Gefahr von innen

Mobiles Gerät einstöpseln und loslegen – die Bequemlichkeit des einen ist der Alptraum des anderen. Denn Datenklau, Wurmverseuchung und dergleichen mehr können die Firmen-IT ernsthaft gefährden. Spezielle Software soll Abhilfe schaffen.

Mobile Datenträger von der Größe eines Fingers können mehrere Gigabyte an Informationen speichern. Berücksichtigt man noch ihren hohen Datendurchsatz und die große Verbreitung, stellen sie eine ernsthafte Gefahr für die interne Sicherheit von Organisationen dar. Mit Hilfe eines kleinen USB-Speichersticks ist es heute möglich, teure Investitionen in die Netzwerksicherheit einfach zu umgehen. Die Bordmittel der Betriebssysteme bieten bestenfalls rudimentären Zugriffsschutz – dem Administrator bleibt somit nur der Griff zu spezieller Software.

Gefährlich sind außer mobilen Datenspeichern alle transportablen Geräte, über die ein direkter Datentransfer erfolgen kann und die einfach mit einem PC verbunden und durch das Betriebssystem eingebunden werden. Ein Beispiel dafür sind durch Anwender eingerichtete WLANs via Access Points oder WLAN-PCMCIA-Karten, die direkten Zugang zum internen Netzwerk ermöglichen. Nur wenige Unternehmen ergreifen geeignete Maßnahmen zur Vermeidung von Missbrauch.

Das Risiko beschränkt sich nicht nur auf den potenziellen Diebstahl von vertraulichen oder gar urheberrechtlich geschützten Informationen, denn mit den mobilen Geräten lassen sich auch beliebige Daten in das interne Netzwerk einspielen. Dieser im Prinzip nützliche und erwünschte Datentransfer hat leider Nebenwirkungen: etwa das Einschleusen von Viren oder Trojanern ins Firmennetz.

Die Gefahr muss nicht einmal von unzufriedenen oder kriminellen Mitarbeitern ausgehen. Auch fahrlässig handelnde Mitarbeiter mit unzureichendem Sicherheitsbewusstsein sind eine Bedrohung. Heimcomputer befinden sich in der Regel nicht unter der Kontrolle der internen IT-Abteilung, ihr Status hinsichtlich Patch-Level, Virenschutz oder Spyware ist ungewiss. Und in vielen Organisationen ist es gang und gäbe, dass Mitarbeiter vertrauliche Dokumente zu Hause bearbeiten und anschließend wieder auf dem Firmen-PC speichern.

Die folgenden Fragen vermitteln einen ersten Eindruck der potenziellen Gefahren – insbesondere, wenn es auf die drei letzten keine zufriedenstellende Antwort gibt:

• Wie viele mobile Datenträger gibt es in der Organisation?
• Wer benutzt diese Datenträger und wofür?
• Wie sind die Daten auf diesen Datenträgern im Verlustfall vor unberechtigtem Zugriff geschützt?
• Wird der Verlust vertraulicher Informationen erkannt?
• Wie wird das Einschleusen von Malware verhindert?

Das von mobilen Datenträgern oder Wechseldatenträgern ausgehende Risiko findet zunehmend Beachtung, wie die unlängst von Ernst & Young veröffentlichte Studie Global Information Security Survey 2005 belegt. Regularien wie Basel II, Sarbanes-Oxley (SOX) oder der Health Insurance Portability and Accountability Act (HIPAA) tun ein Übriges, denn sie schreiben einen restriktiven Umgang mit vertraulichen und personenbezogenen Daten und den Nachweis der Unternehmen über die getroffenen Schutzmaßnahmen vor.

Und dass Wirtschaftsspionage kein Produkt der Fantasie von Unterhaltungsschriftstellern ist, zeigt schließlich der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte Bericht zur Lage der IT-Sicherheit in Deutschland 2005. In ihm prognostiziert das BSI einen weiteren Anstieg der Wirtschaftsspionage, nicht zuletzt durch mangelndes Sicherheitsbewusstsein des Managements in den Unternehmen.

USB-Blocking: Alle oder keiner

Das verbreitete Betriebssystem Windows bringt von Haus aus zunächst kaum Schutzmöglichkeiten mit sich. Vor Servicepack 2 für Windows XP konnten sich Unternehmen nur mit drastischen Maßnahmen, etwa dem Deaktivieren des USB-Ports im BIOS oder dem vollständigen Unterbinden von USB-Datenspeichern behelfen. Ersteres verhindert jedoch die generelle Nutzung dieser Schnittstelle, auch durch Maus oder Tastatur. Und in manchen Unternehmen mag das Anschließen von PDAs erwünscht sein, das des MP3-Players hingegen nicht.

Im zweiten Fall entzieht man den jeweiligen Benutzern und Gruppen die Zugriffsberechtigung für die benötigten Treiber auf Dateisystemebene. Das funktioniert jedoch nur, sofern bislang noch kein USB-Datenspeicher installiert war. Falls das schon geschehen ist, muss der Administrator dem Anwender die Zugriffsberechtigung für die Dateien %SystemRoot%\Inf\Usbstor.inf sowie %SystemRoot%\Inf\Usbstor.pnf entziehen. Beide Ansätze haben den Nachteil, dass eine zentrale Verwaltung kaum möglich ist.

Erst mit dem Servicepack 2 unterstützt Windows eine weitere Einschränkungsmöglichkeit: Der Administrator kann nun dem Benutzer ausschließlich Lesezugriff auf USB-Datenträger einrichten. Diese Maßnahme kann zwar vor unberechtigtem Datenklau schützen, unterbindet es aber nicht, Fremdsoftware, Raubkopien, Malware oder sogar Pornografie einzuschleusen.

Ein weiterer Nachteil der Windows-XP/SP2-Schutzfeatures ist die systembezogene Verwaltung und somit für alle Benutzer geltende Konfiguration. Eine rollenbasierte Verwaltung, eine Ausnahmeregelung für Einzelpersonen oder gar Ausnahmen für einzelne Geräte sind nicht möglich. Durch Ausnahmeregelungen entwickelt sich der administrative Aufwand schnell zur Sisyphusarbeit, sodass es nur eine Frage der Zeit ist, bis die Sicherheit aufgrund mangelnder Praktikabilität und Akzeptanz auf der Strecke bleibt. Gleiches gilt für den Ansatz, die Zugriffsverwaltung über Berechtigungen des Dateisystems lösen zu wollen.

Zugänge wie Sand am Meer

Die Sicherheitsrisiken beschränken sich aber nicht nur auf USB-Ports, sondern auf alle externen Schnittstellen des PCs, die einen Datentransfer erlauben. Die folgende Tabelle gibt einen Überblick über Schnittstellen und ihre typischen Geräte.

Externe Schnittstellen Schnittstelle Geräte USB Geräte, Speichersticks, MP3-Player, USB-Festplatten, Digital-Kameras, PDAs, Bluetooth-Adapter Firewire (IEEE 1394) Festplatten, Brenner IDE Festplatten, Brenner (CD-/DVD-ROM), Diskettenlaufwerke S-ATA Festplatten, Brenner seriell Modems LPT Drucker, ZIP-Laufwerke PS/2 Hardware Keylogger PCMCIA ISDN, Bluetooth, Compact Flash IrDA PDAs, Handys WLAN Externe Notebooks

Durch den Einsatz von Gruppenrichtlinienobjekten (GPO) ermöglicht Windows auch die zentrale Verwaltung anderer als USB-Schnittstellen. Zwar bietet das Betriebssystem von Hause aus keine Einstellungsmöglichkeit zum Deaktivieren mobiler Datenträger oder anderer Geräte, es unterstützt aber mit den erweiterbaren administrativen Vorlagen (ADM-Templates [1]) die Kontrolle über die Nutzung einzelner Geräte. Durch diese Templates kann der Administrator das Laden der Gerätetreiber und somit den Zugriff auf Geräte wie CD-ROM, DVD, Floppy oder ZIP-Laufwerke system- und benutzerbasiert steuern oder auf Leseberechtigung einschränken.

Anders dagegen sieht es mit Geräten aus, die kein Nachladen von Treibern erfordern. Über sie hat der Administrator auch via GPOs keine Kontrolle – das betrifft beispielsweise die Anbindung von Notebooks über Infrarot-Schnittstelle oder von Geräten über die Parallel-Schnittstelle. Darüber hinaus können findige Benutzer Einschränkungen der GPOs häufig dadurch umgehen, dass sie die entsprechenden Geräte bereits während des Boot-Vorganges mit dem Rechner verbinden. Etwaige Einschränkungen greifen zu diesem Zeitpunkt noch nicht, sodass man das Gerät im Anschluss uneingeschränkt nutzen kann.

Zum einen ist ein umfassender und zuverlässiger Schutz vor mobilen Geräten und Datenträgern erforderlich und zum anderen muss es möglich sein, gezielt Ausnahmen festlegen zu können. Es reicht nicht aus, nur zwischen Lese- und Schreibzugriff für alle Geräte einer Schnittstelle zu unterscheiden. Die Anforderung, bestimmte Geräte einzeln verwalten zu können, zeigt die Grenzen der Gruppenrichtlinienobjekte. Darüber hinaus gelten sie lediglich für den Explorer. Benutzt eine Anwendung diesen nicht als Shell, umgeht sie damit die durch GPOs gesetzten Einschränkungen. Spätestens jedoch, wenn es um einzelne Wechselmedien wie eine spezielle Installations-CD geht, die system- oder gar personenbezogen verwaltet werden soll, sind spezielle Lösungen erforderlich.

Um sich wirksam vor den Gefahren mobiler Datenträger zu schützen, sollte man sich zunächst bewusst machen, dass der Mensch im Mittelpunkt der Problemanalyse stehen sollte. Komplexe technische Lösungen, die die Benutzer nicht akzeptieren, sind letztendlich sinnlos. Das Ergreifen von technischen Schutzmaßnahmen sollte nur der letzte Schritt einer ganzen Reihe von Maßnahmen sein. In der Praxis hat sich eine Top-down-Vorgehensweise bewährt, die auch Grundlage anerkannter Sicherheitsstandards ist.

Marktübersicht: Zentraler Zugriffsschutz für mobile Devices (Teil 1) Hersteller Centennial Software Ltd. CenterTools Software GmbH FullArmor itWatch GmbH Produkt DeviceWall 3.1 DriveLock IntelliPolicy for Clients 1.5 DeviceWatch Preisbeispiel ca. 20 EUR / Benutzer ca. 25 EUR / Benutzer, zzgl. 20 EUR / Benutzer für Verschlüsselung ca. 6 EUR / Client ca. 2,5 EUR / Client unterstützte Verzeichnisdienste Active Directory Active Directory, Novell NDS, LDAP Active Directory Active Directory, Novell DS Reporting Verwendungs-, Datentransfer-, Privilegien-Reports Monitoring Microsoft Group Policy Reports Monitoring, DB-Analysen unterstützte Server-Plattformen Control Center, Microsoft Windows 2000/2003/XP, IIS ReportingCenter, Windows 2000/2003 n. a optional beliebige SQL-Datenbank weitere Features / Besonderheiten anwenderbezogenes, systemunabhängiges Rechtemodell; neue Systeme werden zunächst bis zur Aktualisierung des Programms geblockt Laufwerksbuchstaben- reservierung, sicheres Löschen; Absicherung des abgesicherten Modus anwender-, anwendungs- sowie systembezogenes Rechtemodell Teilfreigaben auf Medienebene; Integration in Tivoli und HP Open View; SNMP-Unterstützung; Laufwerksbuchstaben- reservierung

Verbotenes und Erlaubtes dokumentieren

Zunächst muss die Gefährdung innerhalb einer Organisation festgestellt werden. Die Geschäftsführung muss das bestehende Risiko erkennen, akzeptieren und es den Mitarbeitern als solches vermitteln. Diese Aussage sollte der Sicherheitsverantwortliche in einer klaren Handlungsanweisung oder internen Richtlinie (Policy) dokumentieren. In dieser Richtlinie muss der erlaubte Umgang mit Wechseldatenträgern und mobilen Datenträgern abgegrenzt und Verbote sowie Konsequenzen bei Nichtbeachtung festgehalten sein. Die Maßnahmen zur Umsetzung nebst Verantwortlichkeiten sollten ebenfalls schriftlich fixiert werden.

Neben technischen Kontroll- und Überwachungsmöglichkeiten ist die Sensibilisierung der Mitarbeiter durch Schulungen eine sinnvolle Schutzmaßnahme – gleichermaßen für interne, externe oder freie Mitarbeiter sowie Dienstleister.

Nach diesen Maßnahmen schließlich ist es sinnvoll, geeignete technische Schutz- und Kontrollvorkehrungen einzurichten. In den vergangenen Jahren hat sich auf dem Markt eine Vielfalt an Produkten und Lösungen etabliert. Die Palette reicht von Software zur Kontrolle des Zugriffs auf eine oder mehrere Computerschnittstellen beziehungsweise auf deren Geräte und Wechselmedien, über reine kryptographische Lösungen, die sich teilweise mit dem Bereich Digital Rights Management (DRM) überschneiden, bis hin zu Produkten, die beides miteinander verbinden.

Die Marktübersichten (siehe Tabellen an den Seitenenden) stellen Standalone-Produkte vor, die die gängigsten Schnittstellen absichern. Sie ermöglichen dem Systemverantwortlichen, den Zugriff darauf zentral zu überwachen und zu beschränken. Verwandte Lösungen wie Produktsuiten, in die entsprechende Schutzfeatures integriert sind, reine USB-Blocker oder ausschließlich kryptographische oder DRM-Lösungen finden sich ergänzend im folgenden Kasten.

Verwandte Produkte reine USB-Schnittstellenblocker iSM GmbH USB-Blocker PLUS DynaComm i:scan reine Verschlüsselungs- oder DRM-Produkte Entrust Entelligence Media Security BeCrypt Data Protect Pointsec Media Encryption Liquid Machines Enterprise Rights Management Credant Mobile Guardian SafeBoot Content Encryption Utimaco SafeGuard Easy WinMagic SecureDoc komplexe Produktsuiten inklusive Zugriffsschutz McAfee Entercept Websense Enterprise Client Policy Manager Sygate Enterprise Protection HP ProtectTools Utimaco SafeGuard Advanced Security Senforce Endpoint Security Suite

Software, die den Zugriff auf Schnittstellen und deren angebundene Geräte kontrolliert, bietet einen guten Basisschutz. In den meisten Fällen handelt es sich um schlanke und preiswerte Lösungen, die das Risiko des Datendiebstahls sowie der Einschleusung von Malware durch die Eingrenzung eines legitimierten Benutzerkreises, der Endsysteme und der mobilen Geräte deutlich reduzieren. Allerdings bieten Produkte, die sich auf den Zugriffsschutz beschränken, keinen wirksamen Schutz der Datensicherheit im Fall des Verlusts eines Datenträgers (siehe [2]). Dieses Problem lässt sich durch Verschlüsselung lösen – was wiederum nicht vor Malware und ähnlichem schützt. Sinnvoll erscheint daher eine Kombination von Zugriffsschutz und Verschlüsselung.

Integration in Systemumgebung

Um ein geeignetes Produkt für die eigene Systemumgebung zu finden, müssen die entsprechenden Anforderungen klar sein. Die zentrale Verwaltung und Integration in die vorhandene Systemumgebung ist eines der Hauptkriterien. Zunächst ist also zu prüfen, ob und wie sich das Produkt in einen bereits vorhandenen Verzeichnisdienst wie Microsofts Active Directory Service (ADS) integriert. Die Synergieeffekte senken den administrativen Aufwand und erleichtern die tägliche Arbeit der Systembetreuer. In diesem Zusammenhang stellen sich aber auch Fragen nach der Softwareverteilung und -pflege der Client-Agenten auf den Endgeräten. Viele Produkte bringen neben der Integration in Verzeichnisdienste eine eigene zentrale Managementsoftware mit.

Die Anzahl und Art der unterstützten Schnittstellen, sowie die Möglichkeiten, die darüber angeschlossenen Geräte zu verwalten, sind weitere Entscheidungskriterien für den Einsatz. Eine Übersicht über die zu schützenden Schnittstellen sollte Bestandteil des erwähnten Sicherheitskonzeptes sein. Ebenso wichtig wie die Regel ist jedoch die Ausnahme: Auch solche sollte der Administrator hinreichend definieren können. Bei USB-Speichersticks könnte er beispielsweise festlegen, dass bestimmte Benutzer zwar Daten von Office-PCs transferieren dürfen, aber nur als PDF – das mindert erstens das Risiko der Virenverbreitung und verhindert zweitens den Export jedes anderen unerwünschten Formates, etwa Bilder oder Datenbankformate.

Bietet ein Produkt keine wirksame Dateitypenerkennung, könnte alternativ eine Größenbeschränkung der Daten auf wenige Megabyte ein wirksamer Schutz vor Datendiebstahl sein. Unabhängig von den konkreten Anforderungen sollte die Verwaltung der Rechte und Privilegien rollenbasiert an bestimmte Benutzergruppen oder Einzelbenutzer erfolgen können. In Einzelfällen kann es zudem sinnvoll sein, systembasierte Konfigurationen beispielsweise auf Servern oder Multi-Media-Systemen wie Internet- oder Brenn-Stationen durchführen zu können.

Um die Datensicherheit auch auf mobilen Datenträgern mit naturgemäß höherem Verlustrisiko sicherzustellen, ist es vorteilhaft, wenn das Produkt Verschlüsselung unterstützt. Zu berücksichtigen ist hier allerdings, dass man die verschlüsselten Daten auf einem anderen Rechner unter Umständen ohne entsprechende Client-Software nicht mehr lesen kann. Manche Produkte verfügen über die Option, die Daten mit einer frei erhältlichen Viewer-Applikation oder eines selbstextrahierenden Archivs durch Passworteingabe auf beliebigen Rechnern zu entschlüsseln. Um die Verschlüsselung der Daten auf mobilen Datenträgern zu gewährleisten, kann es sinnvoll sein, diese beim Transfer zu erzwingen. Dieser Vorgang kann transparent im Hintergrund oder durch Benutzerinteraktion erfolgen.

Marktübersicht: Zentraler Zugriffsschutz für mobile Devices (Teil 2) Hersteller KRUEGER Consulting GmbH Reflex Magnetics Limited Control Break International GmbH Produkt USBGUARD Basic / Enterprise Edition Reflex Disknet Pro V4.52 SafeBoot PortControl Preisbeispiel ca. 8 EUR / Client Basic und 12 EUR / Client Enterprise Edition ca. 35 EUR / Benutzer ca. 35 EUR / Benutzer, Managementcenter 7 EUR / Benutzer unterstützte Verzeichnisdienste Active Directory Active Directory, Novel NDS NT Domänen, Active Directory, Novel NDS, LDAP Reporting Monitoring, Verwendungs-Reports umfangreiches Reporting Verwendungs-Reports unterstützte Server-Plattformen Microsoft Windows 2000 Server SP4 / Windows Server 2003 / .NET Framework 1.1 Microsoft Windows NT/2000/2003 Windows 95/98/ME/NT 4.0/2000/XP (64Bit) / 2003 Server (64 Bit) weitere Features / Besonderheiten Medienfreigaben mit Enterprise-Lizenz; zentrale Lizenzverwaltung verschlüsselte Daten können auf Drittsystemen ohne Clientsoftware bearbeitet werden PKI-Unterstützung; FIPS-zertifiziert; High-Availiability- Konfigurationen

Offline-Regelungen für den Notfall

Beschäftigt eine Organisation viele Mitarbeiter im Außendienst, sollte man prüfen, ob Ausnahmeregelungen auch ohne Anbindung des Notebooks ans interne Netzwerk möglich sind – etwa wenn ein Vertriebsmitarbeiter eine CD-ROM beim Kunden einlesen muss, dies unter gewöhnlichen Umständen jedoch nicht erwünscht ist. Manche Hersteller haben für solche Situationen an Offline-Fähigkeiten gedacht, die temporäre Ausnahmeregelungen zulassen.

Auch der Umfang des Berichtswesens kann ein wichtiges Kriterium sein: Produkte, die bereits in der Lage sind, standardkonforme Berichte beispielsweise nach Basel II oder Sarbanes-Oxley zu erstellen, erleichtern die Arbeit der Revisoren und der Administratoren und tragen so zu niedrigeren Betriebskosten bei. Unabhängig davon kann man prüfen, ob eine Integration in ein vorhandenes Monitoring-Framework möglich ist.

Nach der Auswahl eines geeigneten Produktes steht man häufig vor dem Problem, dass weder alle im Unternehmen vorhandenen mobilen Geräte noch der Zweck ihres Einsatzes bekannt sind. Daher sollte man sich zunächst einen Überblick verschaffen, bevor man die Nutzung restriktiv unterbindet. Viele Produkte bieten hierzu einen Audit-Modus an. Dieser Modus liefert zunächst Informationen darüber, welche Geräte von welchen Maschinen aus verwendet werden. Teilweise kann der Administrator sogar anonymisierte Statistiken über das Benutzerverhalten erhalten. Daraus lässt sich schnell ersehen, ob die beschlossene Richtlinie und das Sicherheitskonzept praktisch umsetzbar sind oder ob man nach Kompromissen suchen muss. Im letzten Fall sind die Erfahrungen aus dem Audit-Modus für eine Weiterentwicklung der Sicherheitspolitik und des Sicherheitskonzeptes nützlich.

Zusammenfassend lässt sich festhalten, dass ein wirksamer Schutz von vertraulichen Dokumenten und das Verhindern von Malware und unerwünschten Daten auf Firmen-PCs ohne eine geeignete Drittsoftware nur mit großem Aufwand und auch dann meistens nur unzureichend erreicht werden kann. Dennoch sollte man den Menschen nicht vergessen: Da eine Nutzung mobiler Datenträger vermutlich in keinem Unternehmen völlig unterbunden wird – schließlich hat sie auch zahlreiche Vorteile –, ist die Sensibilisierung der Mitarbeiter für drohende Gefahren unabdingbar. (ur)

Marktübersicht: Zentraler Zugriffsschutz für mobile Devices (Teil 3) Hersteller Safend Ltd. SecureWave S. A. SmartLine Inc. Produkt Safend Protector v2.0 Sanctuary Device Control 3.0.x DeviceLock v.5.72 Preisbeispiel ca. 26 EUR / Benutzer k. A ca. 31 EUR / Benutzer unterstützte Verzeichnisdienste NT Domänen, Active Directory, Novel NDS Active Directory, Novel NDS Active Directory Reporting Monitoring, Verwendungs-Reports Verwendungs-Reports Verwendungs-Reports, Privilegien-Reports unterstützte Server-Plattformen Microsoft Windows 2000 SP3/2003/XP Microsoft Windows 2000/2003 n. a. weitere Features / Besonderheiten freie Überwachungslösung erhältlich Offline-Updates per Konfigurationsdatei Schutz vor lokalen Administratoren; Offline-Update per Zugriffs-Pin

Literatur

[1] c't-Tipp-Datenbank, www.heise.de/ct/tipps/tipps.shtml

[2] Martin Odenthal, Verschlossen und verriegelt, Notebooks gegen Datendiebstahl sichern, www.heise.de/mobil/artikel/68798

[3] Robert Hohmann, Portwart, USB-Geräte gezielt sperren, c't 4/06, S. 216

Themenforum Allgemein