Suchen

Schluss mit Datenklau per Plug&Play Gerätekontrolle über die Plug&Play-Schnittstelle helfen beim Schutz von Unternehmensdaten

| Autor / Redakteur: Ansgar Heinen, Sicherheitsexperte bei Utimaco / Achim Karpf

USB, Firewire, Bluetooth - wer liebt sie nicht, die unkomplizierte Art, Peripheriegeräte wie Drucker oder Scanner an PCs und Notebooks anzuschließen. Wo noch vor wenigen Jahren Treiber manuell installiert werden mussten, damit die Endgeräte mit dem Server interagieren, reicht heute das pure Verbinden.

Firmen zum Thema

Gefahren gehen von Plug&Play-Speichermedien aus.
Gefahren gehen von Plug&Play-Speichermedien aus.
( Archiv: Vogel Business Media )

Der Nutznießer dieses Komforts ist zweifellos der Anwender, doch den Sicherheitsverantwortlichen oder den Systemadministratoren im Unternehmen erwachsen dadurch Sicherheitsprobleme, die mit herkömmlichen Mitteln nicht lösbar sind.

Zugriff außer Rand und Band

Schuld daran ist die wachsende Zahl an Wechseldatenträgern, wie Memory-Sticks, externen Festplatten oder MP3-Playern. Mit ihnen lassen sich über die Schnittstellen enzyklopädie-große Datenmengen schnell ins Unternehmensnetz einspielen oder daraus exportieren. Der Administrator bekommt davon nichts mit, denn die Betriebssysteme bieten keinerlei Möglichkeiten, die Schnittstellen zu kontrollieren.

Besonders kritisch ist, dass mit den nicht einmal feuerzeug-großen Sticks sensible Informationen nach außen gelangen oder schädliche Dateien in das Unternehmensnetz eingespielt werden können. Wird unbemerkt ein USB-WLAN-Adapter angeschlossen, kann sogar unter Umständen der Netzverkehr von außen abgehört werden.

Dementsprechend nutzen dem Unternehmen alle Sicherheitsvorkehrungen wie Sicherheits-Richtlinien, Firewalls, Virenschutz oder Intrusion Prevention nichts, wenn nicht die internen Einfalltore vor Datenklau oder Systemmanipulation geschützt sind.

Plug&Play unter Kontrolle

Worauf es bei der Absicherung des unternehmensweiten Plug&Play ankommt, sind Sicherheitsregeln auf Basis der Geräteart. Systemadministratoren können sich dabei von Sicherheits-Modulen helfen lassen, mit denen an zentraler Stelle definiert werden kann, welche Benutzer oder Benutzergruppen welche Plug&Play-Geräte einsetzen können. Gewöhnlich teilt das Unternehmen den Mitarbeitern, die von Berufs wegen einen externen Datenspeicher brauchen, ein bestimmtes Gerät zu, das vom System freigeschaltet wird. Die Registrierung der erlaubten Geräte erfolgt entweder zentral oder direkt am Benutzerarbeitsplatz über Remote-Zugriff.

Die zentrale Verwaltung über Microsoft Management Console (MMC) ist vollständig in das Active Directory von Windows integriert. Die Einstellungen können entweder direkt im Active Directory von Microsoft oder im Novell NDS zentral gesetzt und verwaltet werden. Durch die Integration in Standardmechanismen von Windows ist weder ein zusätzlicher Server noch Training der Administratoren oder Benutzer erforderlich. Alle bisher getroffenen Einstellungen beziehungsweise Gruppenrichtlinien bleiben wirksam, definierte Benutzergruppen und die aktuelle Domain-Architektur werden in die Verwaltung automatisch miteinbezogen.

Daten im Zaum

Festzulegen, welcher Mitarbeiter welches Speichermedium nutzen darf, ist eine Sache - aktiver Schutz sensibler Daten eine ganz andere. Per „Enforced Drive Mapping“ kann der Administrator genau regeln, welche Art von Daten von welchem Gerät gelesen beziehungsweise auf dieses exportiert werden dürfen. Dabei bekommt das erlaubte Gerät nur jenen Pfad und die Daten zugewiesen, die vom Administrator vorher festgelegt wurden. Auf diese Weise kann wirkungsvoll verhindert werden, dass Spiele, Schadprogramme - wie Viren, Würmer oder Trojaner - oder nicht lizenzierte Software über das Speichermedium in das Unternehmen eingeschleust werden oder beispielsweise eine gesamte Kundendatenbank unbemerkt nach draußen gelangt.

Fallstricke für die Unternehmenssicherheit werden auch dadurch gekappt, dass Geräte, die für einen bestimmten Benutzer verboten sind, erst gar nicht im Betriebssystem der jeweiligen Arbeitsstation angezeigt werden - selbst wenn sie gerade mit dem Rechner verbunden sind.

Informationen mit sieben Siegeln

Um als CSO sicherzugehen, dass Informationen, die auf einem Plug&Play-Gerät gespeichert sind, das Unternehmen nicht verlassen können, bietet sich eine transparente Verschlüsselung an. Da diese mit einem Firmen- oder Benutzerschlüssel zentral festgelegt wird, sind die Daten innerhalb des Unternehmens überall nutzbar. Sobald die Daten in einem unternehmensfremden System abgerufen werden sollen, sind sie durch die Verschlüsselung nicht einseh- oder lesbar.

Vorsicht bei PDAs

Soll der Einsatz von PDAs im Unternehmen erlaubt sein, müssen noch schärfere Sicherheits-Geschütze aufgefahren werden. Denn mit ihnen können über eine lokale Verbindung mit der Arbeitsstation des Benutzers nicht nur Daten analog zu Speicherkarten ausgetauscht, sondern sogar Netzwerkverbindungen ins Firmennetz aufgebaut werden. Dies ist besonders problematisch, wenn ein Firmengerät geklaut wird oder verloren geht.

Ein praktikabler Kompromiss wäre es, firmeneigene PDAs zwar grundsätzlich zu integrieren, aber gleichzeitig das Firmennetzwerk vor firmenfremden PDAs zu schützen. Spezielle Sicherheitsmodule für das Unternehmensnetz ermöglichen, firmeneigene PDAs zu markieren und nur diesen den Zugang über eine ActiveSync-Verbindung zu erlauben. Gleichzeitig sichern sie die PDAs auch gegen unbefugten Zugriff mittels starker Authentisierung und Verschlüsselung.

Hat der Sicherheitsbeauftragte auch diese kleinen Daten-Schlupflöcher im Blick, können bisher getroffene Sicherheitsmaßnahmen von unachtsamen oder hinterlistigen Mitarbeitern nicht mehr umgangen und Sicherheits-Richtlinien nicht ad absurdum geführt werden.

(ID:2001104)