Etwa 17.000 USB-Sticks sind laut einer Studie 2010 allein in britischen Waschsalons vergessen worden. Die darauf abgelegten vertraulichen Daten waren hoffentlich verschlüsselt und somit gegen Missbrauch geschützt.
Ein USB-Stick ist klein und handlich und wird deshalb schnell vergessen, verloren oder einfach nur liegengelassen. Wohl dem, der für diesen Fall vorgesorgt und die Daten mit einer starken Verschlüsselung geschützt hat. In den seltensten Fällen landet so ein USB-Stick in einer (öffentlichen) Waschmaschine und wird dadurch unbrauchbar. Eher verleitet ein vergessener Speicherstick im Café oder Hotel den Finder, auch einen Blick auf den Inhalt zu werfen. Sollten vertrauliche Mandantendaten darauf abgelegt sein, ist das aus datenschutz- und berufsrechtlicher Perspektive problematisch. Schließlich muss man bei mobilen Geräten, die in der Hosentasche transportiert werden, mit einem Verlust rechnen und entsprechende Schutzmaßnahmen treffen.
Imprägnierung aufbringen
Die einzig wirklich sicheren Schutzmaßnahmen, die für solche Fälle in Betracht kommen, sind die gesamte Verschlüsselung des USB-Speichers oder zumindest der einzelnen vertraulichen Dokumente, idealerweise über eine Lösung mit einer Besitz- und Wissenskomponente wie zum Beispiel den DATEV mIDentity mit PIN-Eingabe.
Der Dokumentenschutz einzelner Dateien lässt sich leicht realisieren. Die gängigen Microsoft Office- und PDF-Dateien können mit einem Kennwort geschützt werden. Bei einem komplexen und langen Kennwort (mindestens zwölf Stellen aus einer unsystematischen Kombination von Zahlen, Groß- und Kleinbuchstaben sowie Sonderzeichen) gilt die Verschlüsselung als relativ sicher. Allerdings muss für den Kennwortschutz jedes Dokument angefasst werden. Werden nur einzelne Dokumente auf dem USB-Speicher transportiert, ist das nicht sehr umständlich. Handelt es sich jedoch um mehrere Dateien, wird der Kennwortschutz schnell zur Fleißarbeit. Wie eine Dateiverschlüsselung aus Office- und DATEV-Anwendungen heraus durchgeführt werden kann, beschreibt der Leitfaden E-Mail-Verschlüsselung des DATEV-Vertreterrats.
Alternativ kann der gesamte USB-Speicher verschlüsselt werden, beim neuen DATEV mIDentity classic und comfort sogar standardisiert. Hier wird der gesamte Datenspeicher von acht oder 16 Gigabyte automatisch mit der integrierten SmartCard verschlüsselt. Der Zugriff auf die Daten wird durch die PIN der SmartCard geschützt. Für die Nutzung des verschlüsselten Speichers muss keine Software installiert sein, sodass dieser an jedem beliebigen PC geöffnet werden kann. Der optionale mobile Virenscanner VIWAS scannt die Daten auf Viren.
USB-Sticks virtualisieren
Drew Houston hatte 2006 die Idee für seinen Online-Speicherdienst Dropbox, als er auf einer Reise seinen USB-Stick vergessen hatte. Ein Jahr darauf gab es die Dropbox als virtuellen USB-Stick im Internet. Dabei werden die Daten und Dokumente nicht nur auf dem Server in der Cloud gespeichert, sondern auch auf der lokalen Festplatte verschiedener Geräte synchronisiert. Das geschieht im Hintergrund und funktioniert auch bei Smartphones und Tablets. Allerdings ist hier ein lückenloser Datenschutz noch wichtiger als bei der Speicherung auf USB-Sticks. Denn die Daten stehen online und sind deshalb von überall im Internet erreichbar, wenn der Zugang kompromittiert wurde. Die wenigsten Anbieter solcher Lösungen bieten einen zusätzlichen Zugangsschutz über eine Besitzkomponente wie SmartCard, SMS oder ähnliches an. Ferner ist der Firmensitz des Anbieters immens wichtig, denn der bestimmt, welche Datenschutzbestimmungen gelten. US-amerikanische Dienste fallen automatisch in den Geltungsbereich des Patriot Acts, der den amerikanischen Strafverfolgungsbehörden vergleichsweise einfach ohne eine richterliche Anordnung Zugriff auf die Daten verschafft. Vermutlich kann schon die unverschlüsselte Ablage von vertraulichen Daten bei einem amerikanischen Online-Speicherdienst als strafbewehrter Verstoß gegen berufsständische Verschwiegenheitspflichten gewertet werden. Zusammenfassend empfiehlt DATEV daher, datenschutz- und berufsrechtlich geschützte Daten, vor allem bei Speicherung auf mobilen Datenträgern und in der Cloud von Drittanbietern, grundsätzlich zu verschlüsseln.
Mehr dazu
Mehr DAZU
finden Sie unter www.datev.de/midentity
Infomaterial
Der Leitfaden E-Mail-Verschlüsselung des DATEV-Vertreterrats (Art.-Nr. 10214) kann kostenlos bestellt werden.
Weitere Informationen unter www.datev.de/email-verschluesselung