IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

Meldungen über den Verlust von Datenträgern liest und hört man immer wieder. Meist geht es dabei um den Verlust personenbezogener Daten (Informationspflicht nach §42a BDSG). Dass auch Firmengeheimnisse wie innovative Konstruktionspläne oder geheime Finanzdaten abhandenkommen, bleibt der Öffentlichkeit in der Regel verborgen.

Die Unternehmensleitung ist deshalb gefordert, geeignete Maßnahmen zum Schutz vor Datenverlust zu ergreifen und zu implementieren. Mit einfachen technischen Maßnahmen kann und sollte man die Einhaltung der Unternehmensrichtlinien erzwingen, überwachen, protokollieren und sogar schulen.

Bestandsaufnahme/Analyse

Der erste Schritt zum intelligenten Device Management ist eine Bestandsaufnahme.

Wissen Sie für alle PCs in ihrem Netzwerk, welche Schnittstellen vorhanden sind und welche externen Geräte und Datenträger angeschlossen werden? Manche Hersteller von Device Management Software bieten eine Device-Scanner-Software kostenlos zum Download an. Sie werden von den Ergebnissen überrascht sein. Werden Dokumente auf Laptops oder externen Datenträgern gespeichert die nicht in fremde Hände geraten dürfen? Dann ist Verschlüsselung ein Muss!

Device Management

Modernes Device Management bedeutet nicht Kontrolle und Verbote. „Einfach alles sperren, dann kann schon nix passieren“ führt letztlich dazu das engagierte und motivierte Mitarbeiter Mittel und Wege finden, die Restriktionen zu umgehen. Modernes Device Management passt sich durch einen modularen Aufbau und flexible Konfigurationsoptionen an die Unternehmensprozesse an und unterstützt die Mitarbeiter bei der Einhaltung der Unternehmensrichtlinien ohne die Arbeitsabläufe unnötig zu erschweren. Daneben erlaubt eine transparente Überwachung deren Einhaltung.

Idealerweise werden den Mitarbeitern die Unternehmensrichtlinien sogar an geeigneter Stelle im Arbeitsablauf eingeblendet und die Kenntnisnahme kann protokoliert werden.

Geräte- und Schnittstellen Management

Geräte und Schnittstellen Management ermöglicht es ihnen, die Verwendung diverser Schnittstellen und Geräte mehrdimensional zu regeln. So bestimmen Sie welche Adapter und Schnittstellen von welchen Anwendergruppen genutzt werden dürfen.

Externe Datenträger können über ihre ID (Hersteller-ID, Produkt-ID, Seriennummer) meist eindeutig identifiziert werden. Auf diese Weise beschränken Sie die Nutzung auf identifizierte externe Laufwerke. Unbekannte Datenträger bleiben gesperrt. Über weitere Paramater wie Anwendergruppen, Computergruppen, Zeit, verbundenes Netzwerk und GEO-IP legen Sie fest, für wen, wann und wo die Regelung gelten soll.

Dateimanagement

Wenn die Verwendung der Schnittstellen und Geräte definiert ist, legen Sie über Filterregeln fest welche Dateitypen innerhalb ihrer Geschäftsprozesse Verwendung finden und von/auf externe Laufwerke kopiert werden sollen. Komfortabel geht das, wenn die Software bereits vordefinierte Regeln, etwa nur Office Dokumente erlauben, ausgehende PDF erlauben, eingehende Multimedia-Inhalte verbieten, Ausführbare Dateien verbieten etc., mitbringt. Wichtig bei Dateifiltern ist, dass nicht nur die Dateiendung geprüft wird, sondern auch ein Abgleich mit Dateiinhalt bzw. -Header stattfindet. Nur bei Übereinstimmung wird die Datei freigegeben.

Ordnerverschlüsselung für externe Laufwerke

Sobald Dateien in einen entsprechend administrierten verschlüsselten Ordner geschrieben werden, sollten sie einzeln verschlüsselt werden. Vorteilhaft bei der Ordnerverschlüsselung ist, dass sie gleichermaßen auch für interne Laufwerke, Netzlaufwerke und Cloud-Storage Ordner genutzt werden kann. So lassen sich zum Beispiel ganz einfach verschlüsselte Ordner in DropBox einrichten um gesichert Dateien mit externen Parteien auszutauschen oder gemeinsam zu bearbeiten.

Thin-Clients

Auch Thin-Clients verfügen über USBPorts, an denen Anwender externe Laufwerke anschließen können, die dann remote im Hostbetriebssystem eingebunden werden. Wenn ihre Geschäftsprozesse deren Nutzung erfordern, sollen die Regeln für Schnittstellen-, Dateimanagement und Verschlüsselung auch in der virtuellen Umgebung gelten.

Festplattenverschlüsselung

Auch wenn Sie eine Ordnerverschlüsselung nutzen bleiben auf den PCs lokal gespeicherte Kopien der Dokumente unverschlüsselt. Abhilfe schafft hier, die komplette Festplatte oder Partition zu verschlüsseln. Technisch ist Festplattenverschlüsselung keine Herausforderung. Auf unterster Treibereberebene wird einfach jeder Block verschlüsselt bevor er auf die Platte geschrieben wird und beim Lesen wieder entschlüsselt. Alles andere funktioniert völlig transparent.

Die wirkliche Herausforderung ist die Authentifizierung bevor das Betriebssystem gestartet wird (Pre-Boot-Authentication, kurz PBA) und das User Management. Hier trennt sich die Spreu vom Weizen. Festplattenverschlüsselung ohne PBA schützt die Daten höchstens vor neugierigen Blicken. Startet der Rechner bis zum Anmeldedialog des Betriebssystems, extrahieren professionelle Datendiebe den Schlüssel in weniger als einer Stunde aus dem Hauptspeicher.

Überwachung

Gerade in kontrollierten Umgebungen ist es wichtig die aufgezeigten Sicherheitsmechanismen nicht nur zu implementieren, sondern ihre Wirksamkeit auch nachzuweisen. Deshalb können alle relevanten Ereignisse aufgezeichnet und regelmäßig in einer zentralen Datenbank gespeichert werden. Aus Datenschutzgründen können personenbezogene Daten verschlüsselt abgelegt werden. Erst wenn sich, etwa per Vier-Augen-Prinzip der Betriebsrat oder der Datenschutzbeauftragte und der Personalleiter legitimieren, werden Benutzer und Computername im Klartext angezeigt. Lassen Sie das System Schattenkopien aller Dateien erstellen, die beispielsweise auf externe Laufwerke kopiert wurden, protokollieren Sie nicht nur das Kopierereignis nach sondern haben auch einen Nachweis für den kopierten Inhalt.

Zentrales Management und Monitoring

Integriert sich die Administrationsanwendung in die Microsoft Management Konsole und werden die zentral erstellten und gepflegten Richtlinien per Microsoft Group Policy (GPO) verteilt, sind die Prinzipien den meisten Administratoren bekannt und Schulungsaufwände werden minimiert.

Ein Dashboard für zentrales Monitoring hilft, schnell Unregelmäßigkeiten zu erkennen.

Zusammenfassung

Sicherheit erlaubt keine faulen Kompromisse. Ohne die richtigen Schutzmaßnahmen ist es nur eine Frage der Zeit, bis es zu einem Sicherheitsvorfall kommt. Sei es durch Unwissenheit, Unachtsamkeit oder weil jemand mit wirtschaftlichen Interessen und krimineller Energie an ihre Daten will.

Sicherheit braucht Augenmaß. Einen absoluten Schutz kann es nicht geben. Das richtige Maß müssen Sie aus ihren Anforderungen selbst ableiten. Moderne Device Management Software unterstützt Sie dabei, die geeigneten Maßnahmen effizient und nachvollziehbar zu implementieren.

Otfried Köllhofer, www.DriveLock.de

Beispiele für Regeln

  • Vertrieb: Office Dokumente auf bekannten USB Sticks innerhalb Europa erlauben.
  • Marketing: Office Dokumente und Multimedia-Inhalte auf bekannten USB Sticks innerhalb Europa oder Nordamerika erlauben
  • Entwicklung: Eingehende Multimedia-Inhalte verbieten, Ausgehende Verschlüsselung erforderlich, Protokollierung und Schattenkopien einschalten.
  • Bekannte SD-Karten aus Kameras: Nur eingehende Fotos und Videos erlauben.

 

 
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet