Kurztest: DeviceLock Version 7.1 Endpoint DLP Suite Data Loss Prevention – Schutzwall gegen Datendiebstahl und -verlust

Autor / Redakteur: Frank-Michael Schlede & Thomas Bär / Stephan Augsten

Für den Schutz sensibler Daten reicht eine Kombination aus Antivirus-Lösung und Firewall nicht aus. Um sich auch vor internen Problemen wie ungewolltem Verlust und nicht autorisierter Weitergabe von sensiblen Daten zu schützen, gibt es spezielle DLP-Lösungen (Data Loss Prevention). In diesem Beitrag stellen wir die DLP-Suite DeviceLock vor.

DeviceLock soll verhindern, dass den Unternehmen sensible Daten durch die Finger rinnen.
DeviceLock soll verhindern, dass den Unternehmen sensible Daten durch die Finger rinnen.
( Archiv: Vogel Business Media )

Die Sicherheit sensibler Daten und Informationen im Firmennetzwerk betrifft IT-Verantwortliche, Administratoren und ebenso auch die Anwender. Zwar schützen sich Unternehmen vor Angriffen von außen, doch in den eigenen Reihen lauert ebenfalls Gefahr: Oft verlassen sensible Daten und Informationen das Unternehmen beziehungsweise Firmennetz über interne Kanäle, ohne dass dies erlaubt oder gewünscht ist.

Daten können absichtlich durch Diebstahl, unabsichtlich durch Unwissenheit eines Mitarbeiters oder vielleicht auch unbemerkt durch fehlerhafte Hard- oder Software verloren gehen. DLP-Lösungen sollen dabei helfen, diese Art von Sicherheitsproblemen zu bekämpfen.

Bildergalerie
Bildergalerie mit 10 Bildern

Leider sind sich die verschiedenen Quellen und Hersteller uneins darüber, wofür die drei Buchstaben DLP eigentlich genau stehen: Neben der häufig gebrauchten Erklärung „Data Leak Prevention“ werden auch die Deutungen „Data Leakage Protection“ oder „Data Loss Prevention“ angeboten.

Es gibt Fachleute, die diese Begriffe synonym einsetzen und andere, die unterscheiden, ob Daten mit Vorsatz entwendet werden (Data Loss) oder ob sie unbemerkt beziehungsweise versehentlich aus dem Firmennetz transportiert werden (Data Leak). Aber ganz gleich, wie man die Abkürzung auch entschlüsselt, geht es doch in erster Linie darum, die Datenlücken an den Endpunkten im Firmennetz zu erkennen und zu schließen.

Die Endpunkte – von der Kamera bis zum Smartphone

Die Daten-Abflusskanäle sind im erheblichen Maß gestiegen, da heute zum Beispiel alle Rechner-Systeme mit einer ganzen Reihe von USB-Anschlüssen ausgestattet sind. Diese können nicht nur mit den in der IT üblichen Geräten verbunden werden, sondern auch als universelle Schnittstelle für eine vielfältige Palette an Geräten aus dem Consumer-Umfeld dienen. So ist es beispielsweise leicht möglich, eine komplette Exchange-Datenbank auf der Festplatte eines MP3-Players unbemerkt aus der Firma herauszubringen.

IT-Verantwortliche und Administratoren stehen deshalb vor der Aufgabe, die Peripherieanschlüsse ebenso wie die unterschiedlichen Geräte zum Abspielen anderer Medien abzusichern. Weiterhin gilt es die diversen Zugänge zum Internet und damit zu beliebig großen Speicherplätzen in der Wolke zu kontrollieren und zu schützen.

Inhalt

  • Seite 1: Die Endpunkte – von der Kamera bis zum Smartphone
  • Seite 2: Installation, Konfiguration und AD-Integration
  • Seite 3: Professionelle Kontroll- und Management-Funktionen

Installation, Konfiguration und AD-Integration

Der Software-Hersteller DeviceLock Inc. entwickelt seit 1996 Sicherheitslösungen für das Netzwerkmanagement. Die „DeviceLock Endpoint DLP Suite“ bezeichnet der Hersteller als modulare Lösung für die Sicherheit sowohl in Firmennetzen als auch auf Einzelplatzsystemen. Für diesen Testbericht stand die DLP-Suite in der aktuellen Version 7.1.31981 zur Verfügung. Im Testszenario wurde die Lösung sowohl auf einem Window-7-System (Ultimate, in der 64-Bit-Version) als auch auf einem Windows Server 2008 in der aktuellen R2-Version installiert.

Die Software unterstützt problemlos moderne Windows-Systeme mit 64 Bit. Jedoch handelt es sich nur beim Agenten (DeviceLock Service), der auf jedem überwachten Client-System zum Einsatz kommt, handelt um eine native 64-Bit-Anwendung. Da der Agent direkt im Kernel des jeweiligen Windows-Systems agiert, muss an dieser Stelle eine entsprechende 64-Bit-Anwendung zum Einsatz kommen.

Alle Verwaltungskonsolen werden als 32-Bit-Programme sowohl auf dem Server als auch auf dem Client installiert. DeviceLock steht ausschließlich für Windows-Systeme zur Verfügung und unterstützt dabei in der von uns getesteten Version 7.1 von Windows NT über Windows 2000, XP, Vista und Windows 7 bis hin zu den Server-Systemen Windows 2003 und 2008 alle gängigen Windows-Versionen. Die Installation der DeviceLock-Lösung verlief sowohl auf dem Client- wie auf dem Server-Testsystem unter Windows Server 2008 R2 problemlos.

Drei Komponenten bringen Kontrolle

Der Hersteller bezeichnet DeviceLock als eine auf Richtlinien basierende Sicherheitslösung, die es den IT-Verantwortlichen erlaubt, sehr viele Aktivitäten zu kontrollieren und auch zu steuern, bei denen Daten transferiert werden. Dazu gehören neben den Zugriffen auf Speicher- und Peripheriegeräte auch die Datenbewegungen, die über diverse Netzwerkprotokolle und -Anwendungen laufen.

Während sich das Kernmodul DeviceLock darum kümmert, dass die Zugriffe auf interne und externe Speichergeräte unter Kontrolle gehalten werden, sind zwei weitere zusätzliche Module der Suite dafür verantwortlich, dass auch die anderen Wege der Daten überwacht und gesteuert werden können. Diese müssen vom Anwender separat lizenziert werden.

Das Modul NetworkLock ergänzt die Anwendung dabei um die Kontrolle der verschiedenen Netzwerkprotokolle. Neben Standardprotokollen wie HTTP oder FTP können hier unter anderem auch die Verbindungen via Instant-Messaging (Windows Messenger, ICQ oder Jabber wie etwa bei GoogleTalk) sowie die Zugriffe aus Webmail und soziale Netzwerke kontrolliert und gesteuert werden.

Geht es darum, die Daten im eigenen Netzwerk im Hinblick auf die Inhalte zu überwachen und so zu verhindern, dass beispielsweise vertrauliche Dokumente die Firma verlassen, kommt das Modul ContentLock zum Einsatz. Es untersucht den Inhalt der Daten, die zum Beispiel auf mobile Laufwerke und „Plug and Play“-Speichergeräte kopiert oder auch über das Netzwerk übertragen werden. Der Administrator erstellt dann entsprechende Regeln, die festlegen, welcher Content kopiert und übertragen werden darf.

Integration mit Active Directory

Da kaum ein professionelles Windows-Netzwerk nicht über den Verzeichnisdienst Active Directory verwaltet wird, wurde DeviceLock eng in den Verzeichnisdienst integriert. Nach der Installation auf dem Windows-Server ließ sich die Client-Anwendung einfach auf die Testmaschine ausrollen. Anschließend findet sich im Gruppenrichtlinien-Editor ein neuer Knoten mit der Bezeichnung „DeviceLock“, über den sich die entsprechenden Einschränkungen konfigurieren lassen.

Unter den Protokollen lassen auch sich die so genannten „Content Aware Rules“ auswählen, mit deren Hilfe die Daten auf bestimmte Schlüsselworte hin durchsucht werden. An dieser Stelle fiel allerdings auf, dass sich die vorgegebenen Werte zumeist auf amerikanische Eigenheiten (so beispielsweise bei den Adressen und Bankdaten) beschränken. Allerdings kann ein Administrator hier natürlich eigene Schlüsselbegriffe anlegen und verwalten.

IT-Verantwortliche können durch die geschickte Kombination von ContentLock und NetworkLock eine sehr fein granulierte Überwachung und Kontrolle einführen. So werden nicht mehr nur einfach ganze Anwendungen gesperrt, sondern es wird beispielsweise grundsätzlich das Kopieren von Schriftstücken auf externe Medien erlaubt. Dabei wird dann aber das Speichern jener Texte, die bestimmte zuvor festgelegte Begriffe und Schlüsselwörter enthalten, durch die Software verhindert.

Inhalt

  • Seite 1: Die Endpunkte – von der Kamera bis zum Smartphone
  • Seite 2: Installation, Konfiguration und AD-Integration
  • Seite 3: Professionelle Kontroll- und Management-Funktionen

Professionelle Kontroll- und Management-Funktionen

Im Kurztest ist insbesondere die Konsequenz aufgefallen, mit der DeviceLock die „Datenlücken im Netzwerk“ angeht. So werden die üblichen Sperren für Peripheriegeräte durch NetworkLock um weitere Kontrollmöglichkeiten für unterschiedliche Übertragungsprotokolle wie HTTP und FTP oder auch Protokolle wie Jabber für das Instant-Messaging ergänzt. Richtig umfassend wird die Datenkontrolle durch den zusätzlichen Einsatz von ContentLock, das beispielsweise auch die Überwachung von Schlüsselwörtern in Dokumenten erlaubt, die das Firmennetzwerk verlassen.

Um das Potenzial der DLP-Suite voll auszunutzen und die Unternehmens-Compliance in der Software korrekt abzubilden, muss sich auch ein technisch versierter Systemadministrator eingehend mit der Software befassen. Selbstverständlich erfordert gerade das Ausrollen des DeviceLock-Dienstes via Gruppenrichtlinien vom Administrator entsprechende Kenntnisse über den Verzeichnisdienst Active Directory.

Die Mitarbeiter der DeviceLock Europe GmbH in Ratingen stellten uns für den Test bereits die lokalisierte deutsche Version zur Verfügung, die Interessenten ab Ende August 2011 auf der DeviceLock-Homepage herunterladen können. Zum Lieferumfang gehören umfangreiche Praxisanleitungen und Hilfedokumente in Deutsch. Dies ist besonders für kleine und mittelständische Betriebe wichtig, deren Administratoren einer lokalisierten deutschen Benutzeroberfläche den Vorzug geben.

Die DeviceLock Suite stellt Administratoren drei Managementkonsolen zur Auswahl: die „DeviceLock Management Console“ (ein Snap-In für die MMC), den „DeviceLock Enterprise Manager“ und den „DeviceLock Group Policy Manager“ (integriert im Windows Group Policy Editor). Die Managementkonsolen sind für unterschiedliche Einsatzszenarien in Unternehmen gedacht:

  • Die „DeviceLock Management Console“ wird verwendet, um grundsätzlich den gesamten Funktionsumfang von DeviceLock auf einem bestimmten PC zu konfigurieren. Dabei können die Einstellungen an dieser Stelle auch exportiert und beispielsweise über den Gruppenrichtlinien-Editor importiert werden. Gleichzeitig werden über diese Konsole die Server-Komponenten (DL Content Security Server und DL Enterprise Server) administriert.
  • Der „DeviceLock Enterprise Manager“ ist für alle die Anwendungsszenarien gedacht, in denen die Systembetreuer keine AD-Struktur einsetzen können oder wollen. Zudem unterstützt diese Software auch alle weiteren LDAP-konformen Verzeichnisdienste wie beispielsweise Novell eDirectory oder Open LDAP. Dadurch ermöglicht sie auch die gleichzeitige Verteilung des Agenten sowie der Settings auf mehrere Computer.
  • Beim „DeviceLock Group Policy Manager“ handelt es sich um ein Snap-In für die Gruppenrichtlinien-Konfiguration, über das die DeviceLock-Settings konfiguriert und per Gruppenrichtlinie verteilt werden können.

Zusätzlich wird mit der ausgewählten Managementkonsole der „DeviceLock Service Settings Editor“ installiert. Dieser dient zur Erstellung und Änderung externer XML-Dateien, die Einstellungen, Berechtigungen, Prüf- und Shadowing-Regeln für DeviceLock enthalten.

Nach dem Prinzip der „Delegated Administration“ kann diese Komponente in Umgebungen eingesetzt werden, in denen ein Administrator zwar generell keinen Zugang zum Domänenkontroller (oder dem entsprechend anderen Server) besitzt, aber dennoch die DeviceLock Settings bearbeiten soll. Diese Änderungen müssen im Anschluss noch vom Administrationsverantwortlichen geprüft und verteilt werden.

Gerade aufgrund dieser Flexibilität beim Einsatz in den unterschiedlichsten Systemumgebungen sollten IT-Verantwortliche und Administratoren, die ihr Netzwerk vor Datenverlusten möglichst umfassend schützen wollen, unbedingt einen Blick auf diese Lösung werfen. Nach kurzer Einarbeitungszeit lässt sich damit weitgehend sicherstellen, dass sensible Daten und Informationen in ihren Firmennetzwerken bleiben und nicht in falsche Hände gelangen.

(ID:2052654)