Endpoint-Security und Data-Loss-Prevention: Sicherheits-Check portabler Geräte

Portable Geräte wie USB-Sticks, Handys und Kameras bergen unüberschaubare Risiken hinsichtlich der Sicherung sensibler Daten. Gleiches gilt in Bezug auf die Schadsoftware, die über diese Endgeräte ins Unternehmen geschleust werden. Boardmittel sind ungeeignet, um sowohl die Sicherheit durchzusetzen als auch die Effizienz des Betriebes zu erhöhen sowie Kosten zu senken und gleichzeitig Compliance in Echtzeit zu erhalten.

Eine effiziente Sicherheit der Endgeräte umfasst neben Virenscanner und Personal-Firewall folgende weitere Komponenten:

Geräte- und Schnittstellenkontrolle versetzt das Unternehmen in die Lage, den Einsatz aller Geräte und aller Schnittstellen benutzer- und/oder gruppenbezogen sowie zeit- und situationsabhängig zentral zu steuern und eine vollständige Inventarisierung vorzunehmen. Eine spontane Selbstfreigabe unter bestimmten Auflagen für vertrauenswürdige Anwender minimiert den administrativen Aufwand.

Personalisierte Geräte ermöglichen auch für besonders kritische Bereiche mit der Pflicht zur detaillierten Protokollierung oder individuellen Freigabe den unkomplizierten Einsatz kostengünstiger USB-Geräte ohne individuelle Merkmale.

Inhaltskontrolle verhindert, dass unerwünschte Daten, aktive Inhalte (z.B. EXE, DLL, Script) und Malware in das Firmennetz eingebracht beziehungsweise sensible Daten entnommen werden – auch bei beliebig geschachtelten Zip-Archiven oder verschlüsselten Dateien.

Verschlüsselung der Daten stellt die Vertraulichkeit sicher und schützt sensible Daten vor unbefugter Einsichtnahme. Festplattenverschlüsselung allein reicht nicht aus. Sie dient nur dem Schutz bei Diebstahl oder Verlust des Rechners und ist zum Schutz der eigentlichen Daten ungeeignet, da diese durch Schadprogramme ausgelesen werden können.

Persönliche Schlüssel dienen der sicheren Datenweitergabe auf mobilen Datenträgern an Dritte, während Unternehmensschlüssel sicherstellen, dass Daten das Unternehmen nicht verlassen können, egal, auf welchem Medium sie sich befinden. Die Sicherheitsrichtlinie definiert, ob die Verschlüsselung erzwungen oder optional ist.

Applikationskontrolle inventarisiert alle Anwendungen und verhindert das Starten unerwünschter Applikationen, auch von portablen Apps, die keine Administrationsrechte des Benutzers benötigen. Ein eigener Rechteraum für die Applikation erlaubt, Restriktionen oder erweiterte Anwendungsrechte unabhängig von den Rechten des Anwenders umzusetzen. Der Browser darf etwa keine vertraulichen Daten lesen, um einen Upload ins Internet zu verhindern.

Kontrolle der verwendeten Netze und netzwerkbasierte Sicherheitsprofile ermöglicht sofort je nach erkanntem Netzwerk (Heimarbeitsplatz, Firmen- oder öffentliches Netz) eine eigene Sicherheitseinstellung am Client ohne Anwendermitwirkung durchzusetzen und die Netznutzung unter Auflagen (nur VPN, keine gleichzeitige Nutzung …) zu legen.

Ereignisgesteuerte Reaktionen ermöglichen etwa Fehler direkt an das Helpdesk oder Drittsysteme zu übermitteln, während Versuche die IT-Sicherheitspolitik zu umgehen dem IT-Sicherheitsbeauftragten gemeldet werden. Bei bestimmten Ereignissen kann mit dem Anwender in Dialog getreten und die Benutzerreaktionen beweisbar protokolliert werden.

Management-Information und Reports liefern beweis- und revisionssicher die nötigen Informationen – auch über einen Alarm in Echtzeit.

Durch eine toolgestützte IST-Analyse zu Projektbeginn, eine darauf aufbauende technische Umsetzung der IT-Sicherheitsrichtlinien sowie einem sanften Rollout mit anschließendem Scharfschalten lässt sich die Akzeptanz der Anwender gewinnen und der administrative Aufwand gering halten.

Thorsten Scharmatinat, Key Account Manager, IT Watch