USB-Ports am PC kontrollieren
Trau, schau, wem
Manche neuen Medien für den Austausch von Daten sind praktisch, aber gefährlich. Auf einem 4-GByte USB-Stift wandern schnell die Kundendatenbank nach Hause oder ein halbes Dutzend unerlaubte Programme ins Netzwerk. USB-Blocker-Software kontrolliert und sorgt für bestimmungsgemäßen Einsatz der Speicherstifte.
Das beliebteste Werbegeschenk auf einer Messe? Klare Sache, ein USB-Stift. Die kleinen Speicherriesen sind so billig geworden, dass sie mittlerweile zu Dutzenden in Schubladen und auf Schreibtischen herumliegen. Dagegen ist auch nichts zu sagen. Doch schnell, groß und komfortabel wie die Speicher sind, zu denen man heute auch portable Festplatten wie den Ipod sowie digitale Kameras zählen muss, bergen sie auch ein Risiko: Der geneigte Mitarbeiter kann praktisch alles, was er an digitalen Informationen transportieren möchte, aus dem Büro schaffen. Mittlerweile sind Kapazitäten von acht GByte erhältlich, womit sich die Daten eines kompletten Servers auf Schokoriegelformat einschmelzen lassen. Vielen Unternehmen scheint die Gefahr zwar bewusst zu sein – eine Studie von Reflex Magnetics in England aus dem Jahr 2004 ergab, dass 82 Prozent der befragten USB-Speicher als Gefahr sehen. Die gleiche Studie ergab auch, dass 60 Prozent der Befragten die Nutzung von USB-Speichern nicht überwachen, 84 Prozent unternahmen nichts gegen die potenzielle Gefahr.
So viel Unbekümmertheit kann gefährlich sein. Selbst wenn man keine Datenspionage fürchtet, birgt die Verfügbarkeit von billigen USB-Massenspeichern Gefahrenpotenzial: Viren, Würmer, Trojaner – die ganze Bandbreite der Schädlinge wandert auf diesem Medium unsichtbar für Firewall und den zentralen Virenscanner zum Arbeitsplatz des Benutzers. Zu diesem Ergebnis kamen auch die Analysten der Gartner Group. Sie sehen in den kleinen Speicherriesen eine Bedrohung für die Datenintegrität in Unternehmen und empfehlen dringend, keine unkontrollierte Nutzung zu erlauben. Das Stichwort lautet "Unkontrolliert". Niemand, auch Gartner nicht, geht davon aus, dass ein Unternehmen portable Speicher verbieten kann. Ein kontrollierter Ansatz verspricht mehr Erfolg und erlaubt auch weiterhin den Einsatz der kleinen Helferlein. Zwei Dinge gehören zu einer wasserdichten Lösung: Erstens muss ein Unternehmen klare Richtlinien für die Nutzung festlegen und kommunizieren, wer was mit welchen Geräten tun darf. Und weil Vertrauen gut, Kontrolle in diesem Fall aber unerlässlich ist, sorgt die passende Software dafür, dass nur freigegebene Speichergeräte Zugriff bekommen und keine Daten unerlaubt aus dem Netz kopiert werden.
Es gibt inzwischen viele Programme zur Kontrolle der USB-Schnittstellen. Der Trend geht allerdings zu Kombilösungen, die neben den USB-Ports auch alle anderen Schnittstellen am PC kontrollieren. Sie geben dem Administrator eine fein abgestimmte Kontrolle darüber, was die Nutzer an ihren PCs mit Speichermedien aller Art anstellen dürfen. Das Grundprinzip ist immer das Gleiche: An einem PC werden über eine Admin-Software Richtlinien festgelegt, wer wann und auf welche Geräte in welcher Weise zugreifen darf. Auf den zu kontrollierenden PCs sorgt eine Clientsoftware für die Umsetzung der Richtlinien. Neue Richtlinien und Updates bekommen die Clients per Push zugesandt, oder sie holen sich die Informationen regelmäßig ab.
Kontrolle, aber richtig
Alle Programme nutzen eine Datenbank, um erfasste Geräte zu speichern und die dazu passenden
Richtlinien abzulegen. Weil schon bei einem mittelgroßen Unternehmen eine ganze Menge von Geräten
zusammen kommen können, ist die Art, wie die entsprechende Datenbank gefüttert wird, ein wichtiges
Kriterium. Am bequemsten wird die Erfassung mithilfe eines Scanners erledigt, der im Netzwerk alle
PCs durchsucht und die gefundenen Schnittstellen und angeschlossenen Geräte automatisch im
Repository einträgt. Solch einen Scanner bieten jedoch nicht alle Hersteller an, oder die Software
existiert, ist aber nicht im Lieferumfang des eigentlichen USB-Blockers enthalten.
Bei einigen Produkten ist es möglich, USB-Geräte am Admin-PC anzustecken und so in die Datenbank
einzutragen. Besonders komfortabel ist es, wenn man als Administrator ausgewählten PCs für einen
bestimmten Zeitraum die Aufnahme neuer Geräte gestatten kann. So lässt sich der USB-Stift eines
Besuchers kurzfristig frei schalten und danach automatisch wieder aus der Datenbank löschen. Wer
sich einen Überblick verschaffen möchte, welche Geräte an den PCs im Netzwerk aktiv sind oder aktiv
waren, kann bei Smartline kostenlos das Programm "PnP-Auditor" (www.protect-me.com/download)
herunterladen. Der Scanner durchsucht eine Domäne oder die Microsoft-Netzwerkumgebung und listet
von allen gefunden PCs die Plug-and-Play-Geräte auf. Dass der PnP-Auditor auch den Firewire-Bereich
und PC-Cards erfasst, ist korrekt: Auch darüber können Daten eingeschleust oder kopiert werden. Die
Durchsatzraten sind zum Teil noch erheblich höher als bei USB.
Gleich welche Lösung zum Einsatz kommt, einige Faktoren müssen immer beachtet werden. So ist die
Art und Menge der erkannten Schnittstellen entscheidend. USB gehört immer dazu, aber auch serielle
und parallele Ports können interessant sein, ebenso – wie schon erwähnt – Firewire, PCMCIA und
Floppy- sowie CD/DVD-Laufwerke. Die Frage, welches Gerät erlaubt und welches verboten ist, ist
übrigens bei weitem nicht so trivial zu beantworten wie sie klingt. Sicherlich kann man alle
USB-Speichergeräte sperren, aber dies hat in kaum einer Umgebung Sinn. Fast immer wird man den
Benutzern Zugriff auf bestimmte Datenträger geben wollen. Eine Software, die die Medien so
detailliert wie möglich erkennt, hilft deshalb enorm. So können einige Produkte nicht nur den Typ
des USB-Geräts (Klasse) und den Hersteller auslesen, sondern auch die Gerätebezeichnung und eine
eindeutige Kennnummer, basierend auf den verbauten Speicherchips. Mit solch einem System könnte ein
Administrator nur den USB-Stift XYZ von Hersteller ABC im Unternehmen erlauben, oder sogar nur
fünfzehn handselektierte Geräte mit ihren eindeutigen Nummern. Verschiedene Hersteller behandeln
nach diesem Konzept sogar CD- und DVD-Medien, die dann ebenfalls explizit für die Nutzung
freigegeben oder gesperrt werden können. Elegant ist auch die Lösung eines Anbieters, über den
Inhalt eines Datenträgers eine Quersumme zu bilden und so eine möglicherweise wieder beschreibbare
CD oder DVD freizugeben, so lange ihr Inhalt nicht verändert wird. Noch weiter gehen Produkte, die
generell jedes Gerät erfassen können, das von Windows erkannt wird, also auch Tastatur, Maus,
Monitor oder Soundkarte. Dies kann notwendig sein, wenn Sicherheitsanforderungen sehr hoch sind –
zum Beispiel bei der Polizei oder in Ämtern. Man bezahlt den größeren Funktionsumfang jedoch mit
einer deutlich komplexeren Konfiguration. In solch einem Fall muss man den Rollout im
Unternehmensnetz sehr sorgfältig planen. Auf einen Schlag schwarze Bildschirme und abgeschaltete
Tastaturen demonstrieren zwar eindrucksvoll die Funktion der Überwachungslösung, begeistern aber
nicht gerade die Anwender.
Für alle Anwender wichtig ist hingegen die Zahl der unterstützten Betriebssysteme auf der
Client-Seite, allerdings konzentrieren sich die Anbieter bislang auf Windows. Und selbst dort gibt
es Ausnahmen: Für Windows 98, das nach wie vor in kleinen Unternehmen zu finden ist, gibt es
entweder keine oder nur optionale Unterstützung. MacOS und Unix werden ähnlich stiefmütterlich
behandelt.
Je detaillierter die Lösung eingestellt werden kann, desto mehr Freiheiten erlaubt sie den
Benutzern, ohne die Sicherheit zu kompromittieren. Die schnelle Zuteilung von Schreib- oder
Leserechten für ein Gerät ist Standard. Präziser wird es, wenn man festlegen kann, wie viele Daten
pro Tag kopiert werden dürfen: Ein Word-Dokument mit einem MByte ist in Ordnung, die
Vertriebsdatenbank mit 2 GByte nicht. Pluspunkte gibt es auch, wenn das Programm bei CD- und
DVD-Brennern die Brennfunktion abschalten kann, das Lesen von Medien aber erlaubt. Das gleiche gilt
für eine Zeitsteuerung, sodass nachts, allein im Büro, eben keine Kamera mehr angeschlossen und
deren Speicherkarte als Datenträger genutzt werden kann.
Fast alle Lösungen bieten in ihren derzeitigen Versionen auch "Shadowing" an. Dabei werden
Schreiboperationen protokolliert. Je nach Produkt zeichnet die Software nur die Dateinamen auf,
andere Hersteller schreiben gar den kompletten Datenstrom mit. Inzwischen sind sogar Lösungen auf
dem Markt, die die gelesenen Daten aufzeichnen. So kann der Administrator feststellen, welche Daten
von außerhalb in sein Netzwerk gelangt sind.
Wer solche Überwachungsmaßnahmen einsetzen will, sollte aber die rechtliche Seite bedenken.
Diese Überwachungsformen bedürfen in Deutschland der Zustimmung des Betriebsrats. Auch das Sichten
der gesammelten Daten darf nur durch autorisierte Personen erfolgen. Darum ist der nächste Punkt
auf der Auswahlliste genauso wichtig: Wer persönliche Daten sammelt, muss auch deren Schutz
gewährleisten. Das geht nur mit einer expliziten, internen Benutzerverwaltung innerhalb des
Programms. Damit werden Aufgaben delegiert und der Zugang zu Log-Dateien nur nach dem Vier-Augen
Prinzip gestattet.
Den Anwender nicht vergessen
Über allen Möglichkeiten zum Absperren und Kontrollieren sollte der Anwender nicht vergessen
werden. Die Kontroll- und Schutzlösung darf ihn in seiner Arbeit nicht einschränken oder behindern.
Eine Nachricht an ihn ist angebracht, wenn er etwas zu tun versucht, was ihm der Administrator per
Richtlinie verboten hat. Ansonsten muss die Software unsichtbar im Hintergrund arbeiten – oder fast
unsichtbar: Ein kleines Icon in der Task-Leiste hilft dem Administrator, wenn er gerade vor Ort
ist. Er sieht mit einem Blick, dass die Software läuft und welche Regeln an diesem PC gelten. Der
Anwender sollte keine Administratorrechte haben und in diesem Fall auch nicht an das Regelwerk des
USB-Blockers heran kommen.
Noch ein Stolperstein könnte die unbeschwerte Port-Kontrolle stören: Da die Clientsoftware an
den PCs meist über RPCs (Remote Procedure Calls) mit dem zentralen Richtlinienserver kommunizieren,
muss eine installierte Firewall den Zugriff erlauben. Das gilt auch für die Desktop-Firewall von
Windows XP SP2, die per Default nach der Installation aktiviert und weit gehend "abgedichtet"
ist.
Vor aller Kontrolle kommt allerdings die Installation. Einige Lösungen bringen eigene Tools zum
Rollout der Client-Software und Richtlinien mit. Andere Produkte nutzen dafür die Windows-eigenen
Mechanismen zur Softwareverteilung, zum Beispiel über Gruppenrichtlinien. Wer bereits eine
alternative Lösung zur Verteilung einsetzt, sollte darauf achten, dass sie mit dem
Installationsformat der Pakete klar kommt.
Verschlüsseln und regeln
Wer es ganz sicher machen möchte, wird sich für Lösungen interessieren, die Inhalte vor dem
Kopieren auf einen Datenträger automatisch verschlüsseln. Das hilft, wenn ein autorisierter
USB-Stift mit wichtigen Daten verloren geht. Aber auch im internen Einsatz kann solch eine
Vorsichtsmaßnahme sinnvoll sein, wenn die Verschlüsselung an einen bestimmten Computer und Benutzer
gebunden ist. So könnte der Anwender eine Datei nur an seinem Büroarbeitsplatz öffnen und
bearbeiten dürfen, wenn genau dieser Arbeitsplatz gerade im Firmennetz angemeldet ist. Mittlerweile
springen immer mehr Anbieter von reinen Überwachungs- und Blockadelösungen auf diesen Zug auf und
kombinieren ihre Produkte mit Verschlüsselungs-Engines oder bieten gleich spezielle USB-Stifte an.
Diese haben zum Teil Fingerabdrucksensoren als Zusatzsicherung eingebaut. Die Verschlüsselung kann
vom Administrator gesteuert oder dezentral an die Benutzer übergeben werden. Ein Anwender könnte
das Recht zum Verschlüsseln erhalten, ein anderer ausschließlich mit verschlüsselten Datenträgern
arbeiten dürfen.
Je größer das Netzwerk, desto umfangreicher die Kontrolllösung. Dass dabei nicht die Übersicht
verloren geht, ist in erster Linie Aufgabe des Administrators. Er muss die Nutzungsregeln klar
definieren und dokumentieren. Ein guter USB-Blocker unterstützt ihn dabei, indem sie das Regelwerk
übersichtlich darstellen und ausgeben kann – auf Papier oder in Dateiform. Änderungen an Regeln
müssen auditierbar sein, damit später nachvollzogen werden kann, wer eine möglicherweise fatale
Modifikation zu verantworten hat. Dass dazu auch eine nahtlose Einbindung in Verzeichnissysteme wie
Active Directory oder LDAP gehört, ist klar. Schließlich soll die Einführung eines USB-Blockers
ohne redundante Datenbankeinträge vonstatten gehen.
Meine schönste USB-Geschichte ist immer noch die vom Unternehmen, das das Schnittstellenproblem mit einem Schuss Heißkleber in die entsprechenden Anschlüsse jedes Arbeitsplatzrechners löste. Kurz darauf kam dann ein wichtiges Update einer zentralen Wirtschaftssoftware ins Haus – mit USB-Dongles als Kopierschutz für jeden PC. Die Investition in eine USB-Management-Lösung wäre in diesem Fall zweifellos der kostengünstigere Weg gewesen. Es kursieren gleich mehrere Pannenstories um solche vermeintlich piffigen, eher hardware-orientierte Lösungen des USB-Problems in den Fachblättern.
Aber hier geht es um etwas ganz anderes. Kennen Sie Niklas Luhmann? Der Philosoph und Sozialwissenschaftler hat sich ausführlich mit dem Thema Vertrauen befasst und es – das überrascht Uneingeweihte immer wieder – als ökonomisches Prinzip definiert: Wer beispielsweise Mitarbeitern vertrauen kann, muss sie nicht kontrollieren und kann das so frei gesetzte Zeit- und Finanzbudget gewinnbringender einsetzen.
Unser Autor betrachtet das Thema USB-Management aus der Perspektive des konsequent agierenden Administrators und sagt deshalb: "Vertrauen ist gut, aber Kontrolle notwendig." Damit allerdings kommt ein menschliches Problem ins Spiel: Kontrolle wird immer als Misstrauen interpretiert und erzeugt unweigerlich Widerstand, der nur beim einen lauter und beim anderen versteckter ausfällt. Dies gilt vor allem, wenn aus Sicht der Mitarbeiter so hilfreiche Tools wie die USB-Sticks betroffen sind. Fakt ist nun einmal, dass die weitaus größte Zahl der Anwender damit nichts stiehlt oder veruntreut, sondern zuhause oder auf Reisen Arbeit erledigt. Hier halte ich es mit dem internationalen Sicherheitsspezialisten Bruce Schneier: Sicherheit muss sich immer primär an den Bedürfnissen der Guten orientieren und nicht an denen der Bösen. Hinzu kommt, dass die neueste Studie der Sicherheitszeitschrift KES belegt, dass nicht gezielte Attacken, sondern Fehler und Unachtsamkeit die größte Sicherheitsgefahr im Unternehmen darstellen. Verschlüsselung und Warnungen des Endanwenders vor potenziell gefährlichen Aktionen sind aus meiner Sicht deshalb die wichtigsten Funktionen von USB-Management-Systemen – und wenn man dafür Geld ausgibt, müssen sie tatsächlich so flexibel steuerbar sein wie möglich. Dr. Johannes Wiele
"Man will doch heute keine Ports mehr blocken, sondern Informationen schützen, gleich wo und wie sie gespeichert sind oder transportiert werden", meinte kürzlich Frank Boening, Sales Director EMEA bei Workshare. Sein Unternehmen steht neben anderen aus dem Dokumentenmanagement-Umfeld für einen ganz anderen Ansatz, die mit den USB Ports assoziierten Gefahren einzuschränken: In diesem Fall untersucht eine Software Dateien, die kopiert oder verschickt werden sollen, auf offen sichtbare oder versteckte Informationen, die zum Beispiel temporär oder langfristig als vertraulich eingestuft sind oder aus anderen Gründen geheim bleiben sollen. Bei verdächtigen Aktionen warnt die Software den Anwender, in besonders kritischen Fällen blockiert sie die Aktion. Andere Firmen setzen auf virtuelle Datentresore im Netz. "Wir haben Kunden, die mit dem port- und geräteorientierten Ansatz nichts anfangen können", erklärt Boening, "darunter manche Versicherungen: "Dort müssen Mitarbeiter beispielsweise Schadensfotos auf jeden Fall so schnell wie möglich anliefern können, egal zu welcher Tag- und Nachtzeit und auf welchem Kanal oder mit welcher Kamera". Der Weg nach draußen allerdings erfordert im gleichen Unternehmen schon wieder genauere Regelungen. Dr. Johannes Wiele
Lesen Sie mehr zum Thema
