Richtlinie zum Umgang mit Wechseldatenträgern (USB, externe Festplatten)

Warum Wechseldatenträger ein Sicherheitsrisiko sind

Ein USB-Stick kostet drei Euro, passt in die Hosentasche und speichert 128 Gigabyte. Das macht ihn zum praktischsten und gleichzeitig gefährlichsten Datenträger im Unternehmen.

Die Risiken sind vielfältig und real:

Datenverlust durch Verlust oder Diebstahl: Ein USB-Stick mit Kundendaten, Vertragsdetails oder Finanzzahlen geht verloren. Ohne Verschlüsselung hat der Finder sofortigen Zugriff auf alles. Die DSGVO-Meldepflicht greift, das Unternehmen steht öffentlich als unsicher da, und die betroffenen Kunden müssen informiert werden.

Malware-Einschleusung: Ein Mitarbeitender bringt einen USB-Stick von zuhause mit, der unbemerkt mit Malware infiziert ist. Oder ein Angreifer legt präparierte USB-Sticks auf dem Firmenparkplatz aus (USB-Dropping). Sobald das Gerät an einen Firmenrechner angeschlossen wird, kann die Schadsoftware das gesamte Netzwerk kompromittieren.

Unkontrollierter Datenabfluss: Ein unzufriedener Mitarbeitender kopiert die komplette Kundendatenbank auf einen USB-Stick und nimmt sie mit. Ohne technische Kontrollen gibt es keinen Mechanismus, der das verhindert oder auch nur erkennt.

Datenreste auf entsorgten Medien: Eine externe Festplatte wird aussortiert und weitergegeben oder entsorgt, ohne dass die Daten sicher gelöscht wurden. Die Daten sind mit einfachen Tools wiederherstellbar.

Eine Richtlinie zum Umgang mit Wechseldatenträgern adressiert all diese Risiken durch verbindliche Regeln für Nutzung, Verschlüsselung, Kennzeichnung und Entsorgung.

Was die Normen fordern

ISO 27001

Mehrere Controls in Annex A adressieren Wechseldatenträger:

A.7.10 Storage media: Speichermedien müssen während ihres gesamten Lebenszyklus gemäß dem Klassifizierungsschema und den Handhabungsanforderungen der Organisation verwaltet werden. Das umfasst Beschaffung, Nutzung, Transport, Aufbewahrung und Entsorgung.

A.8.12 Data leakage prevention: Maßnahmen zur Verhinderung von Datenlecks müssen auf Systeme, Netzwerke und Geräte angewendet werden, die sensible Informationen verarbeiten, speichern oder übertragen. Die Kontrolle von Wechseldatenträgern ist ein zentraler Baustein der Data Leakage Prevention (DLP).

A.8.10 Information deletion: Informationen auf Speichermedien müssen gelöscht werden, wenn sie nicht mehr benötigt werden, und zwar in einer Weise, die eine Wiederherstellung verhindert.

NIS2

NIS2 fordert in Artikel 21 angemessene Sicherheitsmaßnahmen. Der unkontrollierte Einsatz von Wechseldatenträgern ist eine Lücke, die ein Auditor ansprechen wird. Die Richtlinie dokumentiert, dass du das Risiko erkannt und adressiert hast.

Geltungsbereich und Definition

Die Richtlinie definiert zunächst, welche Medien als Wechseldatenträger gelten:

• USB-Sticks (USB-A, USB-C)
• Externe Festplatten und SSDs
• SD-Karten und microSD-Karten
• Optische Medien (CD, DVD, Blu-Ray)
• Speicherkarten von Kameras und Mobilgeräten
• Externe Bandlaufwerke (für Backup-Zwecke)

Die Richtlinie gilt für alle Mitarbeitenden, externen Mitarbeitenden und Dienstleister, die im Rahmen ihrer Tätigkeit Zugang zu IT-Systemen des Unternehmens haben. Sie umfasst sowohl unternehmenseigene als auch private Wechseldatenträger.

Nutzungsstrategie: Erlauben, Einschränken oder Verbieten

Jedes Unternehmen muss eine grundsätzliche Entscheidung treffen: Werden Wechseldatenträger erlaubt, eingeschränkt oder verboten?

Option 1: Vollständiges Verbot

Die sicherste Option. USB-Ports werden technisch für Speichergeräte gesperrt (USB-Tastaturen und -Mäuse bleiben erlaubt). Daten werden ausschließlich über freigegebene Netzwerkpfade, Cloud-Dienste oder verschlüsselte E-Mail ausgetauscht.

Vorteile: Maximale Sicherheit, einfache Durchsetzung, kein Risiko durch verlorene oder kompromittierte Medien.

Nachteile: Einschränkung der Flexibilität, Workaround-Risiko (Mitarbeitende nutzen private Cloud-Dienste statt USB), nicht für alle Arbeitsplätze praktikabel (Produktion, Außendienst).

Option 2: Eingeschränkte Nutzung

Wechseldatenträger sind grundsätzlich verboten, aber es gibt definierte Ausnahmen für bestimmte Rollen oder Anwendungsfälle. Nur vom Unternehmen bereitgestellte, verschlüsselte Datenträger sind zugelassen. Private Medien sind verboten.

Vorteile: Balance zwischen Sicherheit und Praxistauglichkeit. Kontrollierbar durch Endpoint-Management.

Nachteile: Höherer Verwaltungsaufwand, Ausnahmen müssen gemanagt werden.

Option 3: Kontrollierte Erlaubnis

Wechseldatenträger sind grundsätzlich erlaubt, aber nur unter Einhaltung definierter Sicherheitsanforderungen (Verschlüsselung, Registrierung, Virenscan). Private Medien können unter Auflagen zugelassen werden.

Vorteile: Geringste Einschränkung für die Mitarbeitenden.

Nachteile: Höchstes Restrisiko, schwierigere Durchsetzung, höherer Schulungsbedarf.

Für die meisten Unternehmen im Mittelstand empfiehlt sich Option 2 als pragmatischer Kompromiss: grundsätzliches Verbot mit kontrollierten Ausnahmen für berechtigte Anwendungsfälle.

Technische Schutzmaßnahmen

Die Richtlinie definiert die technischen Maßnahmen, die die IT umsetzen muss.

USB-Port-Kontrolle

Moderne Endpoint-Management-Lösungen können USB-Ports differenziert steuern:

• USB-Speichergeräte blockieren
• Nur freigegebene (whitelisted) Geräte anhand ihrer Hardware-ID zulassen
• USB-Tastaturen, -Mäuse und -Headsets weiterhin erlauben
• Alle USB-Verbindungen protokollieren

Die Richtlinie fordert, dass USB-Port-Kontrolle auf allen Arbeitsplatzrechnern und Laptops aktiv ist und zentral verwaltet wird.

Autorun-Deaktivierung

Die automatische Ausführung von Programmen beim Anschließen eines Wechseldatenträgers (Autorun/Autoplay) muss auf allen Systemen deaktiviert sein. Das ist eine grundlegende Schutzmaßnahme gegen USB-basierte Malware und sollte per Gruppenrichtlinie (GPO) durchgesetzt werden.

Automatischer Virenscan

Die Richtlinie fordert, dass jeder Wechseldatenträger beim Anschließen automatisch auf Malware gescannt wird, bevor der Zugriff auf die Dateien möglich ist. Die Endpoint-Protection-Lösung muss entsprechend konfiguriert sein.

Verschlüsselung

Alle Wechseldatenträger, die Unternehmensdaten enthalten, müssen verschlüsselt sein. Die Richtlinie definiert:

Hardware-Verschlüsselung (bevorzugt): USB-Sticks und externe Festplatten mit eingebauter Hardware-Verschlüsselung (z.B. FIPS-140-2-zertifiziert). Die Verschlüsselung ist immer aktiv und kann nicht vom Benutzer umgangen werden.

Software-Verschlüsselung: Wenn Hardware-Verschlüsselung nicht verfügbar ist, müssen die Daten mit einer zugelassenen Verschlüsselungssoftware (z.B. BitLocker To Go, VeraCrypt) verschlüsselt werden. Mindeststandard: AES-256.

Schlüsselmanagement: Die Richtlinie verweist auf die Kryptografie-Richtlinie für den Umgang mit Verschlüsselungsschlüsseln und stellt sicher, dass bei Verlust des Datenträgers der Schlüssel nicht ebenfalls verloren ist.

DLP-Integration

Wenn das Unternehmen eine Data Leakage Prevention (DLP)-Lösung einsetzt, muss diese auch den Datentransfer auf Wechseldatenträger überwachen und bei Bedarf blockieren. Die Richtlinie definiert, welche Datenklassifizierungen nicht auf Wechseldatenträger kopiert werden dürfen (z.B. „streng vertraulich" generell verboten, „vertraulich" nur auf verschlüsselte Unternehmensmedien).

Registrierung und Kennzeichnung

Die Richtlinie fordert, dass unternehmenseigene Wechseldatenträger inventarisiert werden.

Bestandsverzeichnis: Jeder vom Unternehmen ausgegebene Datenträger wird in einem Bestandsverzeichnis erfasst – idealerweise als Teil des IT-Asset-Managements: Typ, Seriennummer/Hardware-ID, Kapazität, Ausgabedatum, verantwortliche Person.

Kennzeichnung: Unternehmenseigene Datenträger werden mit einer Inventarnummer und dem Unternehmensnamen gekennzeichnet (Aufkleber, Gravur).

Ausgabe und Rückgabe: Die Richtlinie definiert, wer Wechseldatenträger anfordern darf, wer sie ausgibt (IT-Abteilung) und dass sie bei Nichtmehr-Bedarf oder Ausscheiden des Mitarbeitenden zurückgegeben werden müssen.

Transport und Aufbewahrung

Transport: Wechseldatenträger mit vertraulichen Daten werden nicht unbeaufsichtigt gelassen (z.B. im Auto, im Hotelzimmer, am Arbeitsplatz sichtbar). Beim Transport außerhalb des Unternehmens ist besondere Sorgfalt geboten.

Aufbewahrung: Nicht genutzte Datenträger werden sicher aufbewahrt: in einem verschlossenen Schrank oder Schreibtisch, nicht offen zugänglich.

Versand: Der Versand von Wechseldatenträgern per Post oder Kurier ist für vertrauliche Daten nur in verschlüsselter Form zulässig. Die Richtlinie kann zusätzlich einen versicherten Versand und eine Empfangsbestätigung fordern.

Sichere Entsorgung

Die Entsorgung von Wechseldatenträgern ist ein häufig übersehenes Risiko. Die Richtlinie muss klare Regeln definieren.

Löschung

Einfaches Löschen (Dateien in den Papierkorb verschieben, Schnellformatierung) reicht nicht. Die Daten sind mit frei verfügbaren Tools wiederherstellbar.

Sichere Löschung: Überschreiben des gesamten Datenträgers mit Zufallsdaten, mindestens einmal (bei modernen Flash-Speichern reicht ein Durchgang). Tools: NIST SP 800-88 konforme Software.

Kryptografische Löschung: Bei verschlüsselten Datenträgern kann der Verschlüsselungsschlüssel vernichtet werden. Die Daten sind dann ohne Schlüssel nicht mehr lesbar. Diese Methode ist schnell und bei korrekter Implementierung sicher.

Physische Vernichtung

Für Datenträger mit streng vertraulichen Daten oder wenn die sichere Löschung nicht garantiert werden kann:

• USB-Sticks und SD-Karten: Physische Zerstörung (Schredder, Zerbrechen des Chips)
• Festplatten: Professionelle Datenträgervernichtung nach DIN 66399, Sicherheitsstufe H-3 oder höher
• Optische Medien: Schredder oder Zerbrechen

Die Vernichtung wird protokolliert: Datum, Art des Datenträgers, Seriennummer (falls vorhanden), Vernichtungsmethode, durchführende Person. Bei externer Vernichtung durch einen Dienstleister wird ein Vernichtungsnachweis eingeholt.

Wiederverwendung

Datenträger, die wiederverwendet werden sollen, müssen vor der Weitergabe sicher gelöscht werden. Die Richtlinie definiert, dass eine einfache Formatierung nicht ausreicht und welche Löschmethode anzuwenden ist.

Umgang mit gefundenen oder unbekannten Datenträgern

Die Richtlinie muss eine klare Handlungsanweisung für den Fall geben, dass ein Mitarbeitender einen unbekannten Wechseldatenträger findet (auf dem Parkplatz, in einem Besprechungsraum, zugesandt per Post):

Nicht anschließen. Unter keinen Umständen wird ein unbekannter Datenträger an einen Unternehmensrechner angeschlossen. Auch nicht „nur mal kurz gucken". Selbst wenn die Neugier groß ist.

An die IT übergeben. Der Datenträger wird der IT oder dem ISB übergeben, die ihn in einer isolierten Umgebung untersuchen können.

Vorfall melden. Wenn der Datenträger offensichtlich gezielt platziert wurde (z.B. mit dem Firmennamen beschriftet, obwohl er nicht zum Unternehmen gehört), wird der Vorfall als potenzieller Social-Engineering-Angriff behandelt.

Ausnahmen und Genehmigungsverfahren

In der Praxis gibt es berechtigte Gründe für die Nutzung von Wechseldatenträgern, auch wenn die Richtlinie ein grundsätzliches Verbot vorsieht:

• Datenaustausch mit Kunden, die keine andere Option anbieten
• Technische Wartung von Maschinen, die nur per USB-Schnittstelle konfigurierbar sind
• Backup von Systemen ohne Netzwerkanbindung
• Präsentationen beim Kunden, wenn der eigene Laptop nicht angeschlossen werden kann

Die Richtlinie definiert ein Ausnahmeverfahren:

1. Antrag: Der Mitarbeitende beantragt die Ausnahme bei der IT mit Begründung.
2. Prüfung: Die IT prüft, ob es eine sicherere Alternative gibt (Cloud-Freigabe, verschlüsselter E-Mail-Versand, sichere Transferplattform).
3. Genehmigung: Wenn keine Alternative möglich ist, genehmigt die IT die Nutzung eines verschlüsselten Unternehmens-Datenträgers für den konkreten Anwendungsfall.
4. Befristung: Die Genehmigung ist zeitlich befristet. Nach Abschluss des Zwecks wird der Datenträger zurückgegeben und sicher gelöscht.
5. Dokumentation: Die Ausnahme wird dokumentiert (wer, warum, welcher Datenträger, welcher Zeitraum). In ISMS Lite lassen sich solche Ausnahmegenehmigungen als Maßnahme mit Befristung und Verantwortlichem anlegen, sodass sie im Audit sofort nachweisbar sind.

Beispielgliederung

1. Zweck und Geltungsbereich
2. Begriffe und Definitionen - Wechseldatenträger, Arten, betroffener Personenkreis
3. Normative Grundlagen - ISO 27001 A.7.10, A.8.10, A.8.12, NIS2
4. Grundsatzentscheidung - Verbot mit Ausnahmen, eingeschränkte Nutzung oder kontrollierte Erlaubnis
5. Zugelassene Datenträger - Nur Unternehmensmedien, verschlüsselt, registriert
6. Technische Schutzmaßnahmen - USB-Port-Kontrolle, Autorun, Virenscan, DLP
7. Verschlüsselung - Hardware-Verschlüsselung, Software-Verschlüsselung, Mindeststandards
8. Registrierung und Kennzeichnung - Bestandsverzeichnis, Inventarnummer
9. Transport und Aufbewahrung
10. Sichere Entsorgung - Löschung, physische Vernichtung, Protokollierung
11. Gefundene oder unbekannte Datenträger - Handlungsanweisung
12. Ausnahmen und Genehmigungsverfahren
13. Verantwortlichkeiten
14. Verstöße und Konsequenzen
15. Überprüfung und Aktualisierung
16. Inkrafttreten und Freigabe

Schulung und Awareness

Technische Maßnahmen allein reichen nicht. Die Mitarbeitenden müssen verstehen, warum Wechseldatenträger ein Risiko darstellen und wie sie mit ihnen umgehen sollen.

Einführungsschulung: Bei Inkrafttreten der Richtlinie erhalten alle Mitarbeitenden eine kurze Schulung zu den Grundsätzen: Was ist verboten, was ist erlaubt, wie funktioniert das Ausnahmeverfahren, warum sind unbekannte USB-Sticks gefährlich?

Praxisnahe Beispiele: Die Schulung sollte reale Vorfälle als Beispiele nutzen: Ransomware-Befall über einen USB-Stick, Datenverlust durch unverschlüsselten USB-Stick im Zug, Social-Engineering-Angriff per USB-Dropping auf dem Parkplatz. Konkrete Geschichten bleiben besser im Gedächtnis als abstrakte Regeln.

Jährliche Auffrischung: Im Rahmen der allgemeinen Security-Awareness-Schulung wird das Thema Wechseldatenträger regelmäßig aufgefrischt, insbesondere wenn sich die Richtlinie geändert hat oder ein relevanter Vorfall stattgefunden hat.

Test-Szenarien: Einige Unternehmen setzen kontrollierte USB-Dropping-Tests ein: Präparierte USB-Sticks (ohne Schadsoftware, aber mit Tracking) werden auf dem Firmengelände platziert. Wer sie an einen Rechner anschließt, erhält statt eines Angriffs eine freundliche Schulungsmeldung. Diese Tests liefern wertvolle Daten über das Sicherheitsbewusstsein und sollten in Abstimmung mit dem Betriebsrat durchgeführt werden.

Von der Richtlinie zur sicheren Praxis

USB-Sticks und externe Festplatten verschwinden nicht aus dem Arbeitsalltag. Aber mit einer klaren Richtlinie, technischer Durchsetzung und regelmäßiger Schulung lässt sich das Risiko auf ein akzeptables Maß reduzieren. Der Schlüssel liegt in der Kombination aus technischer Kontrolle (USB-Port-Management, Verschlüsselung) und organisatorischer Regelung (Richtlinie, Schulung, Ausnahmeverfahren).

ISMS Lite bildet den kompletten Richtlinien-Lifecycle ab: Du erstellst die Wechseldatenträger-Richtlinie mit KI-Unterstützung, versionierst jede Änderung automatisch, holst die digitale Kenntnisnahme aller Mitarbeitenden ein und lässt die Geschäftsführung per Unterschrift freigeben. So wird die Richtlinie zum verbindlichen, nachweisbaren Bestandteil deines ISMS.

Weiterführende Artikel

• Klassifizierungsrichtlinie: Vertraulich, Intern, Öffentlich
• Homeoffice-Richtlinie: IT-Sicherheit beim Arbeiten von zuhause
• Richtlinie zur Nutzung mobiler Endgeräte (BYOD/MDM)
• Informationssicherheitsrichtlinie erstellen: Aufbau, Inhalte und Praxis
• Richtlinien-Lifecycle: Von der Erstellung bis zur Außerkraftsetzung