Von Dr. Ronald Wiltscheck
Gerade mal 112 feste Mitarbeiter beschäftigt der Privatsender Vox. Viele freie Redakteure arbeiten auch auswärts und bringen ihre Beiträge oft per USB-Stick zur Sendezentrale nach Köln mit. Damit auf diesem Weg keine Viren ins LAN eingeschleppt werden, wollte die IT-Abteilung auch diesen Zugriff absichern.
Bei der Entscheidung für eine zentrale Kontrolle dieser Zugänge hat Vox zunächst eine Reihe von Testinstallationen geprüft. Dabei unterstützte Head Technology den Sender tatkräftig. In die engere Auswahl kamen dabei Lösungen von Utimaco und Devicelock, die Software Devicewatch und Drivelock sowie das Sicherheitspaket "Sanctuary Device Control" von SecureWave.
Serverkomponente allein reicht nicht
Letztendlich entschied sich der Kunde für die letztgenannte Lösung, weil sie eben all die gewünschten Anforderungen erfüllte. "Für SecureWave ausschlaggebend war die Tatsache, dass die Lösung auch mit einer Client-Komponente arbeitet", erinnert sich Marc André, Geschäftsführer der Head Technology GmbH, an den Evaluierungsprozess. Dieser nahm auch nur etwa zehn Tage in Anspruch, die Sanctury-Device-Control-Lösung erwies sich rasch als die einzig ernst zu nehmende Alternative zum völligen Nutzungsverbot von USB-Geräten.
In der Tat, einige der Wettbewerbsprodukte arbeiten nur mit einem Serverbaustein. Das mag zwar den Installationsprozess vereinfachen und beschleunigen, führt aber das ganze Sicherheitsprozedere ad absurdum. Denn ein gewiefter User muss nun lediglich seinen Ethernet-Stecker ziehen und damit die Netzwerkverbindung kappen, und schon erhält er auf diese Weise unbeschränkten Zugang auf all seine USB-Ressourcen.
Die Client-Software von SecureWave erscheint dabei nicht in der Taskleiste am Desktop und kann somit nicht so ohne weiteres deaktiviert werden. Denn die Anforderung an den Rechner, Daten von einem USB-Gerät downzu-loaden oder auf ein solches zu laden, wird von der Software bereits auf der Kernel-Ebene abgefangen. Dabei arbeitet Sanctuary Device Control nach dem so genannten White-List-Verfahren. Das heißt, der Benutzer darf dediziert nur diejenigen Ressourcen seines Rechners nutzen, die ihm der Systemadministrator explizit freigegeben hat. Alle anderen Geräte sind für ihn tabu.
Sogar ein zeitlich begrenzter Zugriff auf Ein- oder Ausgabegeräte ist so denkbar, etwa: "Du darfst die Daten von deinem USB-Stick heute zwischen 10.30 und 11.00 Uhr lesen, aber nichts draufschreiben." Genau dies geschieht nun bei Vox: Das Ganze ist zentral geregelt, und der Systemadministrator vergibt die Lese- und/oder Schreibrechte über USB relativ restriktiv. Er kann auf einzelne Nutzer und Anwendungen herunter spezifizieren, wer was wann darf.
Anpassungen kaum nötig
Die eigentliche Installation der SecureWave-Software bei Vox war an einem Tag erledigt. Der Implementierungspartner Head Technology musste nicht einmal selbst vor Ort sein, der gesamte Installations- und Konfigurations-Suppport ließ sich telefonisch erledigen. Somit stellte der Dienstleister dem Kunden auch keine Kosten für diese Arbeit in Rechnung und wickelte das Ganze über die Marge beim Lizenzverkauf ab. Der Listenpreis für Sanctuary Device Control beträgt derzeit etwa 45 Euro pro Arbeitsplatz beim Kauf von 250 Client-Lizenzen. Vox hat diese Software auf 170 Workstations und vier Notebooks installiert.
Verbindliche Sicherheitsrichtlinien
Noch wichtiger als die Auswahl der richtigen Lösung erscheint André, dem Geschäftsführer von Head Technology, die Notwendigkeit, eine unternehmensweite Sicherheitsrichtlinie zu erstellen. "Denn was nützt einem die tollste Software, wenn der Systemadministrator nicht genau weiß, was bestimmte User dürfen und was nicht?", argumentiert André. Das war bei Vox schon alles vorher geregelt worden, sodass Sanctuary Device Control als das passende Werkzeug zur Umsetzung und Aufrechterhaltung der Security Policies eingesetzt werden konnte.
Dennoch, im täglichen Betrieb tauchen immer wieder Probleme auf. "Viele Hersteller liefern zu ihren Geräten mangelhafte Treiber mit", so André. Nach Ansicht des Geschäftsführers sind einige dieser Treiber so stümperhaft programmiert, dass sie vom Betriebssystem nicht erkannt werden und mit Hilfe des Gerätemanagers nicht gepflegt werden können. Bis also Vox in seinem gesamten Netzwerk die Software von SecureWave produktiv einsetzen konnte, vergingen doch sechs Wochen.
Novell-eDirectory- Integration im Sommer
Für ein weit größeres Problem hält André das Festhalten einiger Security-Hersteller an der Infrastruktursoftware von Microsoft: "Einige Kunden wollen eben nicht mit Active Directory arbeiten", so der Head-Technology-Geschäftsführer. Doch viele der erwähnten Produkte zur Kontrolle der Peripheriegeräte setzen genau dies voraus. Bei der Lösung von SecureWave war dies nicht der Fall. Natürlich kann sie dennoch mit dem Microsoft’schen Verzeichnisdienst verknüpft werden, wenn dies erwünscht ist. Aber ab Sommer 2005 soll auch die Novell’sche Alternative "eDirectory" mit dem Sanctuary Device Control zusammenarbeiten können.
Das Verknüpfen von unternehmensweiten Verzeichnisdiensten mit der Device-Kontroll-Software macht schon Sinn, denn in Ersteren sollten eigentlich auch die IT-Nutzungsrechte eines jeden Mitarbeiters detailliert festgelegt sein. Daraus wiederum ließe sich sehr leicht die allgemein gültige Sicherheitsrichtlinie herleiten.
Derzeitige Situation
Vox ist nun in der Lage, sämtliche Endgeräte, unabhängig davon, an welchem Interface diese betrieben werden, selektiv bis auf die User-Ebene freizugeben und einzelne Anwender zusätzlich mit Lese- und/oder Schreibrechten zu versehen. Zudem können die Daten auf externen Datenträgern verschlüsselt werden. Allerdings wird diese Option von Vox derzeit noch nicht in Anspruch genommen, auch wenn damit ein gewisser Schutz vor dem Zugriff Dritter auf Daten bei Verlust von USB-Sticks gegeben wäre. Gleichzeitig hat Head Technology mit Vox ein renommiertes Medienunternehmen als Referenzkunden gewonnen und hofft nun auch in dieser Branche auf weitere Aufträge.