Datenverluste und Datendiebstahl mit Endpoint Protector 4 verhindern

Zentrales Gerätemanagement und Content Aware Protection

In der Weboberfläche von Endpoint Protector können sich Administratoren einen Überblick darüber verschaffen, welche Aktionen auf den verschiedenen Computern durchgeführt wurden. Auf Basis von Regeln und Richtlinien können die Daten geschützt werden. Dabei kann Endpoint Protector auf Ebene der Geräte, PCs, aber auch auf Ebene der Benutzer filtern und Aktionen durchführen. Berechtigungen für das Verwenden und Transferieren von Dateien lassen sich an Benutzer und an Benutzergruppen vergeben. Dazu unterstützt Endpoint Protector auch eine Anbindung an Active Directory. Die Benutzer, Gruppen und Computer aus Active Directory sind entweder importierbar, oder Endpoint Protector synchronisiert die Daten von Domänencontrollern.

EndPoint Protector kann Daten auch aus Active Directory importieren (Screenshot: Thomas Joos).

Unabhängig von den Regeln, die für den Zugriff auf Daten vorhanden sind, bietet Endpoint Protector mit Content Aware Protection einen zuverlässigen Schutz vor dem unzulässigen Verwenden von Dateien. Öffnen Anwender Dateien, oder wollen Daten versenden, überprüft die Lösung, ob in der Datei sensible Inhalte gespeichert sind, und handelt entsprechend den definierten Regeln. Dadurch lassen sich zum Beispiel Kreditkartendaten, Sozialversicherungsnummern und andere sensible Informationen schützen. Findet Endpoint Protector einen bestimmten Dateiinhalt, kann die Lösung das Speichern der Daten in einem Cloudspeicher oder das Versenden per E-Mail verhindern.

Mit Content Aware Protection wir das unberechtigte Verschieben von Daten verhindert (Screenshot: Thomas Joos).

Mit den Content Aware Protection-Richtlinien verhindern Unternehmen den Transfer bestimmter Dateitypen oder Daten mit vorher definierten Schlüsselwörtern. Administratoren können auch ein Wörterbuch mit individuellen Signalwörtern erstellen, die Content Aware Protection herausfiltern soll.

USB-Sticks, SD-Karten und externe Festplatten unter Kontrolle bringen

Durch das Erstellen einer Richtlinie für bestimmte Dateien können Administratoren festlegen, was mit Dateien geschehen darf, die der Richtlinie entsprechen. Als Aktion lassen sich Dateiaktionen blockieren, oder lediglich an Administratoren Berichte senden. Endpoint Protector bietet dazu auch verschiedene Möglichkeiten an, welche Aktionen Anwender mit Dateien durchführen dürfen, die den Richtlinien entsprechen. So lässt sich zum Beispiel das Übertragen der Daten auf USB-Sticks verhindern, das Kopieren von Daten in die Zwischenablage sowie das Erstellen von Screenshots. Richtlinien lassen sich natürlich jederzeit aktivieren und deaktivieren. Für die einzelnen Gerätetypen, die in den PCs oder Macs verbaut sind, lässt sich festlegen, welche Daten zum Beispiel auf SD-Karte geschrieben werden dürfen, aber nicht auf CD oder umgekehrt.

Dabei kann Endpoint Protector einzelne Computer berücksichtigen und filtern, aber auch ganze Geräteklassen, zum Beispiel PCs, Macs oder Smartphones. Diese Funktion ermöglicht auch, dass Datenspeicher auf Basis ihrer Seriennummer blockiert oder autorisiert werden. Durch Richtlinien kann Endpoint Protector dann zum Beispiel alle Geräte eines Herstellers an bestimmten Computern erlauben, aber an allen anderen Geräte blockieren.

Datenverkehr protokollieren

Der Datentransfer von und zu mobilen Datenträgern kann Endpoint Protector aufzeichnen. Die Protokolle bieten auch einen Datenmitschnitt, File Shadowing genannt. Dabei handelt es sich um eine gespiegelte Kopie der transferierten Daten. Selbst gelöschte Daten können zu einem späteren Zeitpunkt geprüft werden. Unternehmen erhalten dadurch einen lückenlosen Bericht mit Dateinamen, Zeitstempel, Benutzerdaten und der Datei selbst.

Mit Endpoint Protector können Unternehmen aber nicht nur Dateien blockieren, indem Blacklists zum Einsatz kommen, die Lösung also Dateien blockiert. Endpoint Protector unterstützt auch das Erstellen von Whitelists. Durch Richtlinien lässt sich auf diesem Weg zum Beispiel festlegen, dass Anwender nur autorisierte Dateien auf bestimmte, definierte Speichergeräte transferieren können. Alle übrigen Dateien blockiert das System. Der autorisierte Datentransfer lässt sich natürlich aufzeichnen. Die Daten stehen dann über das Analyse- und Berichtssystem zur Verfügung.

Webbrowser, Soziale Medien und Clouddienste überwachen oder sperren

Bezüglich der Verarbeitung von Daten unterscheidet Endpoint Protector zwischen Webbrowsern, E-Mail-Systemen und -Clients sowie Instant Messaging, Clouddiensten und sozialen Medien. Für alle diese Systeme lassen sich Regeln hinterlegen und Daten blockieren oder freischalten. Leider unterstützt Endpoint Protector keine direkte Integration in Exchange oder Sharepoint sowie den DLP-Funktionen von Exchange oder Office 365. Das würde den Nutzen für Unternehmen, die auf Microsoft Exchange oder Lotus Notes setzen, deutlich verbessern. Zwar lassen sich die Client-Systeme anbinden, also Outlook oder der Notes-Client, aber nicht die Server und ihre Schutzfunktionen selbst.

Über Richtlinien lassen sich einzelne Anwendungen und Dateiaktionen blockieren oder protokollieren (Screenshot: Thomas Joos).

Erzwungene Verschlüsselung mit EasyLock

Unternehmen können aber nicht nur verhindern, dass Daten auf bestimmten mobilen Datenträgern gespeichert werden, sondern können für Geräte, auf denen die Speicherung erlaubt ist, auch eine Verschlüsselung erzwingen. Dazu nutzt EasyLock 256 bit AES CBC-Mode. Auch das lässt sich zentral in der Oberfläche von Endpoint Protector vorgeben. Die Verschlüsselungs-Software EasyLock kann durch Endpoint Protector auf mobilen Speichermedien installiert werden. Dadurch kann die Lösung alle Daten verschlüsseln, die Anwender auf das jeweilige Gerät kopieren. Geht das Speichermedium verloren, sind die Daten darauf durch EasyLock unbrauchbar für Dritte.

Auf Mac-Rechnern lässt sich auch die Festplattenverschlüsselung überwachen.  Administratoren können zentral die Verschlüsselung von Mac-Festplatten erzwingen. Dabei setzt Endpoint Protector auf FileVault 2. Die Mac-Erweiterung ist zwar standardmäßig auf Mac OS X Systemen installiert, aber nicht automatisch aktiviert. Bitlocker, die Festplattenverschlüsselung in Windows, wird allerdings nicht unterstützt.

Preis und Lizenzierung

Der Preis von Endpoint Protektor richtet sich daran, ob das Produkt als Hardware-Appliance oder als virtuelle Appliance eingesetzt werden soll. Außerdem spielt die Anzahl der zu schützenden PCs, Macs und Endgeräte eine Rolle sowie die Integration von Content Aware Protection. Der Preis für eine Umgebung kann direkt auf der Webseite im Webshop in Erfahrung gebracht werden, indem die jeweilige Anzahl an Clients angegeben wird. Für 100 PCs kostet die virtuelle Appliance mit Content Aware Protection zum Beispiel etwa 4.000 Euro, die Preise der Hardware-Appliance liegen bei etwa 5.400 Euro.

Fazit

Endpoint Protector ist eine durchaus praktikable Lösung, wenn es darum geht, Daten des Unternehmens zu schützen. Allerdings kann diese Lösung nicht vollständige Sicherheit bieten. In Bring-Your-Own-Device-Ansätzen, oder wenn Anwender Möglichkeiten finden die Sicherheitslösung zu umgehen, lassen sich dennoch Daten unberechtigt übertragen. Greifen Anwender ohne installierten Endpoint Protector-Client auf die Daten zu, dann sind diese nicht geschützt. Verantwortliche im Unternehmen müssen also sicherstellen, dass auf allen Clients, die im Netzwerk auf heikle Daten zugreifen, auch der passende Client installiert ist.

Dazu kommt, dass die Oberfläche nicht ganz so einfach und intuitiv zu bedienen ist. Es gehört also einiges an Einarbeitung dazu, bis das Netzwerk einigermaßen sicher ist. Zwar lässt sich die Lösung sehr schnell im Netzwerk einbinden, allerdings geht dann erst die richtige Konfigurationsarbeit los. Administratoren müssen die Clients integrieren, Regeln erstellen, Sicherheitsvorschriften definieren und vieles mehr.

Sobald aber die Macs und PCs angebunden sind, lässt sich die Datensicherheit des Unternehmens deutlich verbessern, denn ohne den Schutz von Lösungen wie Endpoint Protector können Anwender nahezu unkontrolliert Daten zu verschiedene Quellen kopieren, in die Cloud übertragen oder per E-Mail versenden.

Da Endpoint Protector auch die Verwendung der Daten aufzeichnet, spielt natürlich auch der Datenschutz im Unternehmen eine wichtige Rolle. Verantwortliche sollten die Einführung der Lösung also juristisch prüfen lassen und den Betriebsrat mit einbeziehen. Das ist vor allem für die Erstellung der Richtlinien wichtig und für das Festlegen welche Daten aufgezeichnet werden dürfen.