Ausgesperrt: USB und andere Ports am PC kontrollieren

Je detaillierter die Lösung eingestellt werden kann, desto mehr Freiheiten erlaubt sie den Benutzern, ohne die Sicherheit zu kompromittieren. Die schnelle Einteilung in Schreib- oder Leserechte für ein Gerät ist Standard. Exakter wird es, wenn man festlegen kann, wie viele Daten pro Tag kopiert werden dürfen. Ein Word-Dokument mit 300 Kilobyte ist in Ordnung, die Vertriebsdatenbank mit 2 Gigabyte nicht. Pluspunkte gibt es auch, wenn das Programm bei CD- und DVD-Brennern die Brennfunktion abschalten kann, das Lesen von Medien aber noch funktioniert. Das gleiche gilt für eine Zeitsteuerung, so dass nachts, allein im Büro, eben keine Kamera mehr angeschlossen und deren Speicherkarte als Datenträger genutzt werden kann. Besonders paranoide Lösungen erlauben das „Shadowing“ von Schreibvorgängen. Dabei werden kopierte Daten – nach Benutzer oder Gerät selektiert – mitgeschrieben. Das können entweder alle Daten sein, oder nur die Dateinamen mit Verzeichnisangabe. Solche Überwachungsformen bedürfen in Deutschland der Zustimmung des Betriebsrats, auch das Sichten der gesammelten Daten darf nur durch autorisierte Personen erfolgen.

Darum gleich der nächste Punkt: wer Daten sammelt, muss auch deren Schutz gewährleisten. Das geht nur mit einer expliziten, internen Benutzerverwaltung innerhalb des Programms. Damit werden Aufgaben delegiert und der Zugang zu Log-Dateien nur nach dem Vier-Augen Prinzip gestattet.

Auch wenn der ganze Aufwand nur für den Anwender getrieben wird, gerade er sollte am allerwenigsten von der Kontroll- und Schutzlösung bemerken. Angebracht ist höchstens eine Nachricht, wenn er versucht etwas zu tun, was ihm der Administrator per Richtlinie verboten hat, sonst muss die Software unsichtbar im Hintergrund arbeiten. Vielleicht nicht ganz unsichtbar: ein kleines Icon in der Taskleiste sagt dem Administrator, wenn er gerade vor Ort ist, dass die Software läuft und welche Regeln an diesem PC gelten. Änderungen darf der Mitarbeiter keine vornehmen, darum ist es selbstverständlich, dass die Anwender keine Administratorrechte haben. Noch ein Stolperstein könnte die unbeschwerte Port-Kontrolle stören: da die Clientsoftware an den PCs über RPC (Remote Procedure Calls) mit dem zentralen Richtlinienserver kommunizieren, muss eine eventuell installierte Firewall den Zugriff erlauben. Das gilt auch und vor allem für die Desktopfirewall von Windows XP SP2, die per Default nach der Installation aktiviert und weitgehend abgedichtet ist.

Wer es ganz sicher machen möchte, wird sich für Lösungen interessieren, die Inhalte automatisch verschlüsseln, bevor sie auf einen Datenträger kopiert werden. Versucht ein Unbefugter den Datenträger zu lesen, bekommt er nur wirre Zeichen auf den Schirm. Das ist natürlich besonders wichtig, wenn ein Datenträger gestohlen wird oder verloren geht. Aber auch im internen Einsatz kann so eine Vorsichtsmaßnahme sinnvoll sein, wenn die Verschlüsselung an einen bestimmten Computer und Benutzer gebunden ist. So könnte der Anwender eine Datei nur an seinem Büroarbeitsplatz öffnen und bearbeiten, und nur dann, wenn dieser Arbeitsplatz gerade im Firmennetz angemeldet ist, egal auf welchem Medium die Datei abgelegt wurde. Doch solche Maßnahmen gehen allmählich in den Bereich Digital Rights Management über und sollten zusammen mit USB-Port-Blockern eingesetzt werden.