Ratgeber Security und DLP

USB - die tragbare Gefahr

10.10.2012
Von  und
Thomas Bär, der seit Ende der neunziger Jahre in der IT tätig ist, bringt weit reichende Erfahrungen bei der Einführung und Umsetzung von IT-Prozessen im Gesundheitswesen mit. Dieses in der Praxis gewonnene Wissen hat er seit Anfang 2000 in zahlreichen Publikationen als Fachjournalist in einer großen Zahl von Artikeln umgesetzt. Er lebt und arbeitet in Günzburg.
Frank-Michael Schlede arbeitet seit den achtziger Jahren in der IT und ist seit 1990 als Trainer und Fachjournalist tätig. Nach unterschiedlichen Tätigkeiten als Redakteur und Chefredakteur in verschiedenen Verlagen arbeitet er seit Ende 2009 als freier IT-Journalist für verschiedene Online- und Print-Publikationen. Er lebt und arbeitet in Pfaffenhofen an der Ilm.

Tipp 2: Software für Endpoint Security

Allerdings können diese Ansätze ein System nicht besonders gut vor bisher unbekannten Geräten schützen. Zudem erlauben sie es einem Systemverwalter kaum oder nur sehr unzureichend, bestimmte einzelne Geräte (wie beispielsweise den iPod des Geschäftsführers an seinem Rechner) zuzulassen oder explizit zu sperren. Weiterhin erfordern diese Möglichkeiten sehr genaue Systemkenntnisse und einen nicht unerheblichen Aufwand vom Administrator.

Auch deshalb haben sich eine ganze Reihe von Sicherheitsfirmen das Thema Endpoint-Security und damit unter anderem auch die Sicherung und Überwachung von USB-Geräten auf die Fahne geschrieben und bieten entsprechende Lösungen an. Das Spektrum reicht dabei von einfachen Werkzeugen zur Überprüfung der angeschlossenen USB-Endgeräte bis hin zu kompletten Sicherheitssuiten, die es auch unter Einbeziehung eines bestehenden Verzeichnisdienstes erlauben, die benötigten Richtlinien im Firmennetz auszurollen. Wir haben in einer Übersicht fünf Firmen aufgelistet, die derartige Lösungen anbieten. Diese Liste ist auf keinen Fall vollständig und stellt auch keine Wertung dar, die hier vorgestellten Programme stehen exemplarisch für die Vielzahl an Lösungen, die der Mark zu bieten hat.

Alle von uns betrachteten Lösungen verwenden sogenannte Agenten. Dabei handelt es sich um eigenständige, ausführbare Programme, die in den meisten Fällen als Windows-Dienst auf den zu überwachenden Systemen installiert werden. Typischerweise kann ein Systemverwalter mit ihrer Hilfe die zuvor in der Lösung erstellten Richtlinien auf den PCs durchsetzen. Alle Lösungen können dabei White- oder Blacklists einsetzen. Das sind Listen mit Endgeräten, deren Einsatz an den PCs erlaubt oder verboten ist. Hier zeigt die Praxiserfahrung, dass in den meisten Fällen der Einsatz von Whitelists, die alle erlaubten Geräte auflisten und alle anderen grundsätzlich blockieren, sinnvoller ist: Die Verwendung einer Blacklist, die nur die auf der Liste befindlichen Geräte sperrt, schützt kaum vor unbekannten Endgeräten. Wichtig ist hierbei auch, dass der Anwender keine Möglichkeit besitzen darf, diesen Agenten in irgendeiner Weise zu manipulieren oder gar mittels seiner Zugriffsrechte auf seinem PC einfach zu entfernen.

Einer der Hersteller, die wir für diesen Bericht in unsere Recherche mit einbezogen haben, setzt deshalb auch auf ein grundsätzliches Whitelisting-Konzept für die gesamte IT, um so eine größere Sicherheit zu erreichten. Die Firma Lumension stellt entsprechende Informationen zu diesem Konzept auf ihrer Webseite bereit.