Systemprofis und Anwender, die schon länger in der IT tätig sind, werden sich sicher noch an die Zeiten erinnern, als an jedem System eine bestimmte Anzahl unterschiedlicher Anschlüsse erforderlich war, damit die notwendigen Peripheriegeräte angeschlossen werden konnten: Serielle Schnittstellen waren beispielsweise für den Anschluss von Modems und ähnlichen Geräten unverzichtbar, während die Drucker zumeist mit einem Parallelanschluss aufwarten konnten und eine dementsprechende Verbindung zum Computer erwarteten.
Hinzu kamen noch die sogenannten PS/2-Anschlüsse, ebenfalls serielle Schnittstellen, die speziell für die Verbindung zu den Eingabegeräten wie Tastaturen und Mäusen gedacht waren. Dieses Schnittstellen-Wirrwarr gehört längst der Vergangenheit an: Der Siegeszug des USB-Anschlusses (Universal Serial Bus) hat viele dieser Anschlüsse überflüssig werden lassen, und so findet man heute zwar Rechner, die mit einer wahren Batterie an USB-Anschlüssen ausgestattet sind, aber kaum noch andere Verbindungen besitzen.
Auch der im Profi-Bereich lange gepflegte SCSI-Bus (Small Computer Interface) konnte da nicht mehr mithalten, und so arbeiten heute viele Geräte wie hochauflösende Scanner, die früher traditionell über SCSI angebunden werden, ebenfalls mit dem USB-Anschluss.
USB als Sicherheits-Albtraum
Noch viel deutlicher wird die Dominanz der USB-Schnittstelle, wenn man ein Blick auf den Markt der Consumer-Geräte wirft: Ganz gleich, ob es sich um Fotoapparate, Filmkameras, MP3-Player oder Smartphones handelt, sie sind alle in der einen oder anderen Form mit einem USB-Anschluss ausgestattet. Damit mutiert diese nützliche Schnittstelle, die eine Verbindung mit einem externen Massenspeicher so einfach macht, für Firmen und ihre IT-Verantwortlichen letztlich zum Sicherheits-Albtraum: All diese Geräte sind mit Massenspeicher ausgestattet, deren Kapazitäten sich zumeist im zweistelligen GByte-Bereich ausdrücken lassen.
Somit ist es beispielsweise ein Leichtes, eine komplette Exchange-Datenbank auf eine MicroSD-Karte in einem Smartphone abzuspeichern, stehen diese handlichen kleinen Datenträger doch längst mit einem Volumen von 32 GByte und mehr zur Verfügung.
So wird die ohnehin nicht leichte Aufgabe der Administratoren und IT-Verantwortliche, ihre Computer und Netzwerke zu sichern, nicht kleiner. Es sind nicht mehr nur Antivirenprogramme und Firewalls nötig, vielmehr kommen aufwendige Maßnahmen zur Authentifizierung der Anwender ebenso hinzu wie spezielle Programme, die Eindringlinge schnell finden (IDS - Intrusion Detection) oder den unerlaubten Abfluss der Daten verhindern (DLP - Data Loss Prevention).
Daten verlassen ungewollt oder gewollt die Firma
Zum weiten Bereich der DLP gehören auch die Lösungen, die verhindern sollen, dass geschäftskritische Informationen - in welcher Form auch immer - eine Firma ungewollt verlassen können.
Dabei braucht nicht einmal böse Absicht hinter dem "Abwandern" der Daten zu stecken; viele Sicherheitsexperten warnen eindringlich vor den Gefahren, die von verlorenen USB-Sticks oder portablen Geräten ausgehen, auf denen sich vertrauliche Daten befinden. Firmen führen deshalb Richtlinien ein, die ein Speichern der Daten auf externen Geräten nur dann erlauben, wenn diese darauf entsprechend verschlüsselt abgelegt werden.
Anwender und Firmen, die ausschließlich mit neuen Betriebssystemen wie Windows 7 arbeiten, können hierzu die integrierte Bitlocker-Funktionalität des Betriebssystems nutzen, die eine transparente Verschlüsselung der Daten auch auf USB-Geräten erlaubt. Doch was, wenn noch Windows-XP-Systeme oder gar noch ältere Rechner im Einsatz sind?
Zudem wird ein solcher Ansatz nicht davor schützen, dass ein Anwender eines der zuvor genannten Consumer-Geräte mit seinem PC verbindet oder gar eine portable Festplatte mitbringt.
Spezielle Lösungen und Suiten sollen die Endpunkte sichern
Deshalb haben sich eine ganze Reihe von Sicherheitsfirmen das Thema Endpoint-Security und damit auch die Sicherung und Überwachung von USB-Geräten auf die Fahnen geschrieben und bieten entsprechende Lösungen an.
Das Spektrum reicht dabei von einfachen Werkzeugen zur Überprüfung der angeschlossenen USB-Endgeräte bis hin zu kompletten Sicherheits-Suiten, die es auch unter Einbeziehung eines bestehenden Verzeichnisdienstes erlauben, die benötigten Richtlinien im Firmennetz auszurollen. Wir haben in einer kleinen Übersicht fünf Firmen aufgelistet, die derartige Lösungen anbieten. Diese Liste ist auf keinen Fall vollständig und stellt auch keine Wertung dar; die hier vorgestellten Programme stehen exemplarisch für die Vielzahl an Lösungen, die der Markt zu bieten hat.
Produkt (Hersteller) |
Kontrolle USB-Anschlüsse/Geräte |
Agent (manipulations-sicher) |
Whitelist für Geräte |
Reporting / Analyse |
Verzeichnisdienst-Integration |
Zentrales Management |
Besonderheiten / Ergänzungen |
DeviceLock (DeviceLock) |
Ja |
Ja |
Ja |
Ja |
Active Directory / Novell eDirectory |
Ja |
-- |
DriveLock (CenterTools) |
Ja |
Ja |
Ja |
Ja |
Active Directory / Novell eDirectory |
Ja (MMC-Snap-in) |
Zwei Versionen: DriveLock Editon und DriveLock Suite (Suite in drei Versionen) |
GFI Endpoint Security (GFI) |
Ja |
Ja |
Ja |
Ja (Reportpack) |
Active Directory |
Ja |
-- |
Lumension Device Control (Lumension) |
Ja |
Ja |
Ja |
Integriert |
Active Directory / Novell eDirectory |
Ja |
|
Safend Data Protection Suite (Safend) |
Ja |
Ja |
- |
Ja (Safend Reporter) |
Active Directory / Novell eDirectory |
Ja (Management-Infrastruktur) |
Programmsuite, die insgesamt aus sechs Komponenten besteht |
Alle der von uns betrachteten Lösungen verwenden sogenannte Agenten, also eigenständige, ausführbare Programme, die in den meisten Fällen als Windows-Dienst auf den zu überwachten Systemen installiert werden. Typischerweise kann ein Systemverwalter mit ihrer Hilfe die zuvor in der Lösung erstellten Richtlinien auf den PCs durchsetzen. Alle Lösungen können dabei White- oder Blacklists einsetzen. Das sind Listen mit Endgeräten, deren Einsatz an den PCs erlaubt oder verboten ist.
Hier zeigt die Praxiserfahrung, dass in den meisten Fällen der Einsatz von Whitelists, die alle erlaubten Geräte auflisten und alle anderen grundsätzlich blockieren, sinnvoller ist, die Verwendung einer Blacklist, die nur die auf der Liste befindlichen Geräte sperrt, schützt kaum vor unbekannten Endgeräten. Wichtig ist es hierbei auch, dass der Anwender keine Möglichkeit haben darf, diesen Agenten in irgendeiner Weise zu manipulieren oder gar mittels seiner Zugriffsrechte auf seinem PC einfach zu entfernen.
Einer der Hersteller, die wir für diesen Bericht in unsere Recherche mit einbezogen haben, setzt deshalb auf ein grundsätzliches Whitelisting-Konzept für die gesamte IT, um so größere Sicherheit zu erreichten. Die Firma Lumension stellt entsprechende Informationen zu diesem Konzept auf ihrer Website bereit.
Einsatz in Netzwerken
Gilt es die Endpunkte eines größeren Netzwerks zu überwachen, so wird es bei der Entscheidung für eine derartige Lösung wichtig sein, wie gut und einfach sie zu verwalten ist. Hier bieten alle der von uns untersuchten Hersteller eine zentrale Konsole an, von der aus im Prinzip alle Aufgaben verwaltet werden können.
Gerade Administratoren, die ein großes Windows-Netzwerk zu betreuen haben, werden es dabei besonders nützlich finden, wenn diese sich möglichst nahtlos in bestehende Verwaltungskonsolen einfügt. So fanden wir es beispielsweise besonders praktisch, dass die Lösung von DriveLock ein Snap-In für die MMC (Microsoft Management Console) der Windows-Systeme zu bieten hat.
Für größere Netzwerke ist es ebenfalls wichtig, dass eine nahtlose Integration in den verwendeten Verzeichnisdienst wie etwa Active Directory angeboten wird, sodass beispielsweise gezielt Anwendergruppen vom Gebrauch bestimmter Endgeräte ausgeschlossen werden können. Auch diese Forderung wird von allen der von uns betrachteten Lösungen erfüllt, wobei in der Regel neben Active Directory auch der Einsatz des Verzeichnis- und Identitätsdienstes eDirectory von Novell unterstützt wird.
Kontrolle der USB-Geräte: schnelle Hilfe durch Freeware
Wie bei vielen anderen Problemen, die sich im täglichen Einsatz der Windows-Rechner ergeben, haben sich auch hier die Entwickler der Free- und Shareware-Szene daran gemacht, eine freie Lösung dafür zu finden. Unter dem Namen Nirsoft bietet der Programmierer Nir Sofer eine große Anzahl von Freeware-Programmen an, die gerade für Betreuer von Windows-Systemen sehr nützlich sein können.
Darunter befindet sich auch eine Anwendung mit dem Namen USBDeview, die zur Kontrolle der angeschlossenen Peripheriegeräte eingesetzt werden kann (siehe auch USBDeview - USB-Geräte verwalten und löschen). Dieses Werkzeug ist klein und handlich und benötigt keinerlei Installation. Direkt nach dem Start zeigt das Programm nicht nur alle USB-Geräte an, die aktuell mit dem entsprechenden Windows-System verbunden sind, sondern listet - ganz ähnlich den zuvor vorgestellten professionellen Programmen - auch all die Endgeräte auf, die schon einmal mit dem Computer verbunden waren. Bereits hier kann ein Systemverwalter aufschlussreiche Informationen auslesen, zeigt ihm das Werkzeug doch eindeutig auf, ob ein Mitarbeiter beispielsweise unerlaubterweise sein Smartphone mit dem Rechner verbunden hat.
Sehr hilfreich ist vor allen Dingen die Fülle der Informationen, die von USBDeview angezeigt werden: Es gibt zwar durchaus Geräte, die nur mit der Beschreibung "USB-Massenspeichergerät" auftauchen, aber ein Blick auf die Spalte mit dem Namen des Geräteherstellers kann dann schon genauere Auskunft über das verwendete Gerät geben. Auch der Zeitpunkt der letzten Verbindung des Gerätes mit dem System wird aufgelistet, sodass im Zweifelsfall auch nachzuvollziehen ist, wann ein Mitarbeiter eine bestimmte Hardware angeschlossen und verwendet hat.
Vielfältige Möglichkeiten mit USBDeview
Der Entwickler stellt sowohl eine 32- als auch eine 64-Bit-Version seiner Software bereit. Durch die Unterstützung einer großen Community kann er auf der Website auch Lokalisierungen anbieten, sodass alle Menüs und Anzeigen in vielen Sprachen zur Verfügung stehen. Die Lösung kann auch remote auf einen anderen PC zugreifen, wobei der Anwender diesen Zugriff allerdings nur mit den Zugriffsrechten eines Administrators durchführen kann, da die Software ihre Daten aus der Registrierungsdatenbank des jeweiligen Systems auslesen muss.
Ein Systembetreuer kann mit dieser Software aber nicht nur passiv ein System beobachten oder auswerten, sondern auch direkt eingreifen: So ist es mittels der Software zum Beispiel möglich, ein mit dem System verbundenes Gerät von diesem zu trennen beziehungsweise das Peripheriegerät zu deaktivieren.
Wer sich noch etwas weiter mit dem Werkzeug beschäftigt, der kann über die erweiterten Optionen auch je Gerät bestimmte, vorher definierte Aktionen sowohl beim An- als auch beim Abkoppeln eines USB-Geräts ausführen lassen. Und nicht zuletzt bietet die Software die Möglichkeit, die Übersicht über die Geräte als HTML-Datei zu exportieren.
Auch Windows kann schützen
Da es derlei Probleme schon recht lange gibt, haben Systemverwalter und Anwender schon auf den XP-Systemen nach einer Möglichkeit gesucht, den Zugriff auf die USB-Anschlüsse über das Betriebssystem zu regulieren. Aus Ermanglung an entsprechenden, ins Betriebssystem integrierten Fähigkeiten wurde dazu, wie so häufig bei den älteren Windows-Systemen, der Zugriff auf die Registrierungsdatenbank (Registry) gewählt.
Jeder erfahrene System-Profi wird jedoch bestätigen, dass eine Änderung "von Hand" an dieser zentralen Windows-Datenbank zur Verwaltung des Systems und dessen Dienste immer mit einem hohen Risiko behaftet ist: Änderungen, die dort ausgeführt werden, sind immer sofort aktiv und können dementsprechend ein Windows-System auch nachhaltig beschädigen. Trotzdem wird diese Einstellung, die bereits installierte USB-Laufwerke abschaltet, sodass der Anwender sie nicht mehr verwenden kann, immer noch eingesetzt. Einer ihrer Vorteile liegt darin, dass sie sowohl auf älteren als auch auf den neuen Windows-Systemen funktioniert.
Dazu muss im Registry-Schlüssel
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
der hexadezimale Wert des Eintrags "Start" auf 4 gesetzt werden. Danach kann ein Nutzer zwar noch USB-Geräte wie Tastatur und Maus verwenden, wird aber nicht mehr auf Speichergeräte zugreifen können. Die Handhabung dieser Methode ist allerdings sehr umständlich, da ein Systemverwalter einen Aufruf des Registry-Editors in das Anmelde-Script integrieren muss. Zudem muss er dafür sorgen, dass diese Einstellung auch bei neuen Geräten wirksam wird (durch ein weiteres Script), da Windows bei Installation eines neuen Geräts an dieser Stelle grundsätzlich den Wert 3 einträgt, der den Zugriff erlaubt.
Gruppenrichtlinien können helfen
Wer in seiner Firma ausschließlich Systeme mit Betriebssystemen ab Windows Vista oder Windows Server 2008 einsetzt, ist ein bisschen besser dran. Microsoft stellt hier Gruppenrichtlinien bereit, mit deren Hilfe der Zugriff auf Peripheriegeräte gewährt oder verweigert werden kann. Lesen Sie dazu auch unseren Beitrag Windows-Praxis: USB-Nutzung per Gruppenrichtlinie reglementieren.
Das Durchsetzen solcher Richtlinien ist in Umgebungen, die Active-Directory einsetzen, gut durchzuführen, setzt aber immer eine einheitliche Systemumgebung mit neuen Betriebssystemen voraus.
Kommen Endgeräte zum Einsatz, die das Protokoll IEEE 1667 unterstützen, so können die Zugriffe noch viel feiner granuliert geregelt und überprüft werden. Dieses Protokoll beschreibt die Methoden, die zur Authentifizierung von externen Geräten wie USB-Sticks eingesetzt werden können, wenn sie mit einem Computer verbunden werden.
Ein Support-Artikel auf Microsofts Webseiten erläutert, wie diese sogenannten erweiterten Speichergeräte unter Windows Server 2008 und Vista eingesetzt werden können.
Das Problem existiert überall - die Lösung muss sich anpassen
Das Problem, dass Anwender mit Vorsatz oder auch unabsichtlich wichtige Informationen über mobile Datenträger aus dem Firmennetz herausbringen, ist so akut wie nie zuvor. Moderne Windows-Systeme können zwar gewisse Einschränkungen für den Zugriff auf diese Schnittstellen bieten, der Aufwand bei der Einrichtung, Betreuung und Verwaltung dieser Technik erfordert aber einen erfahrenen Administrator.
Wer also diese Endpunkte in einem Netzwerk mit mehr als 20 PCs absichern will oder muss, sollte sich unbedingt eine der vielen Lösungen auf den Markt näher anschauen, von denen wir hier fünf beispielhaft vorgestellt haben. Bei sehr viel größeren Installationen ist der Einsatz einer derartigen Software auf jeden Fall geraten. Alle Anbieter der von uns betrachteten Lösungen stellen zumeist eine 30 Tage lauffähige Testversion zur Verfügungen. Ob eine einfache Registrierung bereits zum Download berechtigt, hängt von den einzelnen Anbietern ab.
Für Systembetreuer in kleiner Firma ist die vorgestellte Freeware von Nirsoft eine sehr gute Alternative, die Zugriffe über die USB-Schnittstellen gelegentlich zu kontrollieren und im Zweifelsfall auf einzelnen Rechner auch zu unterbinden. Natürlich steht in kleinen Netzen auch noch der geschilderte Weg über einen Eingriff in die Registrierungsdatenbank von Windows offen, allerdings ist dies ein Vorgehen, von dem wir grundsätzlich wegen der damit verbundenen Risiken abraten. Wer ganz sichergehen will, kann schließlich auch Thin- oder Zero-Clients für seine Anwender als sichere Möglichkeit zur Kontrolle der Endpunkte anschaffen. (mje)