Externe Geräte zentral kontrollieren und verschlüsseln

Windows bringt zur Absicherung von USB-Geräten zwar einige Bordmittel mit, die aber für ein differenziertes Management nicht ausreichen oder nur für bestimmte Version beziehungsweise Editionen des Betriebssystems verfügbar sind. So lassen sich beispielsweise USB-Geräte über Gruppenrichtlinien zwar relativ einfach blockieren, aber diese Technik eignet sich nicht, um beispielsweise Regeln umzusetzen, wonach ausgewählte User ein USB-Device mit einer bestimmten Seriennummer zu festgelegten Zeiten verwenden dürfen. Auch die Verschlüsselung von externen Speichermedien mit Bitlocker To Go unterliegt Einschränkungen. So fehlt dem Feature bisher ein zentrales Management.

Aufgrund der unzureichenden Ausstattung von Windows für ein ausgefeiltes Device-Management hat sich für diesen Bereich ein eigener Markt gebildet, in dem Hersteller umfassende Lösungen für Endpoint Security und Device Control anbieten. Zu den Anbietern einer solchen Software zählt auch die in Ettlingen ansässige cynapspro GmbH. Ihr Produkt umfasst unter anderem Module für das Whitelisting von Applikationen (ApplicationPro), das sichere Löschen von Dateien (ErasePro) oder das Power Management (PowerPro). Der Verwaltung und Kontrolle von Peripheriegeräten dienen die Komponenten DevicePro und CryptionPro.

Wizard
Durch die ersten Schritte nach der Installation führt ein Wizard, nach dessen Durchlauf die Basiskonfiguration erstellt ist.

Standardrechte
Alle aus dem Active Directory importierten User erhalten die zuvor festgelegten Standardrechte, sofern sie nicht die Einstellungen ihrer Gruppen erben.

Client-MSI erzeugen
Um die zentral definierten Zugriffsrechte durchsetzen zu können, muss auf jedem Client ein Agent installiert werden.

Server-Management
Die Server-Komponente lässt sich auf mehreren Maschinen installieren, um die Ausfallsicherheit zu erhöhen.

Rechte für Gerätetypen
Mit DevicePro lassen sich Zugriffsrechte für alle erdenklichen externen Geräte durchsetzen.

Gerätefreigabe
Bei Bedarf lassen sich bestimmte Geräte freischalten, auch wenn andere Regeln diesen Device-Typ oder den Port, an den sie angeschlossen sind, sperren.

Ports
Regeln, die auf Ports wie USB oder Firewire angewandt werden, sind stärker als solche, die für bestimmte Gerätetypen gelten.

Bereichs-Admin
Die Verwaltung aller cynapspro-Module lässt sich auf Basis eines Rollenkonzepts an mehrere Administratoren delegieren.

USB Stick verschlüsseln
Wenn der Administrator einem Benutzer mehrere Verschlüsselungsmethoden zuweist, dann kann dieser über den Agent auswählen, welche er anwenden möchte.

Verschlüsselte Dateien
CryptionPro verschlüsselt ähnlich wie das Encrypting File System von Windows auf Dateiebene.

Verschlüsselungsoptionen pro Benutzer
Die in der Basiskonfiguration von CryptionPro gewählten Methoden können selektiv einzelnen Benutzern oder Gruppen zugewiesen werden.

Master-Key
Der Master-Key kann alle Dateien entschlüsseln, egal mit welchem Verfahren sie codiert wurden.

EncryptionPro-Key erstellen
Die Bedienerführung der Software leidet unter fehlerhaften oder schwer verständlichen Dialogen.

Installation

Die Installation der cynapspro-Suite setzt eine Datenbank voraus. Die Software akzeptiert alle Versionen von SQL Server, einschließlich des kostenlosen SQL Server Express oder MySQL. Als nächstes wird die Server-Komponente als Windows-Dienst installiert. Sie stellt relativ geringe Ressourcenanforderungen und benötigt daher zumindest bei kleineren oder mittleren Installationen keine dedizierte Hardware. Der Server kann für eine höhere Ausfallsicherheit auf mehreren Maschinen parallel installiert werden.

Bei der Installation auf dem ersten Server wird die Administrationsoberfläche ebenfalls mit eingerichtet. Sie dient der Verwaltung sämtlicher Module und umfasst auch die Konfigurationsmöglichkeiten für jene Komponenten der Suite, die man nicht nutzt beziehungsweise nicht erworben hat. Die Konsole ist in einer einzigen .exe-Datei gekapselt, so dass die Anwendung portabel ist und auf jedem Windows-PC ohne Installation gestartet werden kann, um die benötigten Server zu verwalten.

Vergabe von Standardrechten

Nach der Installation von Datenbank, Server-Komponente und Management-Konsole kennt das System noch keine Benutzer. Dennoch steht als nächster Schritt die Vergabe der Standardrechte auf der Tagesordnung. Diese Reihenfolge gibt übrigens auch der Assistent vor, der beim ersten Aufruf der Konsole startet. Durch diese Vorabdefinition der Standardrechte kann man dafür sorgen, dass bei der späteren Synchronisierung mit einem Verzeichnisdienst alle importierten Benutzer ihre Rechte automatisch auf Basis von sinnvollen Vorgaben erhalten.

Die Festlegung der Standardrechte besteht typischerweise darin, Benutzern für alle in Frage kommenden Gerätetypen entweder sämtliche Rechte, nur lesenden oder gar keinen Zugriff zu gewähren. DevicePro bietet in der entsprechenden Übersicht praktisch alle gängigen Geräteklassen an, von Laufwerken über Kameras, TV-Tuner und Modems bis zu Bluetooth und WLAN-Adaptern. Was sich damit nicht erfassen lässt, kann als "unbekannt" gebannt werden.

Folgt man den vom Assistenten vorgegebenen Schritten zur Einrichtung der Software, dann ist nun der Import von Benutzern und Gruppen aus einem Verzeichnisdienst an der Reihe. Unterstützt werden Active Directory, Novell eDirectory sowie Open LDAP. Die Synchronisierung erfolgt immer nur in eine Richtung, nämlich vom Verzeichnis zu DevicePro, so dass keine schreibenden Zugriffe auf das Directory stattfinden. Um die Liste der Benutzer auf dem neusten Stand zu halten, empfiehlt sich ein zeitgesteuerter Import.

Durchsetzung der Beschränkungen mit Agents

Die Installation der Datenbank, der Server-Komponente sowie der Admin-Konsole richtet das Backend von DevicePro ein. Damit ist die Infrastruktur jedoch nicht vollständig. Ein Agent ist auf jedem Client nötig, der dort die zentral definierten Richtlinien durchsetzt. Dieser ist als Kerneltreiber ausgelegt, so dass selbst lokale Administratoren ihn nicht umgehen können, auch nicht im abgesicherten Modus. Diese Implementierung hat zudem den Vorteil, dass sich die Vorgaben in Echtzeit anwenden lassen.

Die Client-Komponente wird aus der Administrationsoberfläche erzeugt, wobei dafür mehrere Konfigurationen zur Auswahl stehen. So muss man sich dort entscheiden, ob man den Treiber zur Kontrolle von WLAN-Adaptern mitinstallieren möchte, ob der Agent als Symbol im Infobereich sichtbar ist oder ob die Rechte für bestimmte Benutzer gleich in die Datei geschrieben werden sollen, damit sich die Policies auch auf Rechnern ohne Netzzugang sofort umsetzen lassen.

Nach der Auswahl der gewünschten Optionen generiert DevicePro ein MSI-Paket, das über die im Unternehmen vorhandenen Tools zur Software-Distribution verteilt werden kann. Die Software ist nach der Erstinstallation in der Lage, Client-Updates selbst einzuspielen, beispielsweise wenn man sich für eine alternative Konfiguration entschieden hat.

Granulares Rechte-Management für Geräte

Grundsätzlich kann man nun den Agent auf allen PCs installieren, nachdem man die Standardrechte für die Nutzung von Peripheriegeräten definiert und die User aus dem Verzeichnisdienst importiert hat. Tatsächlich liefert diese Basiskonfiguration bereits einen grundlegenden Schutz gegen den Missbrauch von Geräten für den Datendiebstahl und dürfte damit die Ansprüche einiger Kunden erfüllen.

In der Praxis besteht jedoch nun, da die Benutzer eingerichtet sind, die Möglichkeit, Nutzungsrechte auf Abteilungen oder einzelne Mitarbeiter zuzuschneiden. Je nachdem wie viele Sonderregelungen und Ausnahmen definiert wurden, handelt es sich dabei um den schwierigsten Aspekt des Device-Managements. Das liegt vor allem daran, dass DevicePro eine Vielzahl von Mechanismen und Optionen bietet, die sich bei der Kalkulation der effektiven Rechte gegenseitig beeinflussen.

So lässt sich nicht nur der Zugriff für alle Gerätetypen regulieren, sondern man kann auch Rechte auf Ports vergeben, also auf USB-, Firewire-, parallele oder serielle Anschlüsse sowie auf PCMCIA. Zusätzlich sieht DevicePro noch vor, dass individuelle oder Gruppen von Geräten, bestimmte CDs/DVDs (Medien, nicht Laufwerke) oder WLANs anhand ihrer SSID freigeschaltet werden. Damit ließe sich beispielsweise bestimmen, dass ausgewählte Mitarbeiter auf USB-Sticks mit einer vorgegebenen Seriennummer schreiben. Diese Gerätefreigaben wiederum überlagern alle anderen Rechte, sie setzen sich auch dann durch, wenn etwa alle Ports komplett gesperrt wurden.

Diese Beispiele zeigen, dass DevicePro vielfältige Kombinationen aus verschiedenen Einstellungen zulässt, um je nach Wunsch die Zugriffsrechte auf bestimmte Gerätetypen zu regeln. Dabei sind noch gar nicht die Möglichkeiten berücksichtigt, die daraus entstehen, dass sich die Vererbung von Gruppenrechten an einzelne Benutzer pauschal oder nur für einzelne Gerätetypen aktivieren oder abschalten lässt.

Aufgrund dieser vielen verschiedenen Wege zu abgesicherten Geräten empfiehlt es sich unbedingt, die geschäftlichen Anforderungen vorab zu klären. Die Software präsentiert sich nämlich als mächtiger Werkzeugkasten, der dem Anwender keine Richtung vorgibt und ihn auch nicht anhand von Best Practices leitet. Wer sich also an den technischen Fähigkeiten von DevicePro orientiert und darauf schaut, wie er den Funktionsumfang vollständig ausschöpft, wählt den falschen Ansatz.

Wenn man beispielsweise einen restriktiven Kurs fahren und sämtliche externen Devices bannen möchte, könnte man alle Ports sperren und spezifische Geräte über die Hardware-IDs oder ähnliche Merkmale freischalten. Wenig sinnvoll scheint es dagegen, Beschränkungen für Ports mit solchen für Gerätetypen und zahlreichen Gerätefreigaben zu kombinieren und womöglich noch ausgiebig Rechte an einzelne Rechner oder Benutzer zu vergeben.

Ergänzende Features für spezifische Anforderungen

Während die beschriebenen Mechanismen eine ganze Reihe von Möglichkeiten eröffnen, den Zugriff auf Peripheriegeräte zu regeln, benötigt eine Software für Endpoint Security noch weitere Funktionen, um einige spezielle Nutzungsszenarien abzudecken:

• Wenn Benutzer keine Verbindung zum Unternehmensnetzwerk und damit zum DevicePro-Server haben und Zugriff auf bestimmte Geräte benötigen, kann sie der Administrator über ein Challenge-Response-Verfahren freischalten. Nach Erhalt des Anfragecodes legt er die Rechte und den Zeitraum für die Freigabe fest und erzeugt einen entsprechenden Freischaltungscode, den der User über den Agent eingibt.

• Noch feiner abgestufte Berechtigungen werden dadurch geschaffen, dass DevicePro nicht nur auf der Ebene der Geräte operiert, sondern dort auch bestimmte Daten zulassen oder blockieren kann. Dafür ist ein Content-Filter zuständig, der Dateien anhand ihrer Namenserweiterung und ihres Headers inspiziert. Der Filter lässt sich entweder für Whitelisting oder Blacklisting einsetzen, so dass nur die spezifizierten Dateitypen zugelassen oder blockiert werden. Er lässt sich auf das Lesen, Schreiben und Kopieren von Dateien anwenden und wie praktisch alle anderen Rechte für sämtliche oder ausgewählte Benutzer festlegen.

• Wenn man DevicePro mit der Option Shadowcopy installiert hat, dann lassen sich alle User-Aktivitäten auf Peripheriegeräten ausführlich protokollieren. Darüber hinaus kann man sogar Kopien aller Daten, die etwa auf USB-Laufwerke geschrieben werden, auf dem Server speichern und auf verdächtige Aktivitäten untersuchen. Es liegt auf der Hand, dass es sich dabei um datenschutzrechtlich sensible Operationen handelt. Um dem Missbrauch durch einen Administrator vorzubeugen, kann der Zugriff auf das Protokoll über ein 4- oder 6-Augenprinzip gesichert werden.

• Angesichts der vielen Optionen und Einstellungen, die das Programm bietet, muss man gerade bei großen Installationen davon ausgehen, dass nicht nur ein Verwalter für das gesamte Rechtemanagement zuständig ist. DevicePro bietet daher ein rollenbasiertes Administrationsmodell, das die Delegierung einzelner Operationen an bestimmte Benutzer erlaubt. Denkbar ist in diesem Zusammenhang etwa, dass die Vergabe von ausgewählten Rechten an die Fachabteilungen übertragen wird.

Verschlüsselung von Daten mit CryptionPro

Die Verschlüsselung von Informationen auf mobilen Datenträgern ist ein wesentlicher Bestandteil eines jeden Device-Managements, wenn es Geräte nicht generell blockiert, sondern unter bestimmten Bedingungen auch freigibt. Sie gewährleistet, dass Daten bei Verlust oder Diebstahl eines Speichermediums nicht in die falschen Hände geraten. Voraussetzung für einen wirksamen Schutz ist jedoch ein über Richtlinien gesteuertes zentrales Management, das die Codierung der Daten automatisiert und nicht dem guten Willen des Benutzers überlässt. Diese Aufgabe übernimmt in der cynapspro-Suite das Modul CryptionPro.

Unter den Windows-Bordmitteln lässt sich das von ihm verwendete Verfahren am besten mit dem Encrypting File System (EFS) vergleichen, weil es im Unterschied zu Bitlocker nicht auf Laufwerks-, sondern auf Dateiebene verschlüsselt. CryptionPro unterstützt alle Windows-Versionen bis zurück zu 2000, in dieser alten Ausführung allerdings nur mit dem Algorithmus Triple DES, während sonst AES 256 zum Einsatz kommt.

Die Konfiguration von CryptionPro erfolgt über einen eigenen Button in der Navigationsleiste, die jener von Outlook nachempfunden ist. Eine wesentliche Grundeinstellung besteht in der Auswahl von Methoden, die verfügbar sein sollen. Die Software bietet hier die allgemeine, individuelle und Gruppen-Verschlüsselung. Hinzu kommt noch die Option, das unverschlüsselte Speichern von Dateien zu erlauben.

Verschlüsselung für die Firma, Gruppen oder Individuen

Allgemeine Verschlüsselung bedeutet, dass jeder Mitarbeiter einer Firma alle Dateien entschlüsseln kann, vorausgesetzt auf seinem Rechner läuft der cynapspro-Agent. Bei der Gruppenverschlüsselung dagegen können die Anwender nur jene Dateien decodieren, die von einem Mitglied der gleichen oder einer untergeordneten Benutzergruppe verschlüsselt wurden. Die Software sieht zu diesem Zweck die Einrichtung und Verwaltung eigener CryptionPro-Gruppen vor. Schließlich bleibt das Entschlüsseln von Dateien beim individuellen Modus jenem User vorbehalten, der sie auch verschlüsselt hat.

In der CryptionPro-Konfiguration legt man durch die Auswahl der genannten Methoden fest, welche von ihnen im Unternehmen verfügbar sein sollen. Allerdings heißt das nicht, dass alle dort aktivierten Varianten automatisch allen Benutzern zugänglich sind. Vielmehr erfolgt die Zuweisung von Verschlüsselungsvorgaben erst im Rahmen des Device-Managements, also dort, wo man zuvor über DevicePro Zugriffsrechte für Geräte an Benutzer oder Gruppen vergeben hat - und zwar an jene, die aus einem Verzeichnisdienst importiert wurden. Die für CryptionPro eingerichteten Gruppen tauchen hier nicht auf, sie haben keine Funktion beim Rechte-Management.

Integration mit dem Device-Management

Bei der Verschlüsselung gilt die gleiche Vererbungslehre wie bei der Regelung des Zugriffs auf Peripheriegeräte. Richtlinien und Verfahren lassen sich über den Standardbenutzer vorgeben. Sie greifen dann, wenn Gruppen oder Benutzer aus der Vererbung ausgenommen oder sie nicht individuell konfiguriert wurden. Bei aktiver Vererbung übernehmen Benutzer ihre Konfiguration von den Gruppen, denen sie angehören, wobei sie durch persönliche Einstellungen überschrieben werden kann.

Wie beim Device-Management lässt sich alleine über die Grundkonfiguration von CryptionPro relativ schnell ein wirksamer Schutz vor dem Missbrauch oder Diebstahl von Daten erreichen, wenn man pragmatisch vorgeht. Er deckt den Normalbetrieb ab, also typischerweise die Verschlüsselung auf Geräten, die unter der Kontrolle des Agents stehen. Allerdings gibt es außerhalb dieses Standardszenarios auch Situationen, die CryptionPro mit zusätzlichen Funktionen berücksichtigt:

• Wenn Dateien auf Rechnern entschlüsselt werden sollen, auf denen kein Agent läuft, beispielsweise weil sie nicht dem Unternehmen gehören, dann kopiert die Software eine ausführbare Datei etwa auf USB-Laufwerke, die gegen Eingabe eines Passworts die Daten decodiert. Der Hersteller nennt diese Option CryptionPro Mobile, sie muss dort aktiviert werden, wo man auch die anderen Verschlüsselungsmethoden auswählt.

• Die Software erstellt bei der Installation automatisch einen neuen Schlüssel. Falls beispielsweise wegen eines Server-Defekts CryptionPro neu eingerichtet werden muss, sollte der zuvor verwendete Schlüssel verfügbar sein, um die damit codierten Daten lesen zu können. Zu diesem Zweck gibt es eine Export- und Importfunktion, mit der ein Schlüssel auf einem separaten Speichermedium hinterlegt und im Notfall von dort wieder eingelesen werden kann.

• Wenn der Client aus irgendeinem Grund nicht in der Lage ist, Dateien zu entschlüsseln, dann greift der Master-Schlüssel. Dieser lässt sich in der Schlüsselverwaltung generieren und in einer externen Datei abspeichern.

• Wenn betriebliche Erfordernisse verlangen, dass die Verschlüsselung von Dateien auf bestimmte Zeiten beschränkt bleibt, dann kann man den unverschlüsselten Dateitransfer an den ausgewählten Tagen zulassen. Diese Genehmigung lässt sich auf bestimmte Geräte eingrenzen.

Fazit

Der Hersteller präsentiert den Funktionsreichtum seiner Software gegenüber dem Anwender in Form eines Werkzeugkastens, der eine nahezu beliebige Kombination der Tools zulässt. Damit lassen sich selbst ausgefallene Anforderungen und Sonderwünsche jeglicher Art abbilden, der Granularität des Device-Managements sind praktisch keine Grenzen gesetzt. Dieser Ansatz birgt jedoch auch Gefahren, wenn ein Unternehmen keine klare Vorstellung davon hat, welche Regeln es für den Einsatz mobiler Datenträger durchsetzen möchte. Regieren nämlich Ad-hoc-Management und Ausnahmen für diesen und jenen Mitarbeiter, dann können die Administratoren bald den Überblick verlieren.

Dieses Modell der Toolbox, das sich auch aus zahlreichen Kundenprojekten speist, für die spezifische Features angefertigt wurden, unterscheidet sich stark von Produkten US-amerikanischer Hersteller, die den Benutzer mit Assistenten und Wizards durch alle möglichen Schritte führen. Die Ausrichtung auf den "mündigen Anwender" ist jedoch kein Grund, die Dokumentation und die Bedienerführung zu vernachlässigen.

Hier liegen jedoch die größten Schwächen des Produkts: Die Dokumentation beschränkt sich auf eine kursorische Beschreibung der einzelnen Befehle und Optionen, allerdings ohne Anspruch auf Vollständigkeit. Zahllose orthografische und grammatikalische Fehler sowie die geringe sprachliche Qualität des Textes erschweren sein Verständnis. Die Online-Videos können dieses Manko zu einem gewissen Grad ausgleichen, ersetzen aber keine ordentliche Dokumentation. Ihr Stil setzt sich in die Software selbst fort, die den Anwender mit teilweise schwer verständlichen und fehlerhaften Dialogen konfrontiert. Negativ bemerkbar macht sich zudem das Fehlen einer Online-Hilfe, zumindest Tooltips (Bubble-Help) wären wünschenswert, wenn man mit der Maus über eine der zahlreichen Checkboxen fährt. Diese Mängel sind bedauerlich, weil ein technisch solides Produkt dadurch den Eindruck erweckt, als fehlte ihm der letzte Schliff. (ph)