USB-Device-Management

USB-Speicher im Unternehmenseinsatz

| Autor / Redakteur: Konstantin Fröse / Peter Schmitz

Bevor Unternehmen alle USB-Ports zukleben empfiehlt es sich, Alternativen zu prüfen, um die Nutzung von USB-Speichern beizubehalten.
Bevor Unternehmen alle USB-Ports zukleben empfiehlt es sich, Alternativen zu prüfen, um die Nutzung von USB-Speichern beizubehalten. (© Stockfotos-MG - stock.adobe.com)

USB-Sticks – Von Anwendern geliebt, von Administratoren und IT-Verantwortlichen aufgrund der Sicherheitsrisiken jedoch oft gehasst: USB-Speicher sind aus dem beruflichen Alltag nicht mehr wegzudenken. Ein zentrales USB-Device-Management kann für die notwendige Kontrolle sorgen.

Ob als handlicher Stick oder externe Festplatte – USB-Speichergeräte stellen die wohl einfachste und bequemste Art dar, um Daten zu transportieren, auszutauschen und zu sichern. Doch diese Anwenderfreundlichkeit wird von nicht zu unterschätzenden Risiken begleitet: Datenverlust, Datendiebstahl, Datenmanipulation und Malware.

Manche Unternehmen versuchen Abhilfe zu schaffen, indem sie einfach alle USB-Ports schließen und damit die Nutzung von USB-Sticks generell ausschließen. Allein: Erfahrungen aus der Praxis zeigen, dass diesen Schritt oftmals nicht nur die Anwender nach kurzer Zeit schon wieder bereuen. Denn die Nutzung von USB-Speichern ist meist fester Bestandteil betrieblicher Abläufe. Mangels echter Alternativen ist eine „Vollsperrung“ kaum durchsetzbar. Und tatsächlich schließt es sich auch nicht aus, weiterhin USB-Speicher zur Nutzung freizugeben und dabei gleichzeitig sinnvoll mit den oben genannten Risiken umzugehen. Die Grundlage dafür kann ein generelles Konzept für den Einsatz von USB-Speichern bilden. Sinnvoll ist hier, aus technischer Sicht zwei wesentliche Schritte zu unterscheiden: Die Auswahl geeigneter Speichermedien sowie Mechanismen für die zentrale Verwaltung.

Systemrettung mit bootbaren USB-Sticks

Bootstick statt Rettungs-CD

Systemrettung mit bootbaren USB-Sticks

23.01.18 - Startet das Betriebssystem eines Rechners nicht mehr, greift man normalerweise zur Rettungs-CD. Hat der PC aber kein optisches Laufwerk kann man sich mit einem bootfähigen USB-Stick behelfen um die Daten oder das komplette System zu retten. Es gibt viele Möglichkeiten, Rettungs-CDs oder ganze Live-Betriebssysteme auf einen Bootstick zu kopieren. Wir zeigen die besten Windows- und Linux-Tools. lesen

Unternehmen sollten nur qualitativ hochwertige, hardwareverschlüsselte USB-Speicher erlauben

Zunächst sollte per Sicherheitsrichtlinie der Umgang mit Unternehmensdaten festgelegt werden. Dabei muss die Verschlüsselung sensibler Daten an erster Stelle stehen – nicht nur, jedoch insbesondere beim Datentransport außerhalb des eigenen Unternehmens. Und dafür sollten ausschließlich qualitativ hochwertige, hardwareverschlüsselte USB-Speicher verwendet werden. Qualitativ hochwertig bedeutet in diesem Zusammenhang nicht nur eine komplexe Verschlüsselung basierend auf aktuellster Technologie, sondern insbesondere auch, dass sich die USB-Laufwerke über eine eigene Product ID (PID) und Vendor ID (VID) identifizieren lassen und dadurch per „Whitelisting“ im Unternehmen autorisiert werden können. Dieses „Whitelisting“ wird durch einige namhafte DLP-Lösungen (Data Loss Prevention) sowie durch Windows-eigene Active-Directory-Gruppenrichtlinien unterstützt.

Umfangreiche Kontrolle durch zentrales USB-Device-ManagementSind nötig

Nachdem mit Schritt 1 eine wichtige Grundvoraussetzung erfolgreich umgesetzt wurde, kann durch ein zentrales USB-Device-Management den vier eingangs genannten Risiken begegnet werden:

Datenverlust: Wichtige Daten sollten niemals nur auf einem Speichermedium existieren. Und der sichere USB-Speicher sollte entweder nur zum Austausch/Transport oder lediglich selbst als Datensicherungsmedium verwendet werden. Doch grau ist alle Theorie und in der Praxis sieht das in vielen Unternehmen oft ganz anders aus. Damit mit einem Stick nicht auch wichtige Daten verloren gehen, kann über ein zentrales Management für jeden USB-Speicher ein verschlüsseltes Backup eingerichtet werden.

Datendiebstahl: Ein sinnvolles USB-Device-Management bietet die Möglichkeit, granular festzulegen, wo genau der USB-Speicher verwendet werden darf – und wo nicht: Beispielsweise also nur am eigenen System, nur im unternehmenseigenen IP-Nummernkreis, nur bei Verwendung des explizit freigegebenen Internet Service Providers (ISP) oder auch nur in bestimmten Ländern. In ausgereiften Lösungen lassen sich all diese Parameter erlauben („whitelisten“) oder ausschließen („blacklisten“). Dadurch kann ein Angreifer, selbst bei Kenntnis des Passwortes, nur unter bestimmten Bedingungen auf die Daten zugreifen.

Sollte der physische Diebstahl eines USB-Speichers bekannt werden, kommt Administratoren und IT-Verantwortlichen die Möglichkeit gelegen, das Laufwerk aus der Ferne per „Remote Kill“ zu löschen. Die Device-Management-Lösung SafeConsole beispielsweise bietet dafür einen „Remote Factory Reset“. Ein solcher Löschvorgang kann zudem in den Audit-Berichten dokumentiert werden, so dass ein Nachweis existiert, der Teil eines Compliance-Berichtes sein kann. Dieser Nachweis lässt sich auch einem Kunden übermitteln, falls es sensible Kundendaten waren, die sich auf einem USB-Speicher befanden, der bei einem Datentransport gestohlen wurde oder anderweitig verloren ging.

Datenmanipulation: Hardwareverschlüsselte Speichermedien bieten für die gespeicherten Daten durch ihre Sicherheitsmechanismen per se Schutz vor unbefugten Eingriffen durch externe Manipulatoren. Damit jedoch interne Mitarbeiter, die offiziell Zugriff auf die Daten haben dürfen, weder absichtlich noch unabsichtlich Daten verändern können, kann ein „Read-Only-Modus“ eine praktische Ergänzung bilden. Dieser erlaubt dann lediglich den Lesezugriff auf die Daten, was je nach Benutzergruppe und Anwendungsfall oft ausreichend ist. Ein solcher Modus, der über ein zentrales USB-Device-Management konfiguriert wird, bildet zudem eine zusätzliche Schutzschicht gegenüber Schadsoftware. Denn auch diese kann dann keine Daten verändern oder sich selbst auf den Datenträger schreiben.

Malware: Die effiziente Abwehr von Viren, Trojanern und sonstiger Schadsoftware geht aber noch einen Schritt weiter. Werden USB-Speicher oft auch an organisationsfremden Systemen verwendet, lässt sich das Risiko einer Virenübertragung zusätzlich minimieren, indem eine Anti-Malware-Software auf dem USB-Speicher verwendet wird. Und wenn diese direkt in die Gerätesoftware integriert wird, bietet das entscheidende Vorteile. So kann der Anti-Malware-Schutz nicht absichtlich oder unabsichtlich deaktiviert oder entfernt werden. Eine direkte Einbindung macht das Lizenzmanagement unkompliziert und es werden keine „3rd-Party-Lizenzen“ benötigt. Durch ein zentrales USB-Device-Management werden Virenfunde dokumentiert, so dass nachvollzogen werden kann, bei welchem Anwender, mit welcher IP-Adresse, auf welchem Gerät und wann welcher Malwaretyp entdeckt und neutralisiert wurde.

Mitarbeiter müssen für die Gefahrne sensibilisiert werden

Doch alle technischen Maßnahmen sind ohne Verständnis und Akzeptanz der Mitarbeiter nicht zielführend. Daher müssen diese mit Blick auf die getroffenen Sicherheitsrichtlinien geschult und sensibilisiert werden. Die Einhaltung der Sicherheitsrichtlinien muss zudem regelmäßig kontrolliert werden. Auch diese Kontrolle kann durch das zentrale USB-Device-Management erleichtert werden. Dazu sollte in der Geräteübersicht neben dem Gerätetyp auch dessen Seriennummer, der Software-Stand, der Status, sowie der Name/die Personalnummer des Mitarbeiters, dem das Gerät zugeordnet wurde, ersichtlich sein. Darauf basierend kann der zuständige IT-Mitarbeiter dann seine tägliche Routine starten und alle aufgelaufenen Ereignisse im Bereich der sicheren USB-Speicher kontrollieren und entsprechend reagieren.

Fazit: Bevor alle USB-Ports geschlossen werden und sowohl interne als auch externe Arbeitsabläufe erschwert werden, empfiehlt es sich, Alternativen zu prüfen, um die Nutzung von USB-Speichern beizubehalten. Dann allerdings ausschließlich mit voller Kontrolle.

Über den Autor: Konstantin Fröse ist EMEA Account Executive bei DataLocker.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45101252 / Storage)