SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

EuroCIS 2018
27.02.18 - 01.03.18
In Düsseldorf, Messe Halle 9 und 10

BIG DATA Marketing Day
27.02.18 - 27.02.18
In Wien

AUTOMATE IT 2018
01.03.18 - 01.03.18
In Hamburg, Schwanenwik 38

DIGITAL FUTUREcongress
01.03.18 - 01.03.18
In Frankfurt, Messe

DeviceManagementMeldungen über den Verlust von Datenträgern liest und hört man immer wieder. Meist geht es dabei um den Verlust personenbezogener Daten (Informationspflicht nach §42a BDSG). Dass auch Firmengeheimnisse wie innovative Konstruktionspläne oder geheime Finanzdaten abhandenkommen, bleibt der Öffentlichkeit in der Regel verborgen.

Die Unternehmensleitung ist deshalb gefordert, geeignete Maßnahmen zum Schutz vor Datenverlust zu ergreifen und zu implementieren. Mit einfachen technischen Maßnahmen kann und sollte man die Einhaltung der Unternehmensrichtlinien erzwingen, überwachen, protokollieren und sogar schulen.

Bestandsaufnahme/Analyse

Der erste Schritt zum intelligenten Device Management ist eine Bestandsaufnahme.

Wissen Sie für alle PCs in ihrem Netzwerk, welche Schnittstellen vorhanden sind und welche externen Geräte und Datenträger angeschlossen werden? Manche Hersteller von Device Management Software bieten eine Device-Scanner-Software kostenlos zum Download an. Sie werden von den Ergebnissen überrascht sein. Werden Dokumente auf Laptops oder externen Datenträgern gespeichert die nicht in fremde Hände geraten dürfen? Dann ist Verschlüsselung ein Muss!

Device Management

Modernes Device Management bedeutet nicht Kontrolle und Verbote. „Einfach alles sperren, dann kann schon nix passieren“ führt letztlich dazu das engagierte und motivierte Mitarbeiter Mittel und Wege finden, die Restriktionen zu umgehen. Modernes Device Management passt sich durch einen modularen Aufbau und flexible Konfigurationsoptionen an die Unternehmensprozesse an und unterstützt die Mitarbeiter bei der Einhaltung der Unternehmensrichtlinien ohne die Arbeitsabläufe unnötig zu erschweren. Daneben erlaubt eine transparente Überwachung deren Einhaltung.

Idealerweise werden den Mitarbeitern die Unternehmensrichtlinien sogar an geeigneter Stelle im Arbeitsablauf eingeblendet und die Kenntnisnahme kann protokoliert werden.

Geräte- und Schnittstellen Management

Geräte und Schnittstellen Management ermöglicht es ihnen, die Verwendung diverser Schnittstellen und Geräte mehrdimensional zu regeln. So bestimmen Sie welche Adapter und Schnittstellen von welchen Anwendergruppen genutzt werden dürfen.

Externe Datenträger können über ihre ID (Hersteller-ID, Produkt-ID, Seriennummer) meist eindeutig identifiziert werden. Auf diese Weise beschränken Sie die Nutzung auf identifizierte externe Laufwerke. Unbekannte Datenträger bleiben gesperrt. Über weitere Paramater wie Anwendergruppen, Computergruppen, Zeit, verbundenes Netzwerk und GEO-IP legen Sie fest, für wen, wann und wo die Regelung gelten soll.

Dateimanagement

Wenn die Verwendung der Schnittstellen und Geräte definiert ist, legen Sie über Filterregeln fest welche Dateitypen innerhalb ihrer Geschäftsprozesse Verwendung finden und von/auf externe Laufwerke kopiert werden sollen. Komfortabel geht das, wenn die Software bereits vordefinierte Regeln, etwa nur Office Dokumente erlauben, ausgehende PDF erlauben, eingehende Multimedia-Inhalte verbieten, Ausführbare Dateien verbieten etc., mitbringt. Wichtig bei Dateifiltern ist, dass nicht nur die Dateiendung geprüft wird, sondern auch ein Abgleich mit Dateiinhalt bzw. -Header stattfindet. Nur bei Übereinstimmung wird die Datei freigegeben.

Ordnerverschlüsselung für externe Laufwerke

Sobald Dateien in einen entsprechend administrierten verschlüsselten Ordner geschrieben werden, sollten sie einzeln verschlüsselt werden. Vorteilhaft bei der Ordnerverschlüsselung ist, dass sie gleichermaßen auch für interne Laufwerke, Netzlaufwerke und Cloud-Storage Ordner genutzt werden kann. So lassen sich zum Beispiel ganz einfach verschlüsselte Ordner in DropBox einrichten um gesichert Dateien mit externen Parteien auszutauschen oder gemeinsam zu bearbeiten.

Thin-Clients

Auch Thin-Clients verfügen über USBPorts, an denen Anwender externe Laufwerke anschließen können, die dann remote im Hostbetriebssystem eingebunden werden. Wenn ihre Geschäftsprozesse deren Nutzung erfordern, sollen die Regeln für Schnittstellen-, Dateimanagement und Verschlüsselung auch in der virtuellen Umgebung gelten.

DeviceManagement Bild Klein

Festplattenverschlüsselung

Auch wenn Sie eine Ordnerverschlüsselung nutzen bleiben auf den PCs lokal gespeicherte Kopien der Dokumente unverschlüsselt. Abhilfe schafft hier, die komplette Festplatte oder Partition zu verschlüsseln. Technisch ist Festplattenverschlüsselung keine Herausforderung. Auf unterster Treibereberebene wird einfach jeder Block verschlüsselt bevor er auf die Platte geschrieben wird und beim Lesen wieder entschlüsselt. Alles andere funktioniert völlig transparent.

Die wirkliche Herausforderung ist die Authentifizierung bevor das Betriebssystem gestartet wird (Pre-Boot-Authentication, kurz PBA) und das User Management. Hier trennt sich die Spreu vom Weizen. Festplattenverschlüsselung ohne PBA schützt die Daten höchstens vor neugierigen Blicken. Startet der Rechner bis zum Anmeldedialog des Betriebssystems, extrahieren professionelle Datendiebe den Schlüssel in weniger als einer Stunde aus dem Hauptspeicher.

Überwachung

Gerade in kontrollierten Umgebungen ist es wichtig die aufgezeigten Sicherheitsmechanismen nicht nur zu implementieren, sondern ihre Wirksamkeit auch nachzuweisen. Deshalb können alle relevanten Ereignisse aufgezeichnet und regelmäßig in einer zentralen Datenbank gespeichert werden. Aus Datenschutzgründen können personenbezogene Daten verschlüsselt abgelegt werden. Erst wenn sich, etwa per Vier-Augen-Prinzip der Betriebsrat oder der Datenschutzbeauftragte und der Personalleiter legitimieren, werden Benutzer und Computername im Klartext angezeigt. Lassen Sie das System Schattenkopien aller Dateien erstellen, die beispielsweise auf externe Laufwerke kopiert wurden, protokollieren Sie nicht nur das Kopierereignis nach sondern haben auch einen Nachweis für den kopierten Inhalt.

Zentrales Management und Monitoring

Integriert sich die Administrationsanwendung in die Microsoft Management Konsole und werden die zentral erstellten und gepflegten Richtlinien per Microsoft Group Policy (GPO) verteilt, sind die Prinzipien den meisten Administratoren bekannt und Schulungsaufwände werden minimiert.

Ein Dashboard für zentrales Monitoring hilft, schnell Unregelmäßigkeiten zu erkennen.

Zusammenfassung

Sicherheit erlaubt keine faulen Kompromisse. Ohne die richtigen Schutzmaßnahmen ist es nur eine Frage der Zeit, bis es zu einem Sicherheitsvorfall kommt. Sei es durch Unwissenheit, Unachtsamkeit oder weil jemand mit wirtschaftlichen Interessen und krimineller Energie an ihre Daten will.

Sicherheit braucht Augenmaß. Einen absoluten Schutz kann es nicht geben. Das richtige Maß müssen Sie aus ihren Anforderungen selbst ableiten. Moderne Device Management Software unterstützt Sie dabei, die geeigneten Maßnahmen effizient und nachvollziehbar zu implementieren.

Otfried Köllhofer, www.DriveLock.de

Beispiele für Regeln

  • Vertrieb: Office Dokumente auf bekannten USB Sticks innerhalb Europa erlauben.
  • Marketing: Office Dokumente und Multimedia-Inhalte auf bekannten USB Sticks innerhalb Europa oder Nordamerika erlauben
  • Entwicklung: Eingehende Multimedia-Inhalte verbieten, Ausgehende Verschlüsselung erforderlich, Protokollierung und Schattenkopien einschalten.
  • Bekannte SD-Karten aus Kameras: Nur eingehende Fotos und Videos erlauben.

 

 
GRID LIST
Tb W190 H80 Crop Int 5432ffa496aad4fc3d07ed53b63df31e

Warum IT- und OT-Netzwerke einen einheitlichen Sicherheitsansatz benötigen

Mit der steigenden Verbreitung von Produktionsnetzwerken,wächst auch der Bedarf an…
Tb W190 H80 Crop Int C3ad42b7c8d7e07e83500eac0c996009

IT-Sicherheit auf der Rennstrecke

Mehr als die Hälfte der Unternehmen in Deutschland (rund 53 Prozent) sind in den…
Tb W190 H80 Crop Int 60c948299ec6ed8114ef0acdb6b25f11

SonicWall mit neuer Technologie: Real-Time Deep Memory Inspection

SonicWall hat mit einer neuen Capture Cloud Engine hunderte Malware-Varianten…
Tb W190 H80 Crop Int F051567a083a625588e986bd0718b3d0

DriveLock Managed Endpoint Protection

Cyberangriffe beschränken sich schon lange nicht mehr auf das Netzwerk und die…
Tb W190 H80 Crop Int A605e9036e052c4e524e16631e127d63

Endian UTM Mercury 50: Skalierbare Netzwerksicherheit für den Remote-Einsatz

Endian UTM Mercury 50 gestattet für ein kleines Budget Hochleistungsdurchsatz und…
Tb W190 H80 Crop Int 0585afa5d97ff8c6d1669002374e37e3

Übersichtliche Dashboards für die Web Application Firewall

Airlock, das Security-Produkt des Schweizer Softwareentwicklers Ergon Informatik AG,…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security