Bacher Systems

• Newsletter
  • Wir über uns
  • Karriere
  • Kontakt
  • Impressum
  • AGB
• Ausgabe 1, 2007
  • Archiv
  • 2010
  • Ausgabe 1, 2009
  • Ausgabe 3, 2008
  • Ausgabe 2, 2008
  • Ausgabe 1, 2008
  • Ausgabe 4, 2007
  • Ausgabe 3, 2007
  • Ausgabe 2, 2007
  • Ausgabe 1, 2007
  • Ausgabe 6, 2006
  • Ausgabe 5, 2006
  • Ausgabe 4, 2006
  • Ausgabe 3, 2006
  • Ausgabe 2 2006
  • Ausgabe 1, 2006
  • Ausgabe 9, 2005
  • Ausgabe 8, 2005
  • Ausgabe 7, 2005
  • Ausgabe 6, 2005
  • Ausgabe 5, 2005
  • Sonderausgabe Mai 2005
  • Ausgabe 4, 2005
  • Ausgabe 3, 2005
  • Ausgabe 2, 2005
  • Ausgabe 1, 2005

Device Control ist mehr als USB-Sperre

Externe Geräte sind sogar dann gefährlich, wenn sie von Markenanbietern stammen. Wird ein infiziertes Gerät an einen Client angeschlossen, ist der Computer praktisch sofort befallen. Die physischen Schnittstellen jedes Clients sind also ein erhebliches Si

Fixe Arbeitsplatzrechner und mobile Clients haben eines gemeinsam - sie verfügen über eine Vielzahl von Schnittstellen, die den Anschluss externer Geräte ermöglichen. USB, Firewire, WLAN, Bluetooth, Infrarot sowie serielle und parallele Schnittstellen verbinden Computer mit Memory-Sticks, Mobiltelefonen, Festplatten, MP3-Playern, Kameras und jeder anderen nur erdenklichen Peripherie. Diese grenzenlosen Möglichkeiten bringen aber ebenso grenzlose Gefahren mit sich. Mit extern anschließbaren Speichermedien ist es sehr leicht, Daten aus dem Unternehmen zu bringen - eine Kundendatei oder andere sensible Informationen sind schnell auf einen USB-Stick kopiert. Darüber hinaus wird mit den Schnittstellen unerwünschter Schadsoftware Tür und Tor geöffnet. Wie die Beispiele im Bild zeigen, werden selbst mit Geräten von Markenherstellern immer wieder Trojaner oder Würmer eingeschleppt. Wenn der betroffene Client ins Unternehmensnetzwerk eingebunden ist, muss in weiterer Folge sogar eine Verbreitung der Malware im ganzen Haus befürchtet werden.

Echte Kontrolle ist möglich

Die logische Konsequenz aus diesen Umständen ist, dass eine einfache USB-Sperre so gut wie gar nichts nützt. Sie kann viel zu leicht umgangen werden und ist in ihrer Definition zu grob - denn manche externe Geräte müssen einfach betrieben werden können. Auch die mit Windows Vista neu gebotenen Funktionalitäten zur Gerätekontrolle sind für Unternehmensmaßstäbe nicht ausreichend. Das bedeutet, dass die Problematik nur mit ausgereiften Lösungen für Device Control in den Griff zu bekommen ist. Sie bieten eine umfassende Kontrolle aller Geräte nach dem White-List Prinzip und halten dabei gleichzeitig die volle Funktionalität der Clients aufrecht. Die Nutzung von externen Geräten wird damit gezielt steuer- und nachvollziehbar. Das Netzwerk wird vor dem Einschleusen von Schadsoftware geschützt und es wird verhindert, dass Daten unbemerkt auf externe Speichermedien kopiert werden können. Werden externe Datenträger eingesetzt, die von der Device Control explizit erlaubt sind, so werden die Daten einer Verschlüsselung unterzogen. Neben dem Nutzen, dass die Unternehmensdaten auf diese Weise wirkungsvoll abgesichert werden, haben echte Device Control Lösungen auch noch einen wichtigen Nebennutzen: Sie liefern einen Nachweis über die Datensicherheit, die mit den zunehmenden Compliance-Anforderungen verlangt wird.

Anforderungen an Device Control

Der Nutzen von Device Control entfaltet sich aber nur dann, wenn die eingesetzten Produkte ganz bestimmte technische Anforderungen erfüllen. Viele halbherzige Lösungen machen es allzu leicht möglich, den gebotenen Schutz zu unterwandern und die Device Control zu umgehen. Hier exemplarisch drei der wichtigsten Anforderungen:

• Verschlüsselte Client/Server-Kommunikation: Die Kommunikation zwischen dem Administrations-Server der Lösung und den Clients muss unbedingt verschlüsselt und unabhängig von leicht angreifbaren Kommunikationskanälen (wie z.B. RPC) erfolgen. Damit wird sichergestellt, dass die Übertragungen gegen Veränderungen geschützt sind. Andernfalls könnte der Verkehr abgehört und verändert oder gefälscht werden. Auf diese Weise wäre es möglich, die Geräte-Anschlussrechte des Clients zu manipulieren und die Device Control zu umgehen.
• Geschützte Software-Komponenten: Nicht nur auf Grund der Geschwindigkeit  sondern auch aus Sicherheitsgründen muss die Device Control Funktionalität auf dem Client im Kernel angesiedelt sein. Dem Benutzer wird es damit selbst mit Administrator-Rechten praktisch unmöglich gemacht, die Sicherheitssoftware zu umgehen. Auch im abgesicherten Modus ist so der volle Schutz gegeben.
• On/Offline-spezifische Regeln: Die vergebenen Geräterechte müssen nach On- und Offline-Betrieb unterschieden werden. So ist es beispielsweise für ein Notebook sinnvoll, außer Haus für den Internetzugang eine PCMCIA-Modemkarte einzusetzen. Wird das Notebook aber im Firmennetzwerk verwendet, darf der Aufbau einer solchen Verbindung nicht möglich sein - die Security-Policy des Unternehmens würde unterlaufen werden.

Diese und weitere zentrale Anforderungen an Device Control Lösungen werden nur von ganz wenigen Herstellern erfüllt. Die Bacher Systems Experten empfehlen nach eingehenden Evaluierungen das Sanctuary Device Control Produkt von SecureWave. Mehr über die Realisierung echter Device Control Lösungen erfahren Sie auf dem nächsten Bacher Systems Breakfast.