Schnittstellen-Sicherung ohne Komfortverlust
Schnittstellen-Sicherung ohne Komfortverlust. Mit einem flexiblen Positivlisten-Verfahren bekommt die ING DiBa die Gefahren der automatischen Geräteerkennung von Windows XP in den Griff, ohne die Produktivitätsvorteile preisgeben zu müssen.
Schnittstellen-Sicherung ohne Komfortverlust
Die automatische Geräteerkennung von Windows XP bringt den Nutzern nicht nur Komfort, sondern bereitet den Sicherheitsverantwortlichen auch Kopfzerbrechen. Denn sie fördert vorderhand erst einmal die Möglichkeit, kleine Winzlinge mit viel Speicher sehr komfortabel anzuschließen, über die dann potenziell große Informationsmengen unberechtigterweise abgesaugt werden können, oder über die Schadsoftware eingeschleust werden kann.
Speziell über die USB-Schnittstelle lassen sich große Datenspeicher andocken. Geräte wie iPods, Digitalkameras und PDAs sorgen für ungewollte beziehungsweise missbräuchliche Vervielfältigung von Daten jeder Art. Für viele Unternehmen war deshalb mit der Umstellung auf Windows XP ein Umdenken in Sachen Sicherheit und Nutzung dieser neuen Möglichkeiten verbunden. Bloßes Sperren der entsprechenden Schnittstellen macht die zweifellos vorhandenen Produktivitätsvorteile der automatischen Geräteerkennung zunichte. Organisatorische Maßnahmen bringen zwar juristische Sicherheit und einem zuwider handelnden Mitarbeiter die Entlassung, sind aber insgesamt wenig zielführend, weil sie trotz Strafandrohung oft umgangen werden dürften.
Beim Finanzkonzern ING DiBa entschied man sich gegen eine unflexible, die Produktivität beeinträchtigende Komplett-Sperrung und für die gezielte Freigabe für Benutzer beziehungsweise Geräte mit Hilfe einer speziellen Sicherheitssoftware. »Damit können Sicherheitsvorgaben einzelner Abteilungen zentral umgesetzt und kann neueste Hardware bei Bedarf schnell eingebunden werden«, begründet Detlef Ebert vom IT Operations Center der ING DiBa Bank am Standort Nürnberg diese Entscheidung. Gemeinsam mit den IT-Beratern der Münchner Tryptis GmbH entschied sich das Nürnberger Rechenzentrum der ING DiBa für die Software Sanctuary Device Control (SDC) des Luxemburger Unternehmens Securewave.
Organisationsaufwand macht sich bezahlt
Den wirklichen zeitlichen Aufwand bei einer solchen Implementierung verursacht nicht das Aufspielen der Software (das war nach Aussage von Detlef Ebert in einigen wenigen Stunden erledigt). Aufwändig sind vielmehr die organisatorischen Festlegungen im Vorfeld. Diese dauern umso länger, je individueller die einzelnen Berechtigungen ausgestaltet werden. Doch mache sich dieser Aufwand »gleich mehrfach bezahlt«, unterstreicht Roger Wagner, Vertriebsdirektor Kontinentaleuropa bei Securewave. Zum einen erhalte man einen Überblick über die tatsächlich notwendigen Geräte im Unternehmen und zum anderen werde das operative Management nach Installierung der Software sehr vereinfacht. Außerdem bringe eine Vereinheitlichung der Geräte Ersparnisse für den Helpdesk und den Einkauf.
Bei der ING DiBa wurden die organisatorischen Eckpunkte direkt vor Ort entschieden. Die jeweiligen Abteilungsleiter legten die Geräte fest, die an den einzelnen Arbeitsplätzen zum Einsatz kommen und damit zugelassen werden sollten.
Die Guten in die Liste
Die ING DiBa hat insgesamt 2600 Lizenzen für die Schnittstellen-Sicherungs-Software auf allen Arbeitsplätzen in den deutschen Niederlassungen Frankfurt, Hannover und Nürnberg installiert. Die Software arbeitet nach dem Positivlisten-Prinzip: Das bedeutet, dass zunächst sämtliche externen Geräte gesperrt sind und erst nach zentraler Freigabe für den jeweiligen Client genutzt werden können. Dies gilt für sämtliche Anschlüsse wie Diskettenlaufwerke, CD-ROMs, DVDs, serielle, parallele und USB-Schnittstellen. In der ING DiBa entschied man sich, nur die USB-Schnittstellen nach jeweiliger Freigabe zu öffnen. Dafür wird für jedes Gerät eine Zugriffskontrollliste angelegt. Nur der Administrator kann den Benutzer oder Benutzergruppen mit den Geräten verknüpfen und somit den Zugriff gestatten.
»Die Entscheidung für die jetzt installierte Lösung fiel aufgrund der umfangreichen Steuerungsmöglichkeiten und der Geräte bezogenen Freigabe für sämtliche Mitarbeiter«, macht Detlef Ebert klar. Die Einstellungsmöglichkeiten erlaubten sogar, ein spezielles Gerät nur für eine Benutzergruppe freizuschalten. Hier biete die Verschlüsselungsoption dann die notwendige Sicherheit. »Momentan werden rund 20 verschiedene mobile Geräte wie Blackberrys, Palms oder iPacks genutzt«, berichtet Ebert. Und Roger Wagner ergänzt: »Unsere Erfahrungen in den vergangenen Jahren haben gezeigt, dass speziell diese Möglichkeit für Unternehmen sehr wichtig ist, denn so kann auf die individuellen Bedürfnisse einzelner Mitarbeiter problemlos eingegangen werden.«
Auffällige Unauffälligkeit
Eine potenzielle Problemstelle von Positivlisten-Verfahren liegt nicht im Sicherheitsbereich, sondern in der Störung des Arbeitsflusses und damit der Produktivität. Niemand ist erfreut, wenn er Rechte verweigert bekommt. Deshalb ist es wichtig, dass in solchen Fällen die entsprechende Sicherheitssoftware nicht bei der bloßen Negation stehen bleibt, sondern Wege aus der Blockade aufzeigt. Die bei der ING DiBa eingesetzte Software löst das Problem folgendermaßen: Bei einem versuchten Zugriff auf ein gesperrtes Gerät erscheint ein Fenster mit weiterführenden Informationen, die vom Anwender frei definiert werden können. Hier kann den Mitarbeitern zum Beispiel mitgeteilt werden, wer der direkte Ansprechpartner für eine Freigabe ist oder weshalb eine Nutzung nicht möglich ist. Dieses Kommunikationsfenster ist mehr oder weniger das Einzige, was ein Anwender von der Schnittstellen-Software überhaupt mitbekommen kann. Im Normalfall arbeitet diese lautlos und ihr Erfolg besteht gerade darin, dass nichts passiert.
Messgrößen für den Erfolg gibt es gleichwohl: So findet beispielsweise zweimal jährlich eine Revision statt, die die Einhaltung sämtlicher rechtlichen Vorgaben in Sachen IT-Sicherheit prüft und wo die Unauffälligkeit auffällig wird, sprich: positiv ist, wenn keine Mängel festgestellt werden.
