Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

22.12.2005

Keine Chance für Datenklau per USB

Spezielle Lösungen helfen Administratoren, die USB-Schnittstellen von Unternehmens-PCs zu überwachen.

USB-Speicher sind praktisch: Obwohl sie klein und leicht sind, fassen sie riesige Datenmengen. Damit werden die Speichermedien aber auch zu einer doppelten Gefahr für Unternehmen: So können über die mobilen Speicher gefährlicher Code (wie Viren oder Spyware), illegale Software oder verbotene Inhalte in das Firmennetz gelangen und dort Systeme lahm legen. Daneben können sie missbraucht werden, um wichtige Informationen aus dem Unternehmen zu schaffen. Bei ständig steigenden Speicherkapazitäten und immer höheren Übertragungsraten ist es kein Problem, selbst größere Datenmengen innerhalb kürzester Zeit zu kopieren und beispielsweise einem Konkurrenten zukommen zu lassen.

Fazit

• Unternehmen dürfen die Gefahren durch die Universalschnittstelle USB nicht ignorieren.

• Mit Tools wie den hier vorgestellten stehen Administratoren jedoch starke Werkzeuge zur Verfügung, um die Situation zu entschärfen.

• Sowohl Datendiebstahl als auch das Einschleusen von schädlichen Inhalten lassen sich damit verhindern.

Hier lesen Sie …

• welches Risiko mobile Datenträger an der USB-Schnittstelle bedeuten;

• welche Tools es gibt, um den Datenklau und das Einschleusen von gefährlichen Inhalten zu verhindern.

Hersteller und Produkte

Centennial Software:

Devicewall

(www.centennialsoftware.com);

Securewave: Sanctuary

Device Control (www.securewace.com);

Smartline: Devicelock (www.protect-me.com);

Tetraguard: Tetraguard USB (www.tetraguard.de).

Mehr zum Thema

www.computerwoche.de/go/

569645: USB-Stick als Smart Device;

569445: Auszeichnung für Tetraguard;

556626: IT-Sicherheit: Der Feind im eigenen Haus.

Abhilfe schaffen Lösungen wie zum Beispiel "Devicewall", von dem der Anbieter Centennial Software jetzt die Version 3.1 präsentiert hat. Mit Hilfe dieser Software definieren Adminis- tratoren Sicherheitsregeln für das Benutzen von vielerlei mobilen Speichermedien, außerdem wurde sie um Auswertungsmöglichkeiten ergänzt. Hierzu benötigt Devicewall neben einer Server-Komponente ein Client-Modul, das auf allen zu überwachenden Rechnern vorhanden sein muss.

Zugriffssteuerung

Nach der Installation läuft die Software zunächst im Observationsmodus. Dabei überwacht sie, welche USB-Speicher im Unternehmen von welchem Mitarbeiter eingesetzt werden. Mit Hilfe dieser Informationen können Administratoren dann das Sicherheitskonzept für ihre Organisation entwickeln. Sie haben dabei die Möglichkeit, Zugriffe entweder vollständig, nur lesend oder nur schreibend zu gestatten beziehungsweise komplett zu blockieren. Über die USB-Schnittstelle hinaus lassen sich via Devicewall auch kabellose Kommunikationswege wie WLAN-, Bluetooth- oder Infrarotverbindungen unterbinden. Selbst Laptops, die nicht ständig an das Unternehmensnetz angeschlossen sind, lassen sich mit der Lösung schützen.

Devicewall funktioniert im Windows-Umfeld und unterstützt unterschiedliche Gerätetypen wie Digitalkameras, MP3-Player, PDAs, externe Festplatten, externe CD- beziehungsweise DVD-Brenner, Mobilfunkgeräte oder gewöhnliche USB-Speicher. Eine Einzelplatzlizenz kostet zwischen zehn und 30 Euro.

Der Anbieter Smartline verfügt mit "Devicelock" über eine ähnliche Lösung. Die Software liegt in Version 5.72 vor und erlaubt es Administratoren, USB-Ports sowie WLAN-, Bluetooth- und Firewire-Verbindungen zu kontrollieren. Der Zugriff kann laut Hersteller auf bestimmte Anwender, Tageszeit oder Wochentag beschränkt werden. Darüber hinaus ist es möglich, Zugriffsrechte je nach Geräteklassen (zum Beispiel USB-Sticks), dem jeweiligen Modell oder Port zu definieren. Auch Devicelock kennt dabei verschiedene Abstufungen, die vom kompletten Zugriff bis zum vollständigen Blocken reichen.

Neu in Version 5.72 ist die Option, einzelne Geräte per "White List" aus den Regeln auszunehmen, sofern der jeweilige Hersteller eine Möglichkeit bie- tet, sie eindeutig zu identifizieren (etwa über eine Hardwareadresse).

Temporäre USB-Nutzung

Ebenfalls hinzugekommen ist die Eigenschaft, Anwendern temporären Zugang zu USB-Ports zu gestatten, wenn ihr Rechner nicht mit dem Netz verbunden ist. Dazu können sie sich via Telefon einen Zugriffscode geben lassen. Devicelock ist auf Windows-Umgebungen beschränkt. Die Lizenz für eine Domain beziehungsweise Site (beinhaltet das Absperren von bis zu 200 Rechnern) kostet 2332 Euro.

Securewaves "Sanctuary Device Control 3.0.1" erlaubt ebenfalls das Erstellen von granularen Regeln für die Kontrolle der USB-Schnittstelle und unterstützt wie Devicewall unterschiedliche Typen von mobilen Speichermedien. Hervorzuheben ist die Möglichkeit, je nach dem momentanen Standort eines zu überwachenden Geräts andere Regeln zu verwenden. So können beispielsweise innerhalb des Unternehmensnetzes andere Richtlinien gelten als außerhalb. Administratoren können einzelnen Anwendern auch Ports freischalten, die normalerweise gesperrt sind.

Sicherheitszonen

Mit dem "Media Authorizer" können Administratoren anwenderspezifische Rechte für mobile Medien definieren. Dabei werden alle kontrollierten Geräte verschlüsselt. Nur berechtigte Anwender erhalten den Schlüssel. Sanctuary Device Control ist ab 45 Dollar pro Einzellizenz zu haben.

Mit Kryptografie geht auch das deutsche Unternehmen Tetraguard an das USB-Problem heran. Das Produkt "Tetraguard USB" versucht jedoch nicht, den Zugriff zu regeln, sondern packt das Übel über die zu schützenden Inhalte an. Die Lösung erfordert das Installieren einer zentralen Komponente auf einem Server. Von dort verteilt die Software laut Hersteller ohne weiteres Zutun der Anwender eine Client-Komponente auf die jeweiligen PCs. Daraufhin fasst das Tool die Rechner zu Sicherheitszonen zusammen.

Automatische Verschlüsselung

Innerhalb dieser Bereiche werden Daten beim Kopieren auf mobile Speichermedien automatisch und ohne Eingriff des Anwenders verschlüsselt. Zieht er den Speicherstift ab und geht damit zu einem anderen Rechner im selben Netz, entschlüsselt die Komponenten die Daten wieder. Solange die USB-Sticks nur innerhalb der Sicherheitszone benutzt werden, bekommt der Mitarbeiter davon überhaupt nichts mit, die mobilen Speicher lassen sich uneingeschränkt nutzen.

Wird der USB-Stift allerdings an einem Rechner außerhalb des gesicherten Bereichs angeschlossen, sind die Daten nicht lesbar. Erst ein spezieller Berechtigungsschlüssel kann sie aufsperren. Zusätzlich ist möglich, das Ausführen von Software über "fremde" mobile Speichermedien zu verhindern. So soll sich das Einschleusen von schädlichen Programmen verhindern lassen. Tetraguard funktioniert mit Windows NT, 2000 oder XP.