USB-Sticks im Büro: Warum der kleine Messegiveaway ein echtes Problem ist

USB-Sticks wirken harmlos, sind aber einer der einfachsten Wege, um Malware ins Unternehmen zu bringen oder Daten unbemerkt abzugreifen. Ein praxisnaher Ansatz für KMU.

Sie kennen das: der Stapel USB-Sticks vom letzten Messestand, die Speicherkarte, die ein Kunde mitbringt für „kurz diese Dateien", oder der Stick, der seit Jahren in der obersten Schreibtischschublade liegt. Sie wirken harmlos. In der Praxis sind sie einer der einfachsten Wege, über die Malware ins Büro gelangt – und über die sensible Daten unbemerkt nach außen gelangen.

In diesem Beitrag: Warum USB-Sticks bei vielen KMU ein blinder Fleck sind – und was Sie ohne teure Tools dagegen tun können.

Warum das Problem größer ist, als es aussieht

Es gibt drei Risiken, und alle drei treten gleichzeitig auf:

• Malware über einen gefundenen oder geschenkten Stick. Jemand steckt ihn ein, um zu schauen, was drauf ist. Eine falsche Datei zu öffnen reicht dann bereits aus.
• Datenverlust nach außen. Ein ausscheidender Mitarbeiter, ein gestresster Kollege, der „kurz zu Hause weitermacht", oder jemand, der versehentlich den falschen Ordner kopiert. Niemand sieht es, niemand protokolliert es.
• Verlorene Sticks. Ein Stick mit Kundendaten, der im Zugabteil liegen bleibt, ist nach der DSGVO schlicht ein Datenschutzvorfall – mit Meldepflicht.

Das Tückische: Meistens gibt es keinen Vorfall, der einen wachrüttelt. Bis es einen gibt.

Was die meisten KMU derzeit tun (und warum das nicht reicht)

Fragen Sie im Büro herum und Sie hören meistens: „Wir machen da eigentlich nichts." Manchmal findet sich im Mitarbeiterhandbuch ein Satz wie „Gehen Sie vorsichtig mit externen Datenträgern um." Das ist keine Richtlinie – das ist ein frommer Wunsch.

Was fehlt, ist etwas Konkretes: Was ist erlaubt, was nicht – und woran merkt man, ob sich die Leute daran halten?

Ein praktikabler Ansatz in vier Schritten

1. Klären, ob USB-Speicher überhaupt noch benötigt wird

Ehrliche Frage: Wofür nutzen Sie eigentlich Sticks? In 9 von 10 Fällen lautet die Antwort „Dateien teilen" – und dafür gibt es heute SharePoint, OneDrive, Google Drive oder WeTransfer. Sicherer, nachverfolgbar, und man muss nicht mehr nach dem einen Stick suchen.

Wenn USB-Speicher für die Arbeit nicht benötigt wird, schalten Sie ihn einfach ab. In Windows ist das per Gruppenrichtlinie oder in Intune eine einzige Einstellung. Auf Macs genauso.

2. Eine klare Regel festlegen

Zum Beispiel: „Auf Dienstlaptops werden keine externen USB-Speichermedien verwendet. Dateien teilen wir über [Name Ihres Cloud-Dienstes]. Ausnahmen laufen über [Name]."

Ein Satz. Jeder versteht ihn. Und Sie wissen, wen Sie anrufen müssen, wenn es wirklich nicht anders geht.

3. Ausnahmen im Voraus regeln

Es gibt immer legitime Fälle: eine Druckerei, die nur per Stick arbeitet, ein Notar, ein Lieferant mit eigenem Gerät. Für diese Fälle:

• Verwenden Sie hardwareverschlüsselte Sticks (mit PIN direkt am Gerät). Kostenpunkt: etwa 40–80 Euro pro Stück.
• Geben Sie sie namentlich aus. Kein gemeinsamer Behälter mit Sticks, die herumliegen.
• Notieren Sie, wer welchen Stick hat. Bei Austritt: zurückgeben – genau wie Laptop und Firmenzugangsausweis.

4. Als festen Bestandteil in Onboarding und Offboarding aufnehmen

Bei Eintritt erklären Sie die Regel. Bei Austritt prüfen Sie: Sind alle ausgegebenen Sticks zurück? Das gehört einfach in Ihre Offboarding-Checkliste, neben Zugängen und Schlüsseln.

Und der eine Stick, der seit Jahren in der Schublade liegt?

Machen Sie diese Woche eine Runde durchs Büro. Suchen Sie in Schubladen, Taschen und dem Behälter beim Empfang. Sammeln Sie alles ein. Was dem Unternehmen gehört und nichts Sensibles enthält: löschen und wiederverwenden (oder entsorgen). Was unbekannter Herkunft ist: nicht anschließen, einfach vernichten. Eine Schere durch einen USB-Stick ist kostenlos und endgültig.

Für mobile Speichermedien mit möglicherweise sensiblen Daten gilt: sicher löschen oder physisch vernichten. Eine Formatierung reicht nicht – Dateien lassen sich oft noch wiederherstellen.

Der Zusammenhang mit Ihrer allgemeinen Sicherheitsstrategie

Eine USB-Richtlinie steht nicht für sich allein. Sie gehört in dieselbe Kategorie wie Ihr Passwort-Manager, Ihre Zwei-Faktor-Authentifizierung und die Frage, wer Zugriff auf welche Systeme hat. Alles kleine Dinge, die zusammen den Unterschied machen zwischen „wir hatten Glück" und „wir haben es einfach gut geregelt".

Wenn Sie ohnehin dabei sind, aufzuräumen und nachzuschärfen: ein guter Moment, um auch einmal zu prüfen, wer eigentlich noch Zugang zu Ihren Systemen hat. Was man dabei findet, überrascht oft.

Fazit

USB-Sticks sind nicht das größte Sicherheitsproblem Ihres Unternehmens. Aber sie sind ein typisches Beispiel für ein Thema, das zu klein wirkt, um es anzugehen – bis etwas schiefgeht. Eine halbe Stunde für eine Richtlinie und eine Runde durchs Büro reichen aus, um es ein für alle Mal zu erledigen.

Möchten Sie einen breiteren Blick darauf werfen, wer wo auf Ihre Systeme zugreifen kann? Dann ist unser Zugriffscheck ein logischer nächster Schritt. Und wenn Sie noch unsicher bei den Grundlagen Ihrer E-Mail-Sicherheit sind, schauen Sie sich SPF/DKIM/DMARC einrichten an – oft die Stelle, an der die erste echte Lücke steckt.