 02. August 2022

Wenn der Chef das Unternehmen abschießt

USB-Sticks, auf denen sich Schadsoftware versteckt, sind ein klassisches Einfallstor für Cyberkriminelle. Testen Sie doch mal, wie gut die letzten Datenschutz-Schulungen zu diesem Thema gewirkt haben …

Ein Weg, den Schadsoftware nutzt, um sich auf Systemen zu manifestieren, sind verseuchte USB-Sticks. Um zu verhindern, dass Beschäftigte sie nutzen, gibt es grundsätzlich zwei Wege:

  • Der technische Weg verhindert alle nicht zugelassenen USB-Sticks.
  • Der organisatorische Weg verbietet, andere als die zugelassenen USB-Sticks zu nutzen.

Schulen ist gut, …

Den zweiten Weg sollten Verantwortliche jedoch nur gehen, wenn sie absolut nicht darauf verzichten können, solche USBSticks zu nutzen. In diesem Fall heißt es, die beschäftigten Personen in Schulungen und durch Datenschutzrichtlinien zu verpflichten, nur zugelassene USB-Sticks zu verwenden.

Testen ist besser.

Test in einem Unternehmen. Der Datenschutzbeauftragte vereinbart mit dem Geschäftsführer, auf dem Betriebsgelände insgesamt zwölf präparierte USB-Sticks zu „verlieren“. Für den Fall, dass jemand einen solchen Stick findet und am dienstlichen Rechner einsteckt, erhält der Administrator eine Meldung, von wo aus das passiert ist. Ansonsten geschieht, anders als bei einer echten Schadsoftware, nichts.

Verführerische USB-Sticks

Die Sticks waren attraktiv beschriftet. Da war zu lesen: „Beförderungsliste“ oder „Fotos von der Feier Betriebsrat“ und „Fotos Abele“ (angenommen, der Geschäftsführer hieß Abele und war über diese Aktion
in Kenntnis gesetzt). Von den zwölf verteilten USB-Sticks steckten die Beschäftigten trotz intensiver Datenschutz-Schulung und trotz unterschriebener Datenschutzrichtlinie, keine gefundenen Datenträger zu verwenden, elf in ihre Dienstrechner. Der zwölfte ist bis heute nicht mehr aufgetaucht.

Bemerkenswert war, dass ein wohlmeinender Mitarbeiter den Stick „Fotos Abele“ zum – über die Aktion informierten! – Chef brachte, dieser bass erstaunt war, wie auf diesen Stick Fotos von ihm kämen – und dann den USB-Stick selbst an seinem Rechner ausprobierte. Im Ernstfall hätte damit der Chef das Unternehmen höchstpersönlich „abgeschossen“. Merke: Schulen ist gut, Testen ist besser.

Eberhard Häcker