Hardwareschnittstellen dauerhaft absichern

Lesezeit
5 Minuten
Bis jetzt gelesen

Hardwareschnittstellen dauerhaft absichern

09.02.2023 - 08:53
Veröffentlicht in:

Datendiebstahl gilt für Unternehmen jeglicher Größe derzeit als eine der größten Bedrohungen. Prävention ist hier wie immer die beste Maßnahme. Die Lösung kann daher nur lauten, externe Hardwareschnittstellen dauerhaft abzusichern, mobile Speicher und Internetprotokolle zu überwachen und allgemeine Sicherheitslücken zu schließen. Für eine dauerhafte Absicherung von Schnittstellen gilt es, ein paar wichtige Punkte zu beachten.

Von Dr. Jürgen Falk

Bedrohungen von extern und intern aus dem Weg zu gehen, die Balance zwischen Absichern und Erlauben zu halten: Das ist für Unternehmen eine besondere Herausforderung, wenn es um den Einsatz und die Verwendung der Endgeräte durch die Mitarbeiter geht. So kommt es etwa vor, dass ein Angestellter das Unternehmen verlässt und anschließend zu einem unmittelbaren Wettbewerber wechselt. Davor kopiert er sich aber noch unberechtigterweise unternehmensinterne Daten auf einen USB-Stick oder eine externe Festplatte. Um ein derartiges Risiko vorzeitig zu unterbinden, gilt es daher, Hardwareschnittstellen mit entsprechenden Tools umfassend zu schützen.

Schnittstellenüberwachung tut Not
Eine Software für Endpoint Security, im Speziellen für die Schnittstellenüberwachung und USB-Sicherheit, erkennt automatisch und sofort, wenn ein Wechselspeichermedium, ein Smartphone oder eine Digitalkamera über USB, Bluetooth oder eine andere Schnittstelle an einen PC angeschlossen oder eine CD/DVD oder SD-Speicherkarte eingelegt wird. Eine probate Reaktion kann hier die Blockade des kompletten Datentransfers sein.

Oft ist dies aber nicht durchführbar, denn im betrieblichen Arbeitsumfeld bedarf es dieser Schnittstellen zur regulären Datenübertragung. Besser ist es daher, wenn die eingesetzte Software entscheiden kann, ob der angemeldete Nutzer die auf einem externen Medium enthaltenen Daten nutzen, nur ansehen oder ausschließlich auf bestimmte Dateitypen oder einzelne Dateien zugreifen darf.

Auch mobile Speicher an Thin Clients, zum Beispiel in Windows-Terminalserver- oder Citrix-Umgebungen, sollten sich auf die gleiche Weise überwachen lassen. Einschlägige Produkte bestehen in aller Regel einerseits aus einer zentralen Verwaltungskonsole, über die die zuständigen Mitarbeiter die Konfiguration vornehmen und andererseits aus Agenten, die auf den zu sichernden Clients oder dem Terminalserver laufen und dort die Policies umsetzen, die im Managementtool festgelegt wurden. Im Folgenden erläutern wir wichtige Funktionalitäten einer Software zur Überwachung von Schnittstellen.

Freigabe und Blockade bestimmter Speichermedien und Dateitypen
Hiermit ist die Definition von Regeln in Bezug auf Freigaben oder Verbote mobiler Speicher am PC auf Basis von OUs (organisatorische Einheiten), Gruppen, bestimmter Benutzerkonten oder für einzelne Rechner im Netzwerk gemeint. Dabei sollten sich bestimmte Gerätetypen (etwa USB-Sticks, Kartenleser, Smartphones, Kameras, USB-Drucker), Baureihen oder einzelne Geräte vom Benutzungsverbot ausnehmen lassen. Auch die Freigabe von Ports für ein bestimmtes Zeitintervall oder bis zu einem genauen Zeitpunkt sollte möglich sein.

Stichwort ist hier die Granularität: Ein granulares Regelwerk ist eine der wichtigsten Funktionen, denn es erlaubt sehr feine, detaillierte Einstellungen: So lässt sich das Lesen und Schreiben auf dem Stick nur für ganz bestimmte Dateitypen wie EXE oder DOC verhindern. Oder es erlaubt gezielt nur die Nutzung einer konkreten Datei auf dem mobilen Speicher. Um nachzuvollziehen, ob Dateien auf Wechselspeicher kopiert, von dort geholt, darauf gelöscht oder umbenannt worden sind, ist es zudem essenziell, dass das Werkzeug sämtliche Daten- und Filetransfers protokolliert.

Rechtemanagement auf allen Ebenen
Das Erstellen und Durchsetzen von passgenauen Richtlinien schafft die Balance zwischen Erlauben und Verbieten. Durch eine granulare Rechtevergabe lässt sich beispielsweise die Nutzung mobiler Geräte auf Gruppenebene verbieten, aber für einen bestimmten Benutzer erlauben. Hier sind Rechtehierarchien von Vorteil. Sie ermöglichen, dass Rechte für einzelne Benutzer oder Computer das Gruppenrecht schlagen.

Ferner sollten Sie auf individuelle Konfigurationsmöglichkeiten achten. Verbieten Sie beispielsweise standardmäßig den Anschluss von Smartphones über USB oder Bluetooth, so kann die Nutzung eines bestimmten Geräts anhand dessen Seriennummer für einen bestimmten Nutzer dennoch erlaubt sein (Weiße Liste). Zusammenfassend lässt sich also sagen: Die Rechtevergabe sollte je nach Bedarf auf Geräte-, Benutzer-, Gruppen- oder OU-Ebene erfolgen.

Temporäre Freigabe und Schutz vor Bad USB
Manche Produkte können mobilen Usern zum Beispiel am Notebook via Code-Fernfreischaltung zeitlich begrenzte Benutzerrechte für die Schnittstellen erteilen, um etwa bestimmte Dateien auf einem externen Medium zu nutzen. Allerdings ist hierbei wichtig, dass alle Richtlinien selbst bei einer Trennung vom Netzwerk bestehen bleiben.

Die Software sollte optimalen Schutz bieten, auch vor Speichersticks mit manipulierter Firmware (Bad USB). Diese melden sich heimlich als Maus, Tastatur oder Netzwerkkarte am Computer an und erlauben dann eine Fernsteuerung und externe Nutzung der befallenen Systeme. Ein solcher Übergriff lässt sich durch die Kontrolle solcher Anschlüsse verhindern.

Interaktives Dashboard und detailliertes Reporting
Welche Ihrer Clients sind geschützt? Wurden verdächtige Aktionen ausgeführt? Wenn ja, wo und von wem? Dashboards stellen den aktuellen Status der Endpoint Security im Netzwerk grafisch dar und ermöglichen detaillierte Analysemöglichkeiten. Kuchen- und Balkendiagramme informieren über den Schutzstatus der Clients. Dashboards sind kein zwingendes Muss, erleichtern das Arbeiten aber allemal und schaffen einen schnellen Überblick. Wichtig ist es, dass die Darstellungen immer aktuell und akkurat sind und die Informationen der Clients vollständig und ohne Zeitverzug dem Server gemeldet werden.

Ein detailliertes Reporting gibt jederzeit einen Überblick über den Einsatz der externen Medien pro User und Rechner im Netzwerk. Jede Aktion mit dem externen Medium wird vom Client mitgeteilt, sodass immer erkennbar ist, wann das Medium angeschlossen wurde, welches Recht greift, und wann es wieder entfernt wurde. Entsprechende Berichte und Auswertungen pro Schnittstelle (zum Beispiel USB oder Bluetooth) müssen zur Verfügung stehen.

Zum detaillierten Reporting gehören auch Dateiprotokolle. Wie bereits erwähnt ermöglichen es Dateiprotokolle, zu verfolgen, welcher Mitarbeiter an einem bestimmten PC oder Thin Client Dateien ausgetauscht und verwendet hat. Es ist ein Pluspunkt, wenn sich die Kontrolle bis auf die Ebene der erlaubten Dateien und Dateitypen herunterbrechen lässt. Allerdings gilt hier zu beachten, dass eine derartiger Detailgrad in der Kontrolle mit dem Betriebsrat abgestimmt sein muss. Vorteilhaft ist zudem, wenn das System über die Aktionen der User an den Schnittstellen der Endgeräte per E-Mail informiert.

Auf den Punkt gebracht: Zugriffe auf die Hardwareschnittstellen sollten sich protokollieren und nachfolgend zentral auswerten lassen. Dies ist die Basis für detaillierte Reporte, mit denen Sie nachvollziehen, wer wann welche Aktionen unternommen hat.

Anbindung an Active Directory
Zur Vereinfachung der Administration sollten sich Clients, Organisationseinheiten und Gruppen aus dem Active Directory importieren lassen. Eine Kopplung mit dem AD ermöglicht das Single Sign-on für Admins und erleichtert die Rechtevergabe erheblich, da sich die bestehenden Gruppen und OUs des Unternehmens aus dem Active Directory übernehmen lassen. Für diese werden sodann im Tool die Rechte hinterlegt, so etwa findet die Gruppen- und OU-Struktur aus dem Active Directory für die Rechtevergabe Verwendung. Die Zugriffsregeln auf externe Medien und Schnittstellen an PCs und / oder Thin Clients in komplexen Unternehmensstrukturen lassen sich so wesentlich effektiver verwalten. Über eine Zeitsteuerung ist gegebenenfalls noch der automatisierte Abgleich mit dem AD möglich.

Im Bereich der Netzwerkprotokolle erlauben entsprechende Produkte die Aufzeichnung sämtlicher Dateibewegungen über das Internet, die von beliebigen Anwendungen ausgeführt werden, egal ob die Dateien zum Beispiel per Webbrowser hochgeladen oder per Outlook verschickt wurden. Eine Überwachung von Dateibewegungen lokaler Laufwerke an Thin Clients in Remote Sessions informiert über Dateitransfers bei den Arbeitsstationen der Serverfarmen. Dadurch können IT-Verantwortliche entsprechend handeln, wenn zum Beispiel Dateien auf USB-Wechselspeicher an Thin Clients oder von dort ins interne Netz gelangen.

Übersicht bewahren, Skalierbarkeit sicherstellen
Allgemein gilt: Der Funktionsumfang, die Compliance, die Granularität, die Zuverlässigkeit und die Leistungsfähigkeit eines Werkzeugs zum Schnittstellenschutz gehören zu den Top-Auswahlkriterien. Allerdings wird auch die Benutzerfreundlichkeit bei der Auswahl immer wichtiger. Eine intuitiv bedienbare und zugleich visuell ansprechende Oberfläche erhöht das Nutzererlebnis. Insbesondere übersichtliche Dashboards informieren auf einen Blick und Menü- und Tab-Systeme erleichtern das Arbeiten. Zudem sind individuelle Einstellungsoptionen, wie veränderbare Oberflächen oder unterschiedliche Anzeigeoptionen gerne gesehen.

Übersichtlichkeit, Interaktivität und Ergänzungsmöglichkeiten sind weitere Pluspunkte. Wenn sich zum Beispiel Rechte auf Ebene der Benutzer, OU, Gruppe und Computer übersichtlich in jeweils interaktiven Listen setzen lassen, ist zu jeder Zeit ein Überblick über die bereits gesetzten Berechtigungen möglich. Da sich die Listen sortieren und filtern lassen, gestaltet sich das zielgenaue Anpassen der Rechte um einiges einfacher. Ein übersichtlicher zentraler Kontrollstand für Compliance Management, Dienstverteilung und Reporting sind von Vorteil. Zudem sollte die freie Ergänzung von beispielsweise zu überwachenden USB-Gerätetypen gegeben sein.

Weiterhin sinnvoll sind schwarze und weiße Listen, Erinnerungsfunktionen, Alarme, Berichte, die vollständige Datenanzeige zum Betriebssystem der Clients bis hin zur Darstellung der Batteriestände von angeschlossenen Bluetooth-Geräten. Smarte Einstellungsmöglichkeiten, wie die Nutzung unerwünschter Programme auf den Zielgeräten zu unterbinden, helfen bereits frühzeitig, Risiken zu minimieren. Schlussendlich ist Zeit Geld – daher sollten IT-Verantwortliche darauf achten, dass sich die Software innerhalb kurzer Zeit und mit geringem Aufwand implementieren und managen lässt.

Im Vorfeld ergibt eine ausführliche Testphase Sinn. Allgemein ist es ratsam, eine Software mit modularem Aufbau auszuwählen, da diese mitwachsen kann. Vor allem sollte sie Prozesse nicht einschränken, sondern flexibel abbilden. Generell sind aber auch organisatorische Maßnahmen nicht außer Acht zu lassen. Derartige Maßnahmen sind unter anderem Mitarbeiterschulungen, die Sensibilisierung gegenüber den verschiedenen Bedrohungen sowie Leitfäden und Richtlinien für Mitarbeiter im Umgang mit Endgeräten oder externen Datenträgern.

Fazit
Prävention ist die beste Maßnahme. Eine Software für den Schnittstellenschutz hilft, externe Hardwareschnittstellen dauerhaft abzusichern, mobile Speicher und Internetprotokolle zu überwachen und Sicherheitslücken zu schließen. Ein solches Tool nimmt daher nicht nur das Risiko von ungewollten Zugriffen Dritter, sondern schützt präventiv Daten und Netzwerke vor Datendiebstahl oder dem Einschleppen von Viren und Trojanern über Wechseldatenträger.

Dr. Jürgen Falk ist CEO bei FCS Fair Computer Systems.

Tags

Ähnliche Beiträge

So bleibt IT-Sicherheit auch für den Mittelstand bezahlbar Redaktion IT-A… Mi., 27.03.2024 - 09:16
IT-Sicherheit darf keine Kostenfrage sein. Dennoch nennen viele Unternehmen die Investitions- und Betriebskosten als Hauptgrund für ihre Zurückhaltung beim Thema Sicherheit. Doch wie viel Wahrheit steckt dahinter? Warum handeln deutsche Unternehmen (noch) nicht? Und warum ist ITSicherheit überlebenswichtig? Und welche Rolle spielt dabei NIS2? Diesen Fragen und möglichen Lösungsansätzen gehen wir in unserem Artikel auf den Grund.

Künstliche Intelligenz nutzen und datenschutzkonform agieren

Künstliche Intelligenz ist ein Meilenstein für die Technologiebranche, ihr volles Potenzial aber noch nicht ausgeschöpft. Es zeigt sich jedoch, dass KI-Anwendungen eine intensive Datennutzung und menschliches Eingreifen erfordern – nicht zuletzt um Datenschutz zu gewährleisten und mögliche neue Sicherheitsrisikien zu vermeiden. Organisationen müssen daher analysieren, wie sie KI in ihre Strategie zum Datenmanagement integrieren können.

Mehr Datensicherheit durch ganzheitliche Plattformen

Die Folgen von Cyberangriffen sind für Unternehmen verheerend. Dies gilt vor allem für Attacken auf hybride IT-Umgebungen, die Datenverluste auf mehreren Plattformen zur Folge haben. Deshalb lohnt es sich, auf ganzheitliche Werkzeuge für eine sichere Kommunikation und Datenübertragung zu setzen. Welchen maßgeblichen Beitrag Produktivitätsplattformen in den Bereichen Verwaltung, Kosteneffizienz und Reaktionsschnelligkeit leisten, erklärt unser Artikel.