Der USB-Stick als Virenfalle
Daraus ergeben sich bestimmte Parameter, an denen sich eine organisationsinterne Struktur ausrichten sollte. Zum einen ist ein stärkeres Bewusstsein("Awareness") im Umgang mit sensiblen Daten und Informationsträgern aufzubauen. Dies klingt simpel, ist aber in der Praxis vielfach unbeachtet, wie der Fall Stuxnet zeigt. Hier wird vermutet, dass die erste Infektion mit dem Wurm auf dem Weg über ein USB-Speicherrmedium erfolgte.
Vielen Unternehmen macht der sorglose Umgang mit Hardware, Handy-Kameras, USB-Sticks & Co. zu schaffen. So kursiert unter IT-Security-Experten schon lange eine simple Methode, um einen Virus in ein Firmennetzwerk einzuschleusen: Man "verliert" in der Unternehmenstiefgarage einen USB-Stick, auf dem verseuchte Dateien mit interessanten Namen wie "Gehaltsabrechnung Vorstand" oder "Video Betriebsfeier" gespeichert sind. Mit größter Wahrscheinlichkeit wird der Finder der Versuchung nicht widerstehen können.
Technik und Awareness
Um Viren erfolgreich bekämpfen zu können, ist es hilfreich, technische Rahmenbedingungen zu schaffen - zum Beispiel strikte Berechtigungsverfahren oder Schnittstellenschutz. Zudem muss es klare Verhaltensregeln im Umgang mit sensiblen Firmendaten und potenziellen Risiken geben. Eine notwendige Ergänzung sind regelmäßige Awareness-Programme für alle Mitarbeiter. Im Fall Stuxnet müsste man sich dabei vor Augen zu führen, welche Konsequenzen der Ausfall bestimmter Prozesse hätte, wie sich das verhindern ließe, welche Maßnahmen im Ernstfall eingeleitet werden müssten und welche Kosten daraus entstünden.
Eventuell bereits bestehende Schutzvorkehrungen müssen immer wieder kritisch hinterfragt und überprüft werden. Beispielsweise ist es in vielen Unternehmen üblich, dass zwischen den Steuerungsrechnern der Produktion und der "normalen" IT-Infrastruktur keine Verbindung besteht. Das macht neben technischen Vorkehrungen aber auch umfangreiche organisatorische Regelungen erforderlich: Was nutzt die Trennung der kritischen Netze, wenn diese von einem Mitarbeiter mit USB-Sticks überbrückt werden kann?
Bei all diesen Maßnahmen empfiehlt es sich, die Mitarbeitervertretung frühzeitig in den Denkprozess einzubinden. Ein Sanktions- und Belohnungssystem für jeden Mitarbeiter kann ein Katalysator für eine wirkungsvolle und vor allem durchgängige Unternehmenskultur mit transparenten Verhaltensregeln sein.
- Altbewährte Methode, die aber Risiken birgt und sich nicht fein regulieren lässt
Schon unter XP konnte durch einen Eingriff in die Windows-Registrierungsdatenbank der Zugriff auf USB-Massenspeicher verhindert werden. - Bessere Methode
Wer nur neue Betriebssystem ab Windows Vista in seinem Netzwerk einsetzt, kann mittels entsprechender Gruppenrichtlinien den Zugriff auf Wechselmedien regeln. - Durch die Gruppenrichtlinien kann sogar jeglicher Zugriff auf jede Art von Wechselmedien wirksam unterbunden werden ...
... allerdings ist dann auch keine granulare Regelung mehr machbar. - Der Zugriff auf „erweiterte Speichergeräte“
Kommen Endgeräte zum Einsatz, die eine Authentifizierung nach dem Protokoll IEEE 1667 erlauben, so kann mit Hilfe eines aktuellen Windows-Servers eine genaue Kontrolle dieser Geräte durchgeführt werden. - Die DriveLock-Lösung
Wie die meisten Anwendungen dieser Kategorie erlaubt sie sowohl eine Suche der Systeme im Netz via Active Directory als auch über einen Bereich von IP-Adressen. - Nach dem Durchlauf des Scans
Der Systemverwalter sieht auf einem Blick, welche Systeme im Netz mit externen Laufwerken verbunden sind. - Kann die Scan-Software die Informationen der externen Geräte direkt auslesen, ...
... bekommt der Systembetreuer bereits umfangreiche Informationen an die Hand. - GFI EndPointSecurity
Alle von uns vorgestellten Anwendungen verwenden eine Datenbank (häufig den SQL-Server von Microsoft), um die gefundenen Informationen zur Verfügung zu stellen. Diese muss bei der Installation mit eingerichtet werden. - Automatische Erkennung
Für einen ersten Scann der Systeme ist es in der Regel einfacher, auf die automatische Erkennung der Lösungen zu setzen. Bei diesem Produkt kann der Administrator auch gleich entscheiden, dass die Agenten mit ausgerollt werden. - Das Ausrollen der Agenten kann aber auch im nächsten Schritt erfolgen
So kann der Systembetreuer entscheiden, welche der Systeme im Netz mit dieser Überwachung bestückt werden sollen. - Der „Auditor“ der Safend-Lösung
Auch diese Komponente (die zum freien Download bereit steht) prüft zunächst einmal nur die im Netz vorhandenen Systeme darauf, ob sie mit externen Geräten verbunden sind. - Der Report des Auditors
Diese als HTML-Datei erstellte Übersicht ist sehr umfangreich und zeigt genau, wann welches Gerät mit einem PC verbunden war und welche Geräte aktuell im Betrieb sind. - Feinere Unterscheidung
Der Auditor der Safend-Lösung ermöglicht es, schon bei der Suche zu entscheiden, welche Art von Geräte er beachten soll – so kann eine Suche in einem großen Netz deutlich verkürzt werden. - Die freie Alternative
Die Software USBDeview von Nirsoft ist klein und handlich, stellt dem Anwender dabei aber sehr umfangreiche Informationen zur Verfügung. - Auch bei der Freeware kann ein Systembetreuer direkt aktiv werden
So steht ihm die Möglichkeit zur Verfügung, Geräte auszuwählen und direkt vom Computer zu trennen. - Tiefer Einblick
Selbst die Leistung eines externen Geräts wird hier angezeigt – hilfreich bei einer Fehlersuche, wenn beispielsweise ein USB-Gerät außerhalb der Spezifikation zu viel Strom aus der Schnittstelle zieht. - Für weitere Konfigurationen geeignet
Mit Hilfe dieser Funktionalität können die Geräte so konfiguriert werden, dass beim An- beziehungsweise Abkoppeln bestimmte Befehle direkt ausgeführt werden. - Der Report der Freeware-Lösung
Alle gefundenen Geräte und ihre Daten werden in einer HTML-Datei abgelegt. - Unter den vielen Daten, die von USBDeview ausgelesen werden, finden sich wie hier gezeigt auch Hinweise auf den Hersteller des Geräts.
Das kann in einigen Fällen zu genaueren Identifizierung eines vormals angeschlossenen Endgeräts dienen.