Sicherheit der Speichermedien – Vertrauen ist gut, Kontrolle ist besser
Im ersten Beitrag dieser Reihe haben wir das Thema Anwendungskontrolle besprochen – und das wollen wir jetzt mit diesem Blogbeitrag um ein bedauerlicherweise immer noch unterschätztes Thema ergänzen: die Kontrolle der Speichermedien.
In Unternehmen variiert der Umgang mit dem Anschluss neuer Speichermedien. Das Spektrum reicht von „niemand darf etwas anschließen, außer die IT hat es erlaubt“ bis hin zu „alles ist erlaubt“. Ersteres ist sehr sicher. Aber für Unternehmen, die große Dateien mit anderen tauschen müssen, ist der Verzicht auf Dienste wie WeTransfer, Box, Dropbox etc. mit sehr großem Zeitaufwand verbunden. Den Umgang mit Speichermedien gar nicht zu reglementieren ist – positiv formuliert – äußerst fahrlässig. Aber wie immer im Leben gibt es nicht nur schwarz und weiß, sondern auch viele Zwischentöne – inklusive intelligenter Lösungen, die sowohl dem Sicherheitsaspekt als auch der Produktivität Rechnung tragen. Viele Anwender:innen achten kaum oder gar nicht auf dieses mögliche Einfallstor, wenn sie Daten via USB-Port von einem Speichermedium auf ein anderes Gerät übertragen.
Darum ist Schnittstellenkontrolle wichtig
Bei Betrachtung eines sensiblen Bereichs wie Medizin, stellt man fest, dass dort Daten wie Röntgenaufnahmen und anderes Bildmaterial gerne per Stick von Arzt zu Arzt weitergegeben werden. Auf diesem Weg kann schnell eine Schadsoftware auf ein Gerät und in die Systeme gelangen, beispielsweise durch einen sogenannten „Bad USB-Angriff“. Dabei wird ein mit Schadsoftware präparierter Stick im Unternehmen platziert. Der Speicher wird somit scheinbar zufällig gefunden und mit ins Büro genommen. Bei vielen Usern überwiegt dann die Neugier gegenüber der Vorsicht und sie sehen nach, was sich auf diesem Stick befindet. Ohne entsprechende Vorkehrungen zur Schnittstellenkontrolle ist das Unternehmen dadurch in höchstem Maße gefährdet. Das gilt übrigens auch für präparierte Smartphones, die z.B. via Bluetooth Kontakt zum Netzwerk herstellen.
Daraus ergeben sich einige Fragen:
- Kann ein Unternehmen diese Vorgänge überwachen oder unterbinden?
- Kann ein Unternehmen erwirken, dass nur bestimmte mobile Datenträger zugelassen sind?
- Kann die IT-Abteilung durchsetzen, dass sensible Daten beim Kopieren auf die USB-Sticks automatisch verschlüsselt werden?
- Kann das Unternehmen die Datenübertragung über Bluetooth-Geräte kontrollieren?
Die Antwort auf diese Fragen dürfte Sie kaum überraschen: Ja, das geht!
Device Control – Kontrolle und Schutz mobiler Datenträger und Geräte
Eine moderne Device-Control-Lösung prüft externe Datenträger und darüber hinaus auch den Datenfluss. Diese Lösung verhindert außerdem, dass sensible Daten
auf mobile Speichermedien wie USB-Sticks gelangen oder Datenträger einfach angeschlossen und ausgelesen werden können. Sie prüft jedes einzelne via USB verbundene
Gerät. Ist dieses durch die Unternehmensvorschriften nicht zugelassen, wird es ausgesperrt. Damit wird verhindert, dass nicht-autorisierte Medien genutzt werden. Natürlich ist es
möglich, dazu auch explizite Ausnahmen zu definieren.
So können die Admins schnell auf Useranfragen bzw. Projekte reagieren. Diese temporären Freigaben können zeitlich befristet sein oder mit einem bestimmten
Ablaufdatum versehen werden. An dieser Stelle muss aber dennoch nicht auf Sicherheit verzichtet werden. Nur die explizit benötigten Schnittstellen werden freigegeben und es können bestimmte
Dateitypen an der Ausführung gehindert werden wie z.B. .EXE, .BAT, oder Makros.
Regeln definieren die Zulässigkeit von Aktionen
Das Device Control von DriveLock reguliert z.B., welche USB-Medien im Netzwerk überhaupt zulässig sind. Eine andere Regel könnte vorsehen, dass das Anschließen von
USB-Geräten zwar erlaubt ist, die User jedoch nur Leserechte auf diesem Gerät besitzen.
DriveLock ist dabei in der Lage, sämtliche mobile Datenträger und externe Geräte zu kontrollieren. Dafür sind unterschiedlichste Varianten
einer Unternehmensrichtlinie denk- und einstellbar, z.B. von der Überwachung einer Betriebsvereinbarung oder der Durchsetzung strenger Richtlinien. Die schnelle Verteilung aller
Einstellungen auf Basis von Richtlinien macht die Einführung der Lösung für die Gerätekontrolle sehr einfach:
- Flexible Kontrolle aller extern angeschlossenen Medien inkl. Netzwerkfreigaben oder WebDAV-basierte Laufwerke: Die IT-Teams legen fest, wer zu welchem Zeitpunkt welche Laufwerke verwenden darf.
- Integrierte Datenflusskontrolle durch Datentyp-Prüfung: Die IT-Teams definieren Nutzergruppen und deren Berechtigungen.
- Umfangreiches Audit von Dateioperationen: Die IT-Teams können bei Bedarf das Nutzerverhalten nachvollziehen (z.B. wer zu welchem Zeitpunkt welche Datei auf welches Medium kopiert hat).
- Integrierte Datenflusskontrolle durch Datentypprüfung: Die IT-Teams bestimmen, wer welche Dateien wohin kopieren darf.
Granulare Einstellungsmöglichkeiten
Neben Richtlinien für Geräte aller Art kann das IT-Team Regeln für alle Einstellungen nach verschiedenen Kriterien setzen – von Benutzergruppen über
Tageszeiten bis hin zum Netzwerkstandort gibt es weitreichende Möglichkeiten zur Konfiguration.
Neben der vollständigen Überprüfung der Nutzung mobiler Datenträger und der Protokollierung des Datenflusses, unterstützen moderne
Lösungen wie DriveLock auch die Überprüfung der Erstellung von Schattenkopien. Die erzwungene Verschlüsselung von Daten, die auf externe Medien geschrieben werden,
ist ebenfalls möglich. Die IT-Teams können dabei sogar das transferierte Datenvolumen zwischen Wechseldatenträger und Endgerät kontrollieren.
Fazit
Device-Control-Lösungen ermöglichen den IT-Teams einen sehr granularen Interessensausgleich zwischen dem individuellen Bedarf der User nach flexibler und einfacher Nutzung einerseits und dem Bedürfnis des Unternehmens nach einem sorgfältigen Umgang mit sensiblen Daten andererseits.