Nahezu zwei Drittel (62 Prozent) der deutschen IT-Verantwortlichen sehen die Sicherheit ihres Unternehmens zunehmend "von innen" - etwa in Form von Industriespionage durch die eigenen Mitarbeiter - bedroht. Das ergab eine von IBM initiierte, internationale Umfrage, an der auch 150 deutsche IT-Chefs teilnahmen. Eine in diesem Zusammenhang nicht zu unterschätzende Gefahrenquelle stellen die handlichen USB-Speicher mit ihrem mittlerweile beträchtlichen Fassungsvermögen dar: Zum einen können sie zum Vehikel für Schad-Code, Viren, Spyware oder illegale Software werden, zum anderen aber auch dazu genutzt werden, geschäftskritische Informationen aus dem Unternehmen zu schmuggeln: Auf diesem Weg lassen sich nicht nur einzelne Dokumente, sondern ganze Kundendatenbanken oder komplette Projektpräsentationen unbemerkt kopieren und - im schlimmsten Fall - einem Wettbewerber zuspielen. Spezielle Tools, die das Einschleusen von digitalem Ungeziefer verhindern und dem Verlust sensibler Firmendaten vorbauen, sollen Administratoren helfen, das Problem zu entschärfen.
Hersteller und Produkte
• Centertools Software GmbH: Drivelock (www.centertools.de);
• Centennial Software:
Devicewall (www.devicewall.de);
• IT Watch GmbH:
Devicewatch (www.itwatch.de);
• Mediaphor AG:
USB Lock AP (www.nobox.de).
www.computerwoche.de/go/
570721: Keine Chance für Datenklau per USB;
556626: IT-Sicherheit: Der Feind im eigenen Haus.
569645: USB-Stick als Smart-Device.
569445: Auszeichnung für Tetraguard.
Dahingehende Unterstützung versprechen beispielsweise Werkzeuge wie "Drivelock" von der Centertools Software GmbH: Die Netzlösung, die in der Version 4.1 vorliegt, soll vor unberechtigtem Datentransfer schützen und die eigenmächtige oder unerlaubte Nutzung externer Speichermedien wie USB-Sticks sowie sonstiger Hardware blockieren. Mit Hilfe der Software können Administratoren festlegen, welche externen Datenträger an ein System angeschlossen werden dürfen. Dabei lassen sich laut Anbieter Gerätegruppen und -typen - etwa "Bluetooth", "Infrarot" oder "PDA" - separat sperren. Die Freischaltung der Geräte wiederum erfolgt über deren spezifische ID-Nummer.
Nach Angaben von Centertools kann Drivelock auch serielle und parallele Schnittstellen für bestimmte Nutzer blockieren. Zudem besteht die Möglichkeit, Berechtigten vollständig oder nur eingeschränkt Zugriff zu erteilen. Leichteres Management verspricht der Anbieter durch eine White-List, über die sich die gesamte firmeneigene Hardware freischalten lässt.
Immer auf dem Laufenden
Detaillierte Reports informieren zudem über Zugriffsversuche und Kopiervorgänge im Unternehmen und halten Administratoren so über sicherheitskritische Aktivitäten im Firmennetz auf dem Laufenden. Im Fall einer Zugriffsverweigerung wird der ausgesperrte Nutzer via Info-Fenster über die jeweiligen Gründe aufgeklärt. Das über die Softline AG erhältliche Drivelock 4.1 unterstützt Windows 2000 SP4, XP SP2 oder 2003 Server SP1 und ist in mehreren Lizenzmodellen ab 25 Nutzer verfügbar. Eine Lizenz für 100 User kostet bei Softline 2204 Euro.
Mit Hilfe der End-Point-Security-Lösung "Devicewall" von Centennial Software, die jetzt in der neuen Version 4.0 vorliegt, können Administratoren Sicherheitsregeln für die Nutzung mobiler Speichermedien definieren und die Netzverbindungen von Geräten wie USB-Sticks, iPods, PDAs oder Handys verwalten.
Automatische Verschlüsselung
Zu den Neuerungen des jüngsten Release zählt, dass alle von autorisierten Nutzern auf USB-Laufwerke kopierten Daten automatisch via AES (Advanced Encryption Standard) oder Blowfish verschlüsselt werden. Dies soll im Zusammenspiel mit firmeneigenen und persönlichen Schlüsseln gewährleisten, dass vertrauliche Informationen auch dann sicher sind, wenn ein USB-Device in falsche Hände gerät. Darüber hinaus ist die Windows-Software laut Anbieter nun dazu in der Lage, individuelle Geräte zu erkennen, was eine differenzierte Kontrolle über die Nutzung einzelner Device-Gattungen - etwa "iPods", "USB-Sticks" oder "PDAs" - ermöglicht. So lässt sich mittels einer White-List aller firmenintern zugelassenen Geräte sicherstellen, dass ausschließlich vom Unternehmen zur Verfügung gestellte Komponenten zum Einsatz kommen.
Die Lösung "Devicewatch" der Münchner IT Watch GmbH zielt ebenfalls darauf ab, dem unkontrollierten Einsatz von Plug-and-Play-Geräten im Firmennetz entgegen zu wirken. Nach Angaben des Anbieters ermittelt das System selbständig Schnittstellen und Geräteklassen aus dem Firmennetz, so dass diese nicht manuell eingegeben werden müssen. Auf Basis des durch den "Devicewatch Scanner" vorgenommenen Netz-Scans lässt sich eine firmenspezifische Security-Policy aufbauen, die sicherstellen soll, dass tatsächlich alle Geräte erfasst wurden. Dabei lassen sich die Richtlinien Event-getrieben, im Push- wie im Pull-Verfahren und zu jedem Zeitpunkt aktualisieren. Devicewatch unterstützt Windows 2000 und XP sowie Infrastrukturen mit Linux- oder Novell-Servern.
Pragmatisch geht die Mediaphor AG das USB-Problem mit "USB Lock AP" an: Schließt ein unautorisierter Mitarbeiter ein unerlaubtes Gerät an seinem Rechner an, wird das als Windows-Service arbeitende Tool aktiv und verriegelt kurzerhand den USB-Port. Dieser lässt sich dann nur noch via Passwort reanimieren. Entfernt der Anwender das Gerät nicht binnen 15 Sekunden, wird das gesamte System heruntergefahren. USB-Mäuse, -Tastaturen und -Drucker hingegen sind gegen diese Funktion immun und lassen sich wie gewohnt nutzen. USB Lock AP 2.3, mit dem auch CD-, DVD- und Diskettenlaufwerke geschützt werden können, ist unter www.nobox.de als Download zum Preis für knapp 20 Euro pro Arbeitsplatz zu haben. (kf)