Datenschutzlösung im Praxistest: BlackFog
Der sichere Weg hinaus
Fortsetzung des Artikels von Teil 1
BlackFog: Installation und Inbetriebnahme
Für diese Art von Problemen hat das US-amerikanische Unternehmen BlackFog die gleichnamige Sicherheitslösung entwickelt, die den Anspruch erhebt, die Sicherheit und den Datenschutz auf den Endgeräten zu ermöglichen, indem sie direkt auf diesen Geräten arbeitet und dort auch entsprechenden Schutz gewähren kann. Die Software offeriert Anbieter in einer Enterprise- und einer sogenannten Privacy-Version. Uns stand für diesen Bericht die Version „BlackFog Enterprise“ in der Version 4.7.0 zum Test zur Verfügung. Bei beiden Ausprägungen ist der Agent-Teil auf den jeweiligen Endgeräten aktiv und führt dort die eigentlichen Aufgaben zum Schutz des Systems aus. Unterstützt werden dabei Windows- (ab Windows 7), macOS- (ab macOS 10.11.5), Android- (ab Version 5.0) und iOS-Geräte (ab 10.3).
Die Enterprise-Version stellt dem Administrator dabei eine Cloud-Konsole zur Verfügung, mit deren Unterstützung er die zu überwachenden Systeme zu Gruppen zusammenfassen kann und eine umfassende Übersicht über die verschiedenen Bedrohungen erhält.
Die Software, die dann für den Nutzer zum Einsatz kommt, läuft auf Amazons AWS-Plattform im Netz. Laut Aussagen von BlackFog bekommen Anwender aus Deutschland den Dienst aus dem irischen Rechenzentrum des Anbieters bereitgestellt. Die Infrastruktur für BlackFog soll jedoch – so eine weitere Aussage des Anbieters – mit wachsender Kundenbasis stetig weiter wachsen. Jeder Enterprise-Nutzer bekommt sein eigenes nur ihm zugewiesenes Dashboard angezeigt, von dem aus auch nur er auf seine Geräte zugreifen kann. Die Unterscheidung geschieht dabei laut BlackFog durch den Lizenzschlüssel, sodass die Kunden voneinander abgeschottet sein sollen. Die Installation der Konsole und damit des Dashboards zur Überwachung der eigenen Endgeräte auf einen dedizierten Server im eigenen Rechenzentrum ist leider nicht möglich.
Die Oberfläche des Enterprise-Dashboards steht ausschließlich in englischer Sprache bereit. Das Unternehmen versichert jedoch, dass man auch einer Unterstützung der deutschen Sprache arbeite. Insgesamt ist das Dashboard übersichtlich aufgebaut und die Bedienung stellt für erfahrene Administratoren kein Problem dar. Die Anmeldung an dieser Oberfläche, durch die letztendlich die Entscheidung getroffen wird, dass die Nutzer auch wirklich ihr Dashboard mit ihren Geräten zu sehen bekommen, lässt sich auch mittels einer Zwei-Faktor-Authentifizierung absichern. Während der Administrator auf der rechten Seite des Dashboards sowohl eine Übersicht über seine mit der Konsole verbundenen Geräte als auch über die allgemeine Bedrohungslage bekommt, findet er ganz links eine Leiste mit verschiedenen Menüpunkten.
Unter dem Eintrag „Impact“ bekommt der Nutzer einen Überblick darüber, welche Gefahren seine Endpunkte während der letzten 30 Tage in welchem Umfang bedroht haben. Angezeigt sind diese Daten dabei sowohl für die Gesamtheit der überwachten Systeme als auch aufgeschlüsselt auf die eingebundenen Geräte, die Prozesse darauf und die Domänen, zu denen die Endgeräte eine Verbindung aufgebaut haben. Mit einem Klick auf die Einträge, kann sich der Administrator dann noch genauer darüber informieren, was zu dem genannten Zeitpunkt verhindert wurde. Der Eintrag „Breaches“ zeigt ihm ebenso detailliert, über welcher seiner E-Mail-Adressen ein versuchter Zugriff in Richtung „Darknet“ stattgefunden hat. Der Nutzer kann dabei auch nähere Informationen über diesen „Breach“ erhalten. Im Bereich „Events“ sind dann die Ereignisse einzeln aufgelistet. Dort führt ein Klick auf den in der Spalte „Ref“ angezeigten Eintrag direkt zur Seite der globalen Datenbank „Mitre Att&ck“ in der beispielsweise eine unerlaubte Erhöhung der Zugriffsrechte (was die Software auf einem unserer Systeme fand) via Spoofing der Parent-ID erläutert ist.
Sind die Agenten erst einmal ausgerollt, kann der Administrator festlegen, wie entsprechende Vorfälle und Angriffe, die den ausgehenden Datenverkehr betreffen, auf diesen Geräten zu regeln sind. Dazu ist es auf jedem Fall sinnvoll, die eigenen Geräte zuvor entsprechenden Gruppen zuzuordnen, sodass der Systembetreuer ihnen gemeinsam die Einstellung zuweisen kann. Diese Einstellungen findet er im Menüunterpunkt „Setting“ aufgeteilt nach den unterstützten Betriebssystemen.
An dieser Stelle findet sich dann auch ein Eintrag mit der Bezeichnung „Global“. Dort kann der Anwender neben einer White- und Blacklist für Netzwerkdomänen auch einen Link zum Download der Agenten finden oder einen automatischen Download veranlassen. Uns fiel dabei eine kleine Inkonsistenz auf: Während unser Dashboard behauptetet, dass der aktuelle Windows-Agent die Versionsnummer 4.7.1 tragen würde, meldete sich der installierte Agent dann bereits mit der Versionsnummer 4.7.2 auf dem Windows-10-System. In diesem Global-Menü kann der Administrator auch einen Pfad zu den auf seinen Endgeräten aktiven und sicheren PowerShell-Skripts eintragen.
Die Android-Software ist leider nicht über den Google Play Store bereitgestellt, sondern muss als APK-Datei heruntergeladen und unter entsprechender Änderung der Sicherheitseinstellung auf dem Android-Gerät (Installation von unbekannter Quelle zulassen) installiert werden. Dies dürfte im Unternehmensumfeld nicht unbedingt die Zustimmung der Administratoren finden.
Sehr gut haben uns dagegen insgesamt die umfangreichen Möglichkeiten zum Reporting gefallen: Der Administrator kann in vielen Bereichen direkt im entsprechenden Fensterbereich die angezeigten Daten in eine Excel-Datei exportieren. Die entsprechenden Grafiken zur Präsentation, die er vielleicht für das Treffen mit der Geschäftsleitung benötigt, muss der dann allerdings in Excel noch selbst erstellen – aus dem Dashboard heraus geschieht nur der Export der reinen Daten und keine Grafiken.
Für größere Unternehmen oder für den Einsatz bei einem Systemhaus, das mit dem Einsatz dieser Software die Endgeräte seiner Kunden betreut, ist es im Bereich „Preferences“ auch möglich, die Software mit eigenem Logo (auch für zu erstellende PDF-Reports) zu versehen. Eine spezielle Version der Software für MSPs (Managed Service Provider) bietet das Unternehmen ebenfalls an.
- Der sichere Weg hinaus
- BlackFog: Installation und Inbetriebnahme
- Welche Daten es zu schützen gilt
Lesen Sie mehr zum Thema
