Risiko ungewollter Datenabfluss
Datenleck USB richtig absichern
Spezielle Lösungen und Suiten sollen die Endpunkte sichern
Deshalb haben sich eine ganze Reihe von Sicherheitsfirmen das Thema Endpoint-Security und damit auch die Sicherung und Überwachung von USB-Geräten auf die Fahnen geschrieben und bieten entsprechende Lösungen an.
Das Spektrum reicht dabei von einfachen Werkzeugen zur Überprüfung der angeschlossenen USB-Endgeräte bis hin zu kompletten Sicherheits-Suiten, die es auch unter Einbeziehung eines bestehenden Verzeichnisdienstes erlauben, die benötigten Richtlinien im Firmennetz auszurollen. Wir haben in einer kleinen Übersicht fünf Firmen aufgelistet, die derartige Lösungen anbieten. Diese Liste ist auf keinen Fall vollständig und stellt auch keine Wertung dar; die hier vorgestellten Programme stehen exemplarisch für die Vielzahl an Lösungen, die der Markt zu bieten hat.
Produkt (Hersteller) |
Kontrolle USB-Anschlüsse/Geräte |
Agent (manipulations-sicher) |
Whitelist für Geräte |
Reporting / Analyse |
Verzeichnisdienst-Integration |
Zentrales Management |
Besonderheiten / Ergänzungen |
DeviceLock (DeviceLock) |
Ja |
Ja |
Ja |
Ja |
Active Directory / Novell eDirectory |
Ja |
-- |
DriveLock (CenterTools) |
Ja |
Ja |
Ja |
Ja |
Active Directory / Novell eDirectory |
Ja (MMC-Snap-in) |
Zwei Versionen: DriveLock Editon und DriveLock Suite (Suite in drei Versionen) |
GFI Endpoint Security (GFI) |
Ja |
Ja |
Ja |
Ja (Reportpack) |
Active Directory |
Ja |
-- |
Lumension Device Control (Lumension) |
Ja |
Ja |
Ja |
Integriert |
Active Directory / Novell eDirectory |
Ja |
|
Safend Data Protection Suite (Safend) |
Ja |
Ja |
- |
Ja (Safend Reporter) |
Active Directory / Novell eDirectory |
Ja (Management-Infrastruktur) |
Programmsuite, die insgesamt aus sechs Komponenten besteht |
Alle der von uns betrachteten Lösungen verwenden sogenannte Agenten, also eigenständige, ausführbare Programme, die in den meisten Fällen als Windows-Dienst auf den zu überwachten Systemen installiert werden. Typischerweise kann ein Systemverwalter mit ihrer Hilfe die zuvor in der Lösung erstellten Richtlinien auf den PCs durchsetzen. Alle Lösungen können dabei White- oder Blacklists einsetzen. Das sind Listen mit Endgeräten, deren Einsatz an den PCs erlaubt oder verboten ist.
Hier zeigt die Praxiserfahrung, dass in den meisten Fällen der Einsatz von Whitelists, die alle erlaubten Geräte auflisten und alle anderen grundsätzlich blockieren, sinnvoller ist, die Verwendung einer Blacklist, die nur die auf der Liste befindlichen Geräte sperrt, schützt kaum vor unbekannten Endgeräten. Wichtig ist es hierbei auch, dass der Anwender keine Möglichkeit haben darf, diesen Agenten in irgendeiner Weise zu manipulieren oder gar mittels seiner Zugriffsrechte auf seinem PC einfach zu entfernen.
Einer der Hersteller, die wir für diesen Bericht in unsere Recherche mit einbezogen haben, setzt deshalb auf ein grundsätzliches Whitelisting-Konzept für die gesamte IT, um so größere Sicherheit zu erreichten. Die Firma Lumension stellt entsprechende Informationen zu diesem Konzept auf ihrer Website bereit.