Kleine Helfer

Datendiebstahl mit USB-Speichern lässt sich verhindern

Moritz Jäger ist freier Autor und Journalist in München. Ihn faszinieren besonders die Themen IT-Sicherheit, Mobile und die aufstrebende Maker-Kultur rund um 3D-Druck und selbst basteln. Wenn er nicht gerade für Computerwoche, TecChannel, Heise oder ZDNet.com schreibt, findet man ihn wahlweise versunken in den Tiefen des Internets, in einem der Biergärten seiner Heimatstadt München, mit einem guten (e-)Buch in der Hand oder auf Reisen durch die Weltgeschichte.
USB-Speicher sind unter Anwendern ein gern genutztes Datenaustauschmedium. Administratoren schätzen sie aus Sicherheitsgründen hingegen weniger.
Rgistry-Eingriff verhindert Datendiebstahl.
Rgistry-Eingriff verhindert Datendiebstahl.
Foto: Moritz Jäger

Da inzwischen viele Geräte - Smartphones, MP3-Player etc. - mit einer USB-Schnittstelle ausgestattet sind, ist es ein Leichtes, Daten im zweistelligen Gigabyte-Bereich aus dem Unternehmen zu schleusen. Es gibt zahlreiche Tipps, mit denen die IT-Abteilung die Datenübertragung auf USB-Speichergeräte unterbinden kann - das geht angeblich sogar bis zum hardwareseitigen Unbrauchbarmachen der Ports.

Deutlich eleganter ist es, den Zugriff über die Registry zuzulassen beziehungsweise zu verhindern. Anstatt USB-Geräte komplett zu verbieten, braucht die IT-Abteilung auf diese Weise nur den Schreibzugriff zu regeln. Nutzer können so noch immer Daten vom Stick lesen, aber keine sensiblen Informationen mehr nach außen schleusen - der Vorteil dieser Einschränkung liegt auf der Hand.

Für diese Einstellung muss in der Registry unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control zunächst ein neuer Schlüssel namens "StorageDevicePolicies" angelegt werden. In diesem wird anschließend der DWORD-Eintrag "WriteProtect" platziert. Er erhält den Wert "1".

Der Tipp funktioniert mit Windows 7 und anderen Windows-Versionen.

CW-Fazit: Vertrauen ist gut, Kontrolle ist besser. Mit einem Eingriff in die Windows Registry kann man USB-Speichern Lesezugriff geben, das Herausschreiben von Daten aber unterbinden. (ph)