Schutz vor Daten-Diebstahl über Wechselmedien Device-Lock-Software – Data Loss Prevention für USB- und Firewire-Ports

Autor / Redakteur: Götz Güttich / Stephan Augsten

Gerade in Zeiten gigabytegroßer USB-Speicher spielt für Unternehmen der Schutz sensibler Daten eine viel wichtigere Rolle als früher: Festplatten lassen sich ohne Probleme via USB oder Firewire ans Firmennetz ankoppeln, während die gesamte Kundendatenbank auf einem winzigen MP3-Player Platz findet. Technische Lösungen dichten die Schlupflöcher für Datendiebe und Industriespione ab.

Firmen zum Thema

( Archiv: Vogel Business Media )

In den vergangenen Jahren haben sich die Anforderungen der Unternehmen an ihre Datenschutzlösungen gewaltig verändert. Während es früher ausreichte, Netzwerke und Rechner mit Firewalls sowie Passwörtern und ähnlichen Authentifizierungs-Systemen zu schützen und den internen Datenverkehr unmodifiziert ablaufen zu lassen, steht heute das „sichere Netzwerk“ im Mittelpunkt. Dieses muss nicht nur durch Security-Lösungen am Gateway vor unbefugten Zugriffen geschützt werden.

Heute sollte ein Firmennetz aus zahlreichen sicheren Komponenten bestehen, von denen jede einzelne dazu in der Lage ist, alle möglichen Angriffsarten abzuwehren. Das bedeutet: Idealerweise verfügt jedes im Netzwerk arbeitende Gerät über vollwertige Schutzmechanismen, die nur definierte und erlaubte Datenübertragungen zulassen.

Bildergalerie

Auf diese Weise verhindern die Administratoren erfolgreiche Attacken „von innen“, also aus dem Netzwerk selbst heraus, die Angreifer über eingeschleuste Malware (beispielsweise Trojaner), missgünstige oder ahnungslose Mitarbeiter (Stichwort: Social Engineering) oder Sicherheitslücken des Gateways selbst durchführen. Bei diesem „Rundum-Sicherheitskonzept“ reicht es aber nicht aus, sich auf Security-Lösungen für das Netzwerk zu beschränken – es ist zusätzlich erforderlich, auch die Schnittstellen der einzelnen Rechner im Netz mit abzusichern.

In der Vergangenheit handelte es sich bei den in diesem Kontext wichtigen Peripheriegeräten vor allem um Diskettenlaufwerke. Mit ihrer geringen Kapazität und Geschwindigkeit stellen sie aber nur ein minimales Bedrohungspotenzial dar und eignen sich aufgrund ihrer technischen Defizite nur sehr bedingt zum Datenklau.

Kleine und schnelle Speicherriesen

Das hat sich mit der Einführung des Universal Serial Bus (USB) und vor allem mit der Freigabe der schnelleren Version USB 2.0 gewaltig geändert. USB ist nicht nur in der Lage, im laufenden Betrieb beliebige Speichermedien (also Festplatten, CD- und DVD-Writer, MP3-Player, PDAs, Handys, Digitalkameras, USB-Sticks und ähnliches) an einen Rechner anzubinden. Die Technik ist auch dazu fähig, geschäftskritische Unternehmensdaten in sehr hoher Geschwindigkeit auf das jeweils angeschlossene Speichermedium zu übertragen, ohne dass der Administrator etwas davon merkt.

Da USB-Datenspeicher zudem preislich sehr attraktiv sind (USB-Sticks werden oft verschenkt und USB-Festplatten mit Kapazitäten von 400 GB kosten nur noch wenig mehr als 100 Euro), gibt es kaum einen Grund, der gegen effizienten Datenklau über Social Engineering und USB-Medien spricht, solange die IT-Abteilung eines Unternehmens die USB-Anschlüsse ihrer Rechner nicht absichert.

Übrigens spielt in diesem Zusammenhang nicht nur der mögliche Datenklau eine wichtige Rolle für die Sicherheit der Firmeninformationen, sondern auch der Datenimport: So ist es beispielsweise möglich, über USB-Sticks unter Umgehung der Content-Filter eines Unternehmens Trojaner und ähnliche Malware ins Netzwerk einzuschmuggeln und so die Datensicherheit zu gefährden.

Seite 2: Wächter für die Hintertür

Wächter für die Hintertür

Verwaltungs-Suites können bereits einen gewissen Beitrag zum Schutz der Unternehmensdaten liefern. So verfügt beispielsweise die Landesk-Management-Suite über eine Funktion, die von jedem Netzwerkgerät sämtliche Hardware-Assets einschließlich Schnittstellen ausliest und die an den Schnittstellen arbeitenden Peripheriegeräte erfasst.

Darüber hinaus lässt sich das Produkt so konfigurieren, dass es dem Administrator eine Meldung schickt, wenn ein Anwender ein Speichermedium oder ähnliches an einen USB-Port anschließt. Auf diese Weise wissen die IT-Verantwortlichen zwar, welche Storage-Komponenten sich in ihrem Netz befinden, können aber immer noch keine Datenübertragungen unterbinden und erhalten auch keine Informationen darüber, was die Anwender genau mit den vorhandenen Speicherkomponenten machen.

Unterschiedliche Device-Lock-Software

Hier kommen jetzt spezielle Sicherheitslösungen ins Spiel, die sich Device-Lock, Device-Wall, Drive-Lock, Device-Watch oder USB-Watch nennen. Diese Lösungen sichern in der Regel auf Ebene des Betriebssystem-Kernels alle Geräte und Schnittstellen Benutzer-, Gruppen- und PC-spezifisch ab. Installieren die zuständigen Mitarbeiter eine solche Lösung auf einem Rechner im Netz, schützen sie diesen folglich umfassend vor allen Arten von Datenklau.

Besonders leistungsfähige Lösungen sind sogar dazu in der Lage, bestimmte Anschlüsse dynamisch zu sperren, etwa wenn der Benutzer ein neues Gerät – wie einen Memory-Stick – an seinen Rechner anschließt. Ebenso praktisch ist es, wenn Ausnahmeregelungen für einzelne Geräte anhand ihrer Device-ID möglich sind. Idealerweise lassen sich auch spezifische Geräteklassen (wie eben Speichermedien oder Netzwerkadapter) von der Benutzung ausschließen, während andere Produkte (wie USB-Kameras für Konferenzen mit Videotelefonie) weiterhin unbehelligt ihren Dienst tun dürfen.

In vielen Fällen kann auch die Unterstützung von Datenverschlüsselung sinnvoll sein, da sie die Grundlage dafür schafft, verschlüsselte Laufwerke in die Verwaltung der Sicherheitslösung mit einzubinden. Die meisten Lösungen ermöglichen den IT-Abteilungen zudem eine zentrale und einheitliche Verwaltung des gesamten Unternehmensnetzwerks über Gruppen-Policies.

Seite 3: Funktionsweise der Lösungen

Funktionsweise der Lösungen

Üblicherweise besteht ein Produkt zum Absichern von USB-Schnittstellen und anderen Wechseldatenträgern aus zwei Teilen. Der eine Teil ist ein Agent, der auf den Client-Systemen im Netz läuft und die Sicherung der Schnittstellen übernimmt. Der zweite besteht aus der zentralen Verwaltungskonsole, über die die IT-Mitarbeiter die Steuerung der Lösung durchführen. Letztere wird oft über ein MMC-Snapin realisiert und die Verteilung der Agenten erfolgt in der Regel über das Active Directory, sodass die Verantwortlichen keine zusätzliche Infrastruktur speziell für die Security-Lösung aufbauen müssen.

In manchen Fällen unterstützt die Sicherheitssoftware allerdings nicht nur Windows-Betriebssysteme. Dann müssen die Verantwortlichen die Agenten auf anderem Wege auf den Clients installieren.

Die Bedienung der Produkte im laufenden Betrieb gestaltet sich dann üblicherweise so, dass die Administratoren zunächst eine Schutz-Policy für eine ganze Gruppe an Computern anlegen und diese dann per Mausklick auf die betroffenen Rechner verteilen. Versucht dann ein Anwender, ein gesperrtes Gerät an einen geschützten PC anzuschließen, erhält er eine „Zugriff verweigert“-Meldung und die Sicherheitslösung trägt den Vorgang in eine Log-Datei ein.

Technisch läuft das Ganze so ab, dass der Agent beim Einstecken des verbotenen Geräts anhand der Device-Kennung feststellt, dass die betroffene Peripherie-Komponente zu den Produkten gehört, deren Nutzung eingeschränkt wurde. Im nächsten Schritt überprüft er dann das Active Directory oder die lokalen Benutzer- und Gruppenkonten, um festzustellen, ob der gerade aktive Anwender ein Mitglied der privilegierten Gruppe ist. Sollte das nicht der Fall sein, so blockt die Lösung den Zugriff. Benutzer lassen sich über die Benutzerverwaltung zu den gewünschten Gruppen hinzufügen.

Seite 4: Der Aufbau von Policies

Der Aufbau von Policies

Die Definition der Schutz-Policies stellt den wichtigsten Teil des Konfigurationsprozesses dar. In manchen Umgebungen kann es zu Beginn sinnvoll sein, bestimmte Policies für fest definierte Rechnergruppen wie Server, Workstations und Notebooks festzulegen und dann von dort aus immer feinere Regeln zu generieren, die alle Anforderungsbereiche der jeweiligen Organisation abdecken. Andere Umgebungen wiederum lassen sich einfacher administrieren, wenn die Verantwortlichen zunächst Regeln auf Abteilungsbasis (Vertrieb, IT-Abteilung, Geschäftsführung) anlegen und diese dann nutzen, um nach und nach sämtliche Aspekte ihrer Sicherheitsanforderungen zu implementieren.

Ähnlich wichtig wie das Abblocken der verbotenen Geräte ist in der Praxis auch das Logging und Reporting. Verletzt ein Anwender eine Policy, so sollte das Sicherheitswerkzeug diesen Vorfall sowohl in der lokalen Ereignisanzeige als auch auf einem zentralen Server eintragen. Auf diese Weise lassen sich die Sicherheitsverletzungen einfach auswerten und es ist bei Bedarf sogar möglich, ohne großen Aufwand Alerts zu generieren. Erfolgt der Eintrag zuerst im lokalen Event-Log und dann erst an zentraler Stelle, so sorgt das System sogar dafür, dass es auch Sicherheitsverletzungen erfasst, die auf Notebooks oder anderen periodisch vom Netzwerk getrennten Rechnersystemen stattfinden.

Beim Reporting bieten leistungsfähige Lösungen den Administratoren grafische, technische und Management-Reports, die zum Beispiel Aufschluss darüber geben, welche Benutzer, Maschinen, Peripheriegeräte und Anwendungen die meisten Verletzungen der Sicherheits-Policies zu verantworten haben.

Seite 5: Eigenheiten bestimmter Lösungen

Eigenheiten bestimmter Lösungen

Während viele Tools das einfache, Client-seitige Absichern von USB-Ports beherrschen, gibt es einige, deren Leistungsumfang über die bereits genannten Funktionen hinausgeht. Wir haben einen kurzen Überblick über die Möglichkeiten besonders leistungsfähiger Lösungen zusammengestellt.

SafeGuard RemovableMedia

Die Lösung von Utimaco bietet beispielsweise bei der Policy-Definition besonders viele Möglichkeiten. Mit diesem Tool sind Administratoren sogar dazu in der Lage festzulegen, welche Laufwerksbuchstaben das Betriebssystem einem Speicher-Stick zuweisen darf, und den Anwendern zwar den Im- aber nicht den Export von Dateien zu erlauben. Auf Wunsch gestattet die Lösung auch das Speichern nur bestimmter Dateiformate.

DriveLock

Im Gegensatz dazu sperrt Centertools DriveLock bestimmte Gerätegruppen und -typen wie Bluetooth-Komponenten, Devices mit Infrarotschnittstelle oder PDAs. Das Freischalten bestimmter Peripherieprodukte erfolgt dann über deren spezifische ID. Darüber hinaus blockiert diese Lösung auf Wunsch auch serielle und parallele Schnittstellen.

DeviceWall

Das besondere an DeviceWall von Centennial Software: Das Produkt verschlüsselt alle von autorisierten Nutzern auf USB-Laufwerke kopierten Daten automatisch mit Hilfe von AES. Damit möchte der Hersteller dafür sorgen, dass die Unternehmensdaten sich auch dann in sicheren Händen befinden, wenn ein USB-Stick gestohlen wird oder verloren geht.

Abgesehen davon erkennt DeviceWall bestimmte Geräte individuell. Auf diese Weise können IT-Verantwortliche zum Beispiel eine Liste aller unternehmenseigenen USB-Speichergeräte anlegen und diese dann für den Einsatz im Netz freigeben, während „fremde“ Komponenten gleichen Typs ausgesperrt bleiben. Zusätzlich überwacht die Lösung neben USB-Ports auch unkontrollierte WLAN-Anschlüsse, Plug-and-Play-Modems und lokal verbundene Drucker.

USB Lock AP

Beim Anschluss eines nicht autorisierten Geräts blockiert Mediaphor USB Lock AP den USB-Port, der sich danach nur über ein Passwort wieder freischalten lässt. Entfernt der Nutzer die problematische Komponente nicht binnen 15 Sekunden, so fährt der Agent auf Wunsch das ganze System herunter.

DeviceWatch

Für DeviceWatch gibt der Hersteller itWatch an, dass die Lösung die Schnittstellen und Geräteklassen aus dem Unternehmensnetz selbst erkennen könne, was eine manuelle Konfiguration dieser Komponenten überflüssig machen soll. Da es von besonderer Bedeutung ist, dass das System wirklich alle Geräte erfasst, lassen sich die Richtlinien jederzeit aktualisieren.

EndPoint Security

EndPoint Security von GFI nimmt sich beim Absichern der Unternehmensrechner – ähnlich wie DeviceWall – nicht nur USB-Anschlüsse vor, sondern überwacht auch Bluetooth-Geräte, Netzwerkschnittstellen, Firewire und ähnliche Interfaces. Zusätzlich können die Administratoren mit der Lösung zentral festlegen, welche Netzwerkbenutzer Zugriff auf Disketten oder CD/DVD-Laufwerke erhalten sollen. Zugriffsberechtigungen auf bestimmte Komponenten lassen sich mit EndPoint Security bei Bedarf auch zeitlich begrenzen.

Fazit

USB-Ports gegen unbefugte Nutzung absichern, beherrscht jede Device-Lock-Software. Viele Lösungen bringen dazu noch eine ganze Reihe von Extra-Funktionen mit. Aber egal, für welche Lösung sich ein Anwender entscheidet: wichtig ist, dass die Software schnell, stabil und effizient arbeitet.

registrieren Sie sich jetzt bei Security-Insider.de

Dieser Artikel stammt aus der Fachzeitschrift INFORMATION SECURITY, dem Vorgänger des TechTarget Magazins. Wenn Sie Beiträge wie diesen und weitere hochklassige Analysen und Interviews in Zukunft regelmäßig und kostenlos nach Hause geliefert bekommen möchten, registrieren Sie sich jetzt bei Security-Insider.de. Mit dem Experten-Know-how aus dem TechTarget-Magazin finden Sie dann künftig mehr Zeit für die wichtigen Dinge Ihres Jobs!

(ID:2006642)