Es ist keine leichte Aufgabe, Computersysteme oder gar ganze Netzwerke gegen Hacker-Angriffe, Viren oder andere Security-Bedrohungen abzusichern. Dabei wird jeder IT-Verantwortliche und Administrator bestätigen, dass es ebenso offensichtlich keine absolute Sicherheit geben kann. So werden die Systeme und das Firmennetzwerk nicht nur mit Antivirus-Programmen und Firewalls ausgerüstet. Vielmehr sind aufwändige Maßnahmen zur Authentifizierung der Anwender ebenso gefragt wie Lösungen, die Eindringlinge schnell finden (IDS - Intrusion Detection) oder den unerlaubten Abfluss der Daten verhindern (DLP - Data Loss Prevention).
Daten "verschwinden" an den Endpunkten
Vielfach wird dabei gerade in kleineren Firmen eine Lücke übersehen, deren Gefahren sich auch durch den rasanten Fortschritt bei den Consumer-Geräten deutlich gesteigert haben: Die Peripheriegeräte an den einzelnen PCs und dabei ganz besonders die Geräte, die über USB-Anschlüsse mit dem PC verbunden werden. Waren es zu Zeiten der 3,5-Zoll-Diskette noch maximal 1,4 Megabyte an Daten, die ein Anwender auf einem Datenträger mit sich führen konnte, so sind es heute USB-Sticks mit mehreren Gigabyte Speicherplatz oder gar portable Festplatten, die schon mal zwei Terabyte an Daten fassen können. Die USB-Anschlüsse haben sich zur universellen Schnittstelle entwickelt, an die Memory-Sticks und Consumer-Geräte wie Smartphones, Kameras und MP3-Player angeschlossen werden können, die ebenfalls Speicherkapazität im zweistelligen Gigabyte-Bereich zur Verfügung stellen - so kann dann schnell die komplette Kundendatenbank "auf Reisen" gehen.
- Altbewährte Methode, die aber Risiken birgt und sich nicht fein regulieren lässt
Schon unter XP konnte durch einen Eingriff in die Windows-Registrierungsdatenbank der Zugriff auf USB-Massenspeicher verhindert werden. - Bessere Methode
Wer nur neue Betriebssystem ab Windows Vista in seinem Netzwerk einsetzt, kann mittels entsprechender Gruppenrichtlinien den Zugriff auf Wechselmedien regeln. - Durch die Gruppenrichtlinien kann sogar jeglicher Zugriff auf jede Art von Wechselmedien wirksam unterbunden werden ...
... allerdings ist dann auch keine granulare Regelung mehr machbar. - Der Zugriff auf „erweiterte Speichergeräte“
Kommen Endgeräte zum Einsatz, die eine Authentifizierung nach dem Protokoll IEEE 1667 erlauben, so kann mit Hilfe eines aktuellen Windows-Servers eine genaue Kontrolle dieser Geräte durchgeführt werden. - Die DriveLock-Lösung
Wie die meisten Anwendungen dieser Kategorie erlaubt sie sowohl eine Suche der Systeme im Netz via Active Directory als auch über einen Bereich von IP-Adressen. - Nach dem Durchlauf des Scans
Der Systemverwalter sieht auf einem Blick, welche Systeme im Netz mit externen Laufwerken verbunden sind. - Kann die Scan-Software die Informationen der externen Geräte direkt auslesen, ...
... bekommt der Systembetreuer bereits umfangreiche Informationen an die Hand. - GFI EndPointSecurity
Alle von uns vorgestellten Anwendungen verwenden eine Datenbank (häufig den SQL-Server von Microsoft), um die gefundenen Informationen zur Verfügung zu stellen. Diese muss bei der Installation mit eingerichtet werden. - Automatische Erkennung
Für einen ersten Scann der Systeme ist es in der Regel einfacher, auf die automatische Erkennung der Lösungen zu setzen. Bei diesem Produkt kann der Administrator auch gleich entscheiden, dass die Agenten mit ausgerollt werden. - Das Ausrollen der Agenten kann aber auch im nächsten Schritt erfolgen
So kann der Systembetreuer entscheiden, welche der Systeme im Netz mit dieser Überwachung bestückt werden sollen. - Der „Auditor“ der Safend-Lösung
Auch diese Komponente (die zum freien Download bereit steht) prüft zunächst einmal nur die im Netz vorhandenen Systeme darauf, ob sie mit externen Geräten verbunden sind. - Der Report des Auditors
Diese als HTML-Datei erstellte Übersicht ist sehr umfangreich und zeigt genau, wann welches Gerät mit einem PC verbunden war und welche Geräte aktuell im Betrieb sind. - Feinere Unterscheidung
Der Auditor der Safend-Lösung ermöglicht es, schon bei der Suche zu entscheiden, welche Art von Geräte er beachten soll – so kann eine Suche in einem großen Netz deutlich verkürzt werden. - Die freie Alternative
Die Software USBDeview von Nirsoft ist klein und handlich, stellt dem Anwender dabei aber sehr umfangreiche Informationen zur Verfügung. - Auch bei der Freeware kann ein Systembetreuer direkt aktiv werden
So steht ihm die Möglichkeit zur Verfügung, Geräte auszuwählen und direkt vom Computer zu trennen. - Tiefer Einblick
Selbst die Leistung eines externen Geräts wird hier angezeigt – hilfreich bei einer Fehlersuche, wenn beispielsweise ein USB-Gerät außerhalb der Spezifikation zu viel Strom aus der Schnittstelle zieht. - Für weitere Konfigurationen geeignet
Mit Hilfe dieser Funktionalität können die Geräte so konfiguriert werden, dass beim An- beziehungsweise Abkoppeln bestimmte Befehle direkt ausgeführt werden. - Der Report der Freeware-Lösung
Alle gefundenen Geräte und ihre Daten werden in einer HTML-Datei abgelegt. - Unter den vielen Daten, die von USBDeview ausgelesen werden, finden sich wie hier gezeigt auch Hinweise auf den Hersteller des Geräts.
Das kann in einigen Fällen zu genaueren Identifizierung eines vormals angeschlossenen Endgeräts dienen.
Dabei braucht nicht einmal böse Absicht hinter dem "Abwandern" der Daten zu stecken - immer häufiger warnen Sicherheitsexperten vor den Gefahren, die von verlorenen USB-Sticks oder portablen Geräten ausgehen, auf denen sich vertrauliche Daten befinden. Viele Firmen führen deshalb Richtlinien ein, die ein Speichern der Daten auf externen Geräten nur dann erlauben, wenn diese darauf entsprechend verschlüsselt abgelegt werden. Anwender und Firmen, die ausschließlich mit neuen Betriebssystemen wie Windows 7 arbeiten, können hierzu die integrierte Bitlocker-Funktionalität des Betriebssystems nutzen, die eine transparente Verschlüsselung der Daten auch auf USB-Geräten erlaubt. Doch was, wenn noch Windows-XP-Systeme oder gar noch ältere Rechner im Einsatz sind?