USB Sticks können für Unternehmen eine große Gefahr sein, denn diese können schnell verloren gehen, sind zudem sehr klein und geraten schnell aus dem Blickfeld.
Ob diese dabei auf der Arbeit in eine Schublade gelegt und vergessen sind oder in die letzte Ecke einer Aktentasche rutschen, spielt dabei keine Rolle.
Genauso schnell können USB Sticks auch im privaten Umfeld verschwinden. Wenn zum Beispiel ein Familienmitglied einen herumliegenden USB Stick einsteckt, da er dringend einen benötigt.
Vielleicht fällt der USB Stick aber auch einfach auf dem Weg zur Arbeit in der U‑Bahn aus der Hosentasche oder fällt beim Durchsuchen des Rucksacks auf dem Heimweg heraus.
(Meldepflichtiger) Datenverlust
In solchen Fällen können Informationen eines Unternehmens direkt nach außen gelangen und gehen sogar verloren.
Besonders schlimm ist dies, wenn sich auf dem Datenträger personenbezogene Daten oder sogar Daten besonderer Kategorie nach Art. 9 der DSGVO befinden.
Dabei folgt dann schnell aus dem Geräteverlust ein Datenverlust und dieser hat nicht nur betriebswirtschaftliche Folgen, sondern es handelt sich dann auch um die Pflicht zur Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde nach Art. 33 der DSGVO.
Zwar mögen die Kosten für einen USB-Stick gering sein, aber der hierdurch entstehende Schaden bzw. das Bußgeld sind es eventuell nicht.
Gerätediebstahl
Beim Diebstahl oder Einbruch kann es ebenfalls zum Geräteverlust kommen, da USB-Sticks leicht mitgenommen werden können.
Auch bei einem Gast oder Besucher:in im Unternehmen im Rahmen einer Führung oder Begutachtung der Räumlichkeiten ist ein unbeaufsichtigter USB Stick unbemerkt von einem Schreibtisch oder aus einem Regal entfernt und eingesteckt.
Auch hier gelangen Informationen des Unternehmens nach außen und damit in die Hände dritter Personen.
Datendiebstahl
Sind die Informationen auf einem USB Stick nicht separat verschlüsselt, können alle Personen, die sowohl nach einem Geräteverlust als auch nach einem Gerätediebstahl in den Besitz des Datenträgers gekommen sind, auf alle Informationen und Daten zugreifen.
Damit gelangen Daten in die Hände Dritter, die die Daten einsehen, analysieren, verändern und auch veröffentlichen können.
Im Bereich der Wirtschaftsspionage kann das Einsehen einer Präsentation zu der neuen Produktionstechnik einen riesigen Schaden für Mitbewerber:innen verursachen.
Das Veröffentlichen von sensiblen Kunden- oder Mitarbeiterdaten hat zudem eventuell rechtliche Folgen und kann einen großen Imageschaden hinterlassen.
Nutzungsmissbrauch
Nimmt ein:e Mitarbeiter:in einen USB Stick zur Weiterbearbeitung oder zum Lesen von Dokumenten mit nach Hause, kann es sich dabei bereits um einen Missbrauch der Nutzung handeln, sofern dies vom Arbeitgeber nicht erwünscht ist.
Sind USB Sticks möglicherweise von Familienmitgliedern oder Freunden zu Hause zugänglich und werden zum Austauschen der Fotos vom letzten Urlaub verwendet, handelt es sich ebenfalls um einen Nutzungsmissbrauch.
Sind auch hier die Daten nicht durch eine Verschlüsselung gesichert, können wieder unbefugte Personen auf möglicherweise sensible Daten der Firma zugreifen.
Grundsätzlich sind dienstliche Geräte daher nie unbeaufsichtigt oder frei zugänglich aufzubewahren.
Schadsoftware
Bei einer privaten Nutzung werden private Daten auf einen USB Stick gespeichert. Dabei können sowohl ungeschützte firmeninternen Dokumenten gelesen als auch Schadsoftware auf den USB Stick unbewusst übertragen werden. Wird ein verseuchter Datenträger dann wieder mit der Technik des Unternehmens verbunden, kann sich Schadsoftware unbeabsichtigt auf dem Rechner bzw. im gesamten Netz ausbreiten.
Nutzung von USB-Sticks in Unternehmen
Um dennoch USB-Sticks verantwortlich in Unternehmen einzusetzen, sollten daher mindestens die folgenden Regeln beachtet sein:
- Kontrollierte Nutzung von mobilen Datenträgern durch den oder die Arbeitgeber:in
- Schulung der Mitarbeiter:innen im Umgang mit USB Sticks
- Verschlüsselung der Sticks zum vor Datenverlust und beim Diebstahl
- Unternehmensfremde USB-Sticks dürfen zudem im Unternehmen nicht verwendet werden. Mit einer Gerätekontrolle (Device Control) können solche Geräte gezielt blockiert werden
- Darüber sind die private Nutzung über eine verpflichtende Nutzungsrichtlinie zu verbieten und Mitarbeiter:innen zu aktuellen Gefährdungen regelmäßig zu sensibilisieren.
Also lassen Sie sich gut beraten.