Anschnallpflicht für Memory-Sticks. Während zahlreiche Unternehmen ihre IT-Infrastruktur mit diskettenlosen Desktop-Rechnern und ausgeklügelten Passwort-Systemen vor ungeprüftem Zugang schützen, bleibt die kleine USB-Schnittstelle oft unbeachtet. Und das, obwohl sie in der wesentlich schnelleren Version 2.0 einen Datenklau binnen Sekunden zulässt.

Anschnallpflicht für Memory-Sticks

Heutzutage ist kaum mehr ein Rechner ohne diese Schnittstelle ausgestattet, die so viel Flexibilität ermöglicht: Der Universal Serial Bus, kurz: USB, arbeitet schnell, bietet mehrere Anschlüsse und unterstützt im laufenden Betrieb das Auswechseln von Geräten, die beim Ein- und Ausstecken automatisch konfiguriert werden. Nunmehr wird die Schnittstelle in der wesentlich schnelleren Version 2.0 in nahezu jeden PC gleich mehrfach eingebaut und von den Herstellern externer Zusatzgeräte reichlich mit neuer Hardware in Form von einsteckbaren Halbleiterspeichern, externen Festplatten, CD-RW/ DVD-RW-Laufwerken, Netzwerkanschlüssen und diversen anderen Geräten bedacht.

Was viele nicht wissen: Innerhalb weniger Augenblicke können Angreifer über die USB-Schnittstelle wichtige Schutzfunktionen des PC-Betriebssystems umgehen und damit die Kontrolle über fremde Rechner erlangen. Für IT-Leiter eher nachvollziehbar sind da zusätzliche Gefahren wie das Einschleusen von Viren und anderen Schadprogrammen oder der Verlust von Firmendaten. Schließlich haben Datendiebe zum Kopieren von Dateien immer mehr Geräte zur Auswahl: Wer sich etwas mehr Aufwand machen will, nutzt CD/DVD-Brenner oder Festplatten, die mittlerweile einen Speicherplatz im dreistelligen Gigabyte-Bereich bereitstellen. Außerdem lassen sich die Kartenlesegeräte für die Speicherchips digitaler Kameras sowie Digitalkameras mit USB-Anschluss zum unerlaubten Kopieren von Dateien missbrauchen.

Aber warum so kompliziert? Für "kleinere Dateidiebstähle" reicht doch schon ein Memory Stick - handlich wie ein Schlüsselanhänger - der obendrein mittlerweile Speicherplatz im Gigabyte-Bereich bietet und schon für unter einhundert Euro zu haben ist. "Zwar haben viele IT-Leiter dieses Problem in seinen Grundzügen bereits erkannt. Doch herrscht vielerorts der Irrglaube, es ohne zusätzliche Sicherheitstools lösen zu können", moniert Helmut Dansachmüller, Leiter Produktmanagement bei Utimaco. Viele IT-Verantwortliche versuchten laut Dansachmüller den Gebrauch von USB-Sticks einfach zu verbieten, "was in der Praxis einfach nicht funktionieren kann." Selbst wenn offiziell der Einsatz der kleinen Speichermedien verboten würde, dürfte es tatsächlich schwierig sein herauszufinden, welcher Mitarbeiter gerade an welchem Rechner einen privaten USB-Stick nutze, so der Utimaco-Manager.

Der amerikanische Sicherheitsanbieter Smartline hat für den Vertrieb seines Produkts Device Lock bereits den deutschen Reseller PC Ware gewonnen.

Foto: Smartline

Schutz der USB-Schnittstelle kümmert nur wenige Hersteller

Derzeit sind nur wenige Produkte am Markt erhältlich, die Administratoren einen Überblick über alle aktuell angeschlossenen Geräte - einschließlich Peripherie-Devices - geben. Eines davon ist die LANDesk-Management-Suite von LANDesk. Sie ist in der Lage, von jedem Gerät im Netzwerk mit IP-Adresse die Hardware-Assets inklusive der Schnittstellen, also auch USB-Ports, auszulesen. Das Tool erfasst darüber hinaus sämtliche Peripheriegeräte an diesen Schnittstellen wie Handheld-Cradles, Drucker sowie Wechseldatenträger. In Echtzeit, also in dem Moment, in dem ein Mitarbeiter etwa einen USB-Stick an ein System anschließt, erhält der Administrator sofort eine Meldung der Art "Neues Speichermedium hinzugekommen". Über die Treiberinfo in Windows lässt sich theoretisch auch erkennen, ob es sich dabei um einen USB-Stick oder eine Festplatte mit USB-Anschluss (beispielsweise bei Notebooks) handelt. Was der LANDesk System Manager nicht leisten kann, ist die Verfolgung weiterer Aktivitäten, zum Beispiel, ob der Nutzer Daten aufspielt oder vom Rechner beziehungsweise aus dem Netzwerk auf den Datenträger speichert. Das Programm ist auch nicht in der Lage, den USB-Port remote zu sperren.

Einen Schritt weiter geht der amerikanische Sicherheitsanbieter Smartline mit seinem Produkt Device Lock. Mit Hilfe der Lösung kann der Administrator einstellen, welcher Benutzer auf welche Laufwerke und damit auch USB-Schnittstellen auf lokalen Windows-Rechnern zugreifen kann. Weniger bekannt dürfte die badische IBV Informatik GmbH sein. Mit dem Produkt Secure NT können Administratoren den Zugriff auf Input/Output-Geräte wie Memory Sticks oder über den USB-Port angeschlossene externe Speichergeräte kontrollieren. Die Administration der Geräte und Ports erfolgt zentral. Sie werden einer Access Control List (ACL) zugewiesen, die definiert, wer innerhalb des Unternehmens welche Geräte nutzen kann. Bei Produkte entbehren jedoch der Möglichkeit, detaillierte Regeln für die Benutzung festlegen zu können.

Utimaco geht ins Detail

Um diese Feinheiten kümmert sich Utimaco. Mit dem Produkt Safeguard Advanced Security können Administratoren an zentraler Stelle definieren, welche Geräte von welchen Anwendern genutzt werden dürfen. Individuelle Einstellungen erlauben aber noch mehr. "Mit Hilfe der Safeguard Advanced Security Suite können Administratoren etwa einem Memory Stick nur bestimmte Laufwerksbuchstaben zuordnen und dabei beispielsweise nur den Import, aber nicht den Export von Dateien erlauben", so Helmut Dansachmüller von Utimaco. Wer den Export von Dateien nicht gänzlich verbieten wolle, könne auch nur das Speichern bestimmter Dateiformate gestatten, ergänzt der Leiter Produktmanagement. Darüber hinaus offeriert das Sicherheitsunternehmen Produkte, mit denen die USB-Daten sicher, das heisst: verschlüsselt - im Firmennetzwerk und auf dem Laptop gespeichert werden können. Während die Lösungen Safeguard Easy (ab Mai 2004 verfügbar), Safeguard Private Disk sowie Safeguard LAN Crypt das Verschlüsseln von Dateien im Hintergrund erlauben, erfordert - und gestattet - das Produkt Safeguard Private Crypto manuelle Einstellungen des Benutzers. Für noch mehr Sicherheit verbindet Utimaco eine enge Partnerschaft mit Aladdin. Die E-Token des Sicherheitsanbieters schützen den Anmeldeprozess des Benutzers. "Während sich Utimaco um Boot-Schutz und die Verschlüsselung von Dateien kümmert, sorgen wir für starke Authentifizierung", so Joachim Gebauer, Presales Consultant IT-Security bei Aladdin. "Wir sind also der sichere Schlüssel zur Utimaco-Software", ergänzt Gebauer.

Selbsthilfe gefragt

Der Einsatz von Sicherheitsprodukten entbindet Nutzer und Administratoren nicht von der eigenen Sorgfaltspflicht. So kann es schon helfen, das PC-BIOS gewissenhaft zu konfigurieren. Darüber hinaus können im Betriebssystem Einstellungen vorgenommen werden, die beispielsweise regeln, dass ein USB-Netzwerkadapter nur dann angeschlossen werden darf, wenn der Benutzer über Rechte für einen Verbindungsaufbau mit dem entsprechenden Gerät verfügt.