Ausgesperrt: USB und andere Ports am PC kontrollieren

Diskettenlaufwerke sind out, Flash-Speicher sind in. Ob USB-Stick, MP3-Player oder Digitalkamera, mittlerweile lassen sich auf fast jedem externen Gerät Daten speichern. Das ist praktisch, birgt aber auch Gefahren für das Firmennetz.

Kleine, handliche USB-Speicherstifte sind heute allgegenwärtig. Auf über 46 Millionen Stück schätzen die Analysten von Semico die verkaufte Stückzahl in 2006. Nachdem viele Hersteller PCs bereits ohne Floppylaufwerk ausliefern, haben USB-Stifte die Nachfolge von flexiblen Massenspeichern wie Disketten angetreten. Allerdings mit Nebenwirkungen. Mittlerweile sind Kapazitäten von acht GByte erhältlich, damit lassen sich die Daten eines kompletten Servers auf Schokoriegelformat schrumpfen und aus der Firma tragen. Aber es geht nicht nur um USB-Stifte allein. Mittlerweile kann fast jedes externe Gerät zum Datenspeichern genutzt werden, ob Ipod, Digitalkamera, MP3-Player oder Armbanduhr. Microsoft macht's möglich: seit Windows 2000 ist so gut wie immer der passende Treiber im Betriebssystem enthalten. Einstecken, kurz warten und schon taucht der neue Laufwerksbuchstabe auf.

Vielen Firmen scheint die Gefahr zwar bewusst zu sein - eine Studie von Reflex Magnetics in England aus dem Jahr 2004 ergab, dass 82 Prozent der Befragten USB-Speicher als Gefahr sehen - doch kaum jemand unternimmt etwas. Die gleiche Studie ergab auch, dass 60 Prozent der Befragten die Nutzung von USB-Speichern nicht überwachen, satte 84 Prozent schützten sich gar nicht gegen die potenzielle Gefahr. So viel Unbekümmertheit kann gefährlich sein, denn selbst wenn man keine Datenspionage fürchtet, birgt die Verfügbarkeit von billigen USB-Massenspeichern Gefahrenpotenzial: Viren, Würmer, Trojaner - die ganze Bandbreite der Schädlinge wandert auf diesem Medium unsichtbar für Firewall und zentralen Virenscanner zum Arbeitsplatz des Benutzers. Zu diesem Ergebnis kamen auch die Analysten der Gartner Group. Sie sehen in den kleinen Speicherriesen eine Bedrohung für die Datenintegrität in Unternehmen und empfehlen dringend, keine unkontrollierte Nutzung zu erlauben. Das Stichwort lautet "Unkontrolliert". Niemand, auch Gartner nicht, geht davon aus, dass ein Unternehmen portable Speicher verbieten kann. Dafür sind die handlichen Datentransporter viel zu praktisch. Wer möchte noch mit Disketten oder gebrannten CDs hantieren, wenn ein USB-Stift mit einem Gigabyte Kapazität für unter 50 Euro im Regal liegt. Ein kontrollierter Ansatz verspricht mehr Erfolg und erlaubt weiterhin den Einsatz der kleinen Helferlein. Zwei Dinge gehören zu einer wasserdichten Lösung. Ersten muss das Unternehmen klare Richtlinien festlegen und kommunizieren, wer was womit darf. Und weil Vertrauen gut, Kontrolle in dem Fall aber unerlässlich ist, sorgt die passende Software dafür, dass nur freigegebene Speichergeräte Zugriff bekommen und keine unerlaubten Daten aus dem Netz kopiert werden.
Wer Windows XP SP2 einsetzt, kann sich den Schutz vor unerlaubter USB-Stift-Nutzung ganz einfach machen. Der Registry-Schlüssel:

HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ StorageDevicePolicies \ WriteProtect

enthält einen Eintrag vom Typ DWORD. Hat er den Wert Eins (1), sind alle externen Speichergeräte schreibgeschützt. Eine Null (0) hebt den Schreibschutz wieder auf. Das hilft zumindest gegen den Datenklau, virenverseuchte Dateien finden damit immer noch den Weg ins Firmennetz. Sicherer sind Programme, die neben den USB-Ports auch alle anderen Schnittstellen am PC verwalten und so dem Administrator eine fein abgestimmte Kontrolle darüber geben, was die Nutzer mit ihren PCs anstellen.

Verschlüsselung für mobile       Geräte und Datenträger  Pointsec Mobile Technologies[1]     (Pointsec Media Encryption)[1]  Information Security Corporation[2]     (SecretAgent)[2]

Das Grundprinzip ist immer das Gleiche: an einem PC werden über eine Admin-Software Richtlinien festgelegt, wer wann auf welche Geräte wie zugreifen darf. Auf den zu kontrollierenden PCs sorgt eine Clientsoftware für die Umsetzung der Richtlinien, neue Richtlinien und Updates bekommen die Clients per Push oder Pull zugesandt. Alle Programme nutzen eine Datenbank, um erfasste Geräte zu speichern und deren Richtlinien abzulegen. Wichtig ist deshalb, wie die Datenbank gefüttert wird. Am bequemsten läuft das über einen Scanner, der im Netzwerk alle PCs durchsucht und die gefundenen Ergebnisse automatisch in die Datenbank einträgt. Zusätzlich kann man USB-Geräte am Admin-PC anstecken und von Hand in die Datenbank eintragen. Wer sich schon mal einen Überblick verschaffen möchte, welche Geräte an den PCs im Netzwerk aktiv sind oder aktiv waren, kann auf der Webseite von Smartline kostenlos das Programm "PnP Auditor^[3]" herunterladen. Der Scanner durchsucht eine Domäne oder die Microsoft Netzwerkumgebung und listet von allen gefunden PC s die Plug-und-Play Geräte auf. Dass der PnP Auditor auch Firewire und PC-Cards erfasst, ist korrekt: auch darüber können Daten eingeschleust oder kopiert werden, wegen der höheren Durchsatzraten zum Teil noch erheblich schneller als per USB.
Egal welche Lösung zum Einsatz kommt, einige Faktoren müssen immer beachtet werden. So ist die Art und Menge der erkannten Schnittstellen entscheidend. USB gehört immer dazu, aber auch serielle und parallele Ports können interessant sein, ebenso Firewire-, PCMCIA- sowie Floppy und CD/DVD-Laufwerke. Bei einigen Herstellern kann man sogar einzelne CD- und DVD-Medien explizit für die Nutzung freigeben oder sperren. Noch einen Schritt weiter gehen Produkte, die generell jedes Gerät manipulieren können, das von Windows erkannt wird, also auch Tastatur, Maus, Monitor oder Soundkarte.

Anbieter von       Port-Control-Software  Firstattribute (Deviceguard)[4]  IT-Watch (Devicewatch)[5]  Securewave (Sanctuary Device Control)[6]  Smartline (Devicelock)[7]  Alegri (Maxecure)[8]  Safend (Protector)[9]  Digitronic (Authention)[10]  Control Break (SafeBoot Port Control)[11]

In so einem Fall muss man den Roll-Out im Unternehmensnetz sehr sorgfältig planen. Auf einen Schlag schwarze Bildschirme und abgeschaltete Tastaturen demonstrieren zwar eindrucksvoll die Funktion der Überwachungslösung, führen aber sicher zu wenig Begeisterung bei den Anwendern. Eine sinnvoll eingestellte Default-Policy vermeidet solche Pannen. Dass die im Unternehmen eingesetzten Betriebssysteme abgedeckt sein müssen, versteht sich von selbst, allerdings konzentrieren sich die Anbieter bislang auf Windows in allen seinen Variationen. MacOS und Unix werden noch stiefmütterlich behandelt.
Je detaillierter die Lösung eingestellt werden kann, desto mehr Freiheiten erlaubt sie den Benutzern, ohne die Sicherheit zu kompromittieren. Die schnelle Einteilung in Schreib- oder Leserechte für ein Gerät ist Standard. Exakter wird es, wenn man festlegen kann, wie viele Daten pro Tag kopiert werden dürfen. Ein Word-Dokument mit 300 Kilobyte ist in Ordnung, die Vertriebsdatenbank mit 2 Gigabyte nicht. Pluspunkte gibt es auch, wenn das Programm bei CD- und DVD-Brennern die Brennfunktion abschalten kann, das Lesen von Medien aber noch funktioniert. Das gleiche gilt für eine Zeitsteuerung, so dass nachts, allein im Büro, eben keine Kamera mehr angeschlossen und deren Speicherkarte als Datenträger genutzt werden kann. Besonders paranoide Lösungen erlauben das "Shadowing" von Schreibvorgängen. Dabei werden kopierte Daten - nach Benutzer oder Gerät selektiert - mitgeschrieben. Das können entweder alle Daten sein, oder nur die Dateinamen mit Verzeichnisangabe. Solche Überwachungsformen bedürfen in Deutschland der Zustimmung des Betriebsrats, auch das Sichten der gesammelten Daten darf nur durch autorisierte Personen erfolgen.

Darum gleich der nächste Punkt: wer Daten sammelt, muss auch deren Schutz gewährleisten. Das geht nur mit einer expliziten, internen Benutzerverwaltung innerhalb des Programms. Damit werden Aufgaben delegiert und der Zugang zu Log-Dateien nur nach dem Vier-Augen Prinzip gestattet.

Lösungen für Digital       Rights Management  Authentica (Secure Documents)[12]  Liquid Machines (Liquid Machines)[13]  SealedMedia (SealedMedia)[14]

Auch wenn der ganze Aufwand nur für den Anwender getrieben wird, gerade er sollte am allerwenigsten von der Kontroll- und Schutzlösung bemerken. Angebracht ist höchstens eine Nachricht, wenn er versucht etwas zu tun, was ihm der Administrator per Richtlinie verboten hat, sonst muss die Software unsichtbar im Hintergrund arbeiten. Vielleicht nicht ganz unsichtbar: ein kleines Icon in der Taskleiste sagt dem Administrator, wenn er gerade vor Ort ist, dass die Software läuft und welche Regeln an diesem PC gelten. Änderungen darf der Mitarbeiter keine vornehmen, darum ist es selbstverständlich, dass die Anwender keine Administratorrechte haben. Noch ein Stolperstein könnte die unbeschwerte Port-Kontrolle stören: da die Clientsoftware an den PCs über RPC (Remote Procedure Calls) mit dem zentralen Richtlinienserver kommunizieren, muss eine eventuell installierte Firewall den Zugriff erlauben. Das gilt auch und vor allem für die Desktopfirewall von Windows XP SP2, die per Default nach der Installation aktiviert und weitgehend abgedichtet ist.

Wer es ganz sicher machen möchte, wird sich für Lösungen interessieren, die Inhalte automatisch verschlüsseln, bevor sie auf einen Datenträger kopiert werden. Versucht ein Unbefugter den Datenträger zu lesen, bekommt er nur wirre Zeichen auf den Schirm. Das ist natürlich besonders wichtig, wenn ein Datenträger gestohlen wird oder verloren geht. Aber auch im internen Einsatz kann so eine Vorsichtsmaßnahme sinnvoll sein, wenn die Verschlüsselung an einen bestimmten Computer und Benutzer gebunden ist. So könnte der Anwender eine Datei nur an seinem Büroarbeitsplatz öffnen und bearbeiten, und nur dann, wenn dieser Arbeitsplatz gerade im Firmennetz angemeldet ist, egal auf welchem Medium die Datei abgelegt wurde. Doch solche Maßnahmen gehen allmählich in den Bereich Digital Rights Management über und sollten zusammen mit USB-Port-Blockern eingesetzt werden.

URLs in diesem Artikel:
[1] = http://www.pointsec.com
[2] = http://www.infoseccorp.com/
[3] = http://www.protect-me.com/download
[4] = http://www.firstattribute.com
[5] = http://www.itwatch.de
[6] = http://www.securewave.de
[7] = http://www.protect-me.com
[8] = http://www.alegri.de/DE/Produkte/Maxecure/
[9] = http://www.safend.com/
[10] = http://www.digitronic.de
[11] = http://www.controlbreak.com
[12] = http://www.authentica.com
[13] = http://www.liquidmachines.com
[14] = http://www.sealedmedia.com