USB-Ports am PC kontrollieren
Trau, schau, wem
Manche neuen Medien für den Austausch von Daten sind praktisch, aber gefährlich. Auf einem 4-GByte USB-Stift wandern schnell die Kundendatenbank nach Hause oder ein halbes Dutzend unerlaubte Programme ins Netzwerk. USB-Blocker-Software kontrolliert und sorgt für bestimmungsgemäßen Einsatz der Speicherstifte.
Das beliebteste Werbegeschenk auf einer Messe? Klare Sache, ein USB-Stift. Die kleinen
Speicherriesen sind so billig geworden, dass sie mittlerweile zu Dutzenden in Schubladen und auf
Schreibtischen herumliegen. Dagegen ist auch nichts zu sagen, schließlich sehnt sich wirklich
niemand nach Disketten und deren 1,44-MByte-Limits und Lesefehlern nach zehn Einsätzen zurück. Doch
schnell, groß und komfortabel wie die Speicher sind, zu denen man heute auch portable Festplatten
wie den Ipod sowie digitale Kameras zählen muss, bergen sie auch ein Risiko: Ohne Kontrolle kann
der geneigte Mitarbeiter praktisch alles, was er an digitalen Informationen transportieren möchte,
aus dem Büro schaffen. Mittlerweile sind Kapazitäten von acht GByte erhältlich, womit sich die
Daten eines kompletten Servers auf Schokoriegelformat einschmelzen und aus der Firma tragen lassen.
Vielen Unternehmen scheint die Gefahr zwar bewusst zu sein – eine Studie von Reflex Magnetics in
England aus dem Jahr 2004 ergab, dass 82 Prozent der befragten USB-Speicher als Gefahr sehen. Die
gleiche Studie ergab auch, dass 60 Prozent der Befragten die Nutzung von USB-Speichern nicht
überwachen, satte 84 Prozent unternahmen nichts gegen die potenzielle Gefahr.
So viel Unbekümmertheit kann gefährlich sein. Selbst wenn man keine Datenspionage fürchtet,
birgt die Verfügbarkeit von billigen USB-Massenspeichern Gefahrenpotenzial: Viren, Würmer, Trojaner
– die ganze Bandbreite der Schädlinge wandert auf diesem Medium unsichtbar für Firewall und den
zentralen Virenscanner zum Arbeitsplatz des Benutzers. Zu diesem Ergebnis kamen auch die Analysten
der Gartner Group. Sie sehen in den kleinen Speicherriesen eine Bedrohung für die Datenintegrität
in Unternehmen und empfehlen dringend, keine unkontrollierte Nutzung zu erlauben. Das Stichwort
lautet "Unkontrolliert". Niemand, auch Gartner nicht, geht davon aus, dass ein Unternehmen portable
Speicher verbieten kann. Ein kontrollierter Ansatz verspricht mehr Erfolg und erlaubt auch
weiterhin den Einsatz der kleinen Helferlein. Zwei Dinge gehören zu einer wasserdichten Lösung:
Erstens muss ein Unternehmen klare Richtlinien für die Nutzung festlegen und kommunizieren, wer was
mit welchen Geräten tun darf. Und weil Vertrauen gut, Kontrolle in diesem Fall aber unerlässlich
ist, sorgt die passende Software dafür, dass nur freigegebene Speichergeräte Zugriff bekommen und
keine unerlaubten Daten aus dem Netz kopiert werden.
Kontrolle, aber richtig
Nach zögerlichem Start gibt es mittlerweile eine Vielzahl an Programmen, die zur Kontrolle der
USB-Schnittstellen eingesetzt werden können. Der Trend geht allerdings zu Kombilösungen, die neben
den USB-Ports auch alle anderen Schnittstellen am PC kontrollieren. Sie geben dem Administrator
eine fein abgestimmte Kontrolle darüber, was die Nutzer an ihren PCs mit Speichermedien aller Art
anstellen dürfen. Das Grundprinzip ist immer das Gleiche: An einem PC werden über eine
Admin-Software Richtlinien festgelegt, wer wann und auf welche Geräte in welcher Weise zugreifen
darf. Auf den zu kontrollierenden PCs sorgt eine Clientsoftware für die Umsetzung der Richtlinien.
Neue Richtlinien und Updates bekommen die Clients per Push zugesandt, oder sie holen sich die
Informationen regelmäßig ab.
Alle Programme nutzen eine Datenbank, um erfasste Geräte zu speichern und die dazu passenden
Richtlinien abzulegen. Weil schon bei einem mittelgroßen Unternehmen eine ganze Menge von Geräten
zusammen kommen können, ist die Art, wie die entsprechende Datenbank gefüttert wird, ein wichtiges
Kriterium. Am bequemsten wird die Erfassung mithilfe eines Scanners erledigt, der im Netzwerk alle
PCs durchsucht und die gefundenen Schnittstellen und angeschlossenen Geräte automatisch im
Repository einträgt. Solch einen Scanner bieten jedoch nicht alle Hersteller an, oder die Software
existiert, ist aber nicht im Lieferumfang des eigentlichen USB-Blockers enthalten.
Bei einigen Produkten gibt es auch die Möglichkeit, USB-Geräte am Admin-PC anzustecken und so
von Hand in die Datenbank einzutragen. Besonders komfortabel ist es, wenn man als Administrator
ausgewählten PCs für einen bestimmten Zeitraum die Aufnahme neuer Geräte gestatten kann. So lässt
sich der USB-Stift eines Besuchers kurzfristig frei schalten und danach automatisch wieder aus der
Datenbank löschen. Wer sich schon mal einen Überblick verschaffen möchte, welche Geräte an den PCs
im Netzwerk aktiv sind oder aktiv waren, kann auf der Webseite von Smartline kostenlos das Programm
"PnP-Auditor" (www.protect-me.com/download) herunterladen. Der Scanner durchsucht eine Domäne oder
die Microsoft-Netzwerkumgebung und listet von allen gefunden PCs die Plug-and-Play-Geräte auf. Das
der PnP-Auditor auch den Firewire-Bereich und PC-Cards erfasst, ist korrekt: Auch darüber können
Daten eingeschleust oder kopiert werden. Die Durchsatzraten sind zum Teil noch erheblich höher als
bei USB.
Vielfalt zählt
Gleich welche Lösung zum Einsatz kommt, einige Faktoren müssen immer beachtet werden. So ist die
Art und Menge der erkannten Schnittstellen entscheidend. USB gehört immer dazu, aber auch serielle
und parallele Ports können interessant sein, ebenso – wie schon erwähnt – Firewire, PCMCIA und
Floppy- sowie CD/DVD-Laufwerke. Die Frage, welches Gerät erlaubt und welches verboten ist, ist
übrigens bei weitem nicht so trivial zu beantworten wie sie klingt. Sicherlich kann man alle
USB-Speichergeräte sperren, aber dies hat in kaum einer Umgebung Sinn. Fast immer wird man den
Benutzern Zugriff auf bestimmte Datenträger geben wollen. Eine Software, die die Medien so
detailliert wie möglich erkennt, hilft deshalb enorm. So können einige Produkte nicht nur den Typ
des USB-Geräts (Klasse) und den Hersteller auslesen, sondern auch die Gerätebezeichnung und eine
eindeutige Kennnummer, basierend auf den verbauten Speicherchips. Mit solch einem System könnte ein
Administrator nur den USB-Stift XYZ von Hersteller ABC im Unternehmen erlauben, oder sogar nur
fünfzehn handselektierte Geräte mit ihren eindeutigen Nummern. Verschiedene Hersteller behandeln
nach diesem Konzept sogar CD- und DVD-Medien, die dann ebenfalls explizit für die Nutzung
freigegeben oder gesperrt werden können. Elegant ist auch die Lösung eines Anbieters, über den
Inhalt eines Datenträgers eine Quersumme zu bilden und so eine möglicherweise wieder beschreibbare
CD oder DVD freizugeben, so lange ihr Inhalt nicht verändert wird. Noch einen Schritt weiter gehen
Produkte, die generell jedes Gerät erfassen können, das von Windows erkannt wird, also auch
Tastatur, Maus, Monitor oder Soundkarte. Natürlich kann dies in einigen Fällen notwendig sein, wenn
die Sicherheitsanforderungen sehr hoch sind – zum Beispiel im öffentlichen Bereich wie bei Polizei
oder Ämtern. Man bezahlt den größeren Funktionsumfang jedoch mit einer deutlich komplexeren
Konfiguration. In solch einem Fall muss man den Rollout im Unternehmensnetz sehr sorgfältig planen.
Auf einen Schlag schwarze Bildschirme und abgeschaltete Tastaturen demonstrieren zwar eindrucksvoll
die Funktion der Überwachungslösung, begeistern aber nicht gerade die Anwender.
Für alle Anwender wichtig ist hingegen die Zahl der unterstützten Betriebssysteme auf der
Client-Seite, allerdings konzentrieren sich die Anbieter bislang auf Windows. Und selbst dort gibt
es Ausnahmen: Für Windows 98, das nach wie vor in kleinen Unternehmen zu finden ist, gibt es
entweder keine oder nur optionale Unterstützung. MacOS und Unix werden ähnlich stiefmütterlich
behandelt.
Erst planen, dann sperren
Je detaillierter die Lösung eingestellt werden kann, desto mehr Freiheiten erlaubt sie den
Benutzern, ohne die Sicherheit zu kompromittieren. Die schnelle Zuteilung von Schreib- oder
Leserechten für ein Gerät ist Standard. Präziser wird es, wenn man festlegen kann, wie viele Daten
pro Tag kopiert werden dürfen: Ein Word-Dokument mit einem MByte ist in Ordnung, die
Vertriebsdatenbank mit 2 GByte nicht. Pluspunkte gibt es auch, wenn das Programm bei CD- und
DVD-Brennern die Brennfunktion abschalten kann, das Lesen von Medien aber erlaubt. Das gleiche gilt
für eine Zeitsteuerung, sodass nachts, allein im Büro, eben keine Kamera mehr angeschlossen und
deren Speicherkarte als Datenträger genutzt werden kann.
Fast alle Lösungen bieten in ihren derzeitigen Versionen auch die Funktion des "Shadowing" an.
Dabei werden Schreiboperationen protokolliert. Je nach Produkt zeichnet die Software nur die
Dateinamen auf, andere Hersteller schreiben gar den kompletten Datenstrom mit. Inzwischen sind
sogar Lösungen auf dem Markt, die die gelesenen Daten aufzeichnen. So kann der Administrator
feststellen, welche Daten von außerhalb in sein Netzwerk gelangt sind.
Wer solche Überwachungsmaßnahmen einsetzen will, sollte aber die rechtliche Seite bedenken.
Diese Überwachungsformen bedürfen in Deutschland der Zustimmung des Betriebsrats. Auch das Sichten
der gesammelten Daten darf nur durch autorisierte Personen erfolgen. Darum ist der nächste Punkt
auf der Auswahlliste genauso wichtig: Wer persönliche Daten sammelt, muss auch deren Schutz
gewährleisten. Das geht nur mit einer expliziten, internen Benutzerverwaltung innerhalb des
Programms. Damit werden Aufgaben delegiert und der Zugang zu Log-Dateien nur nach dem Vier-Augen
Prinzip gestattet.
Den Anwender nicht vergessen
Über allen Möglichkeiten zum Absperren und Kontrollieren sollte der Anwender nicht vergessen
werden. Die Kontroll- und Schutzlösung darf ihn in seiner Arbeit nicht einschränken oder behindern.
Eine Nachricht an ihn ist angebracht, wenn er etwas zu tun versucht, was ihm der Administrator per
Richtlinie verboten hat. Ansonsten muss die Software unsichtbar im Hintergrund arbeiten – oder fast
unsichtbar: Ein kleines Icon in der Task-Leiste hilft dem Administrator, wenn er gerade vor Ort
ist. Er sieht mit einem Blick, dass die Software läuft und welche Regeln an diesem PC gelten.
Änderungen darf der Mitarbeiter keine vornehmen, darum ist es selbstverständlich, dass die Anwender
entweder keine Administratorrechte oder auch in diesem Fall nicht an das Regelwerk des USB-Blockers
heran kommen.
Noch ein Stolperstein könnte die unbeschwerte Port-Kontrolle stören: Da die Clientsoftware an
den PCs meist über RPCs (Remote Procedure Calls) mit dem zentralen Richtlinienserver kommunizieren,
muss eine eventuell installierte Firewall den Zugriff erlauben. Das gilt auch und vor allem für die
Desktop-Firewall von Windows XP SP2, die per Default nach der Installation aktiviert und weitgehend
"abgedichtet" ist.
Vor aller Kontrolle kommt allerdings die Installation. Einige der Lösungen bringen eigene Tools
zum Rollput der Client-Software und Richtlinien mit. Andere Produkte nutzen dafür die
Windows-eigenen Mechanismen zur Softwareverteilung, zum Beispiel über Gruppenrichtlinien. Wer
bereits eine alternative Lösung zur Verteilung einsetzt, sollte darauf achten, dass sie mit dem
Installationsformat der Pakete klar kommt.
Verschlüsseln und regeln
Wer es ganz sicher machen möchte, wird sich für Lösungen interessieren, die Inhalte vor dem
Kopieren auf einen Datenträger automatisch verschlüsseln. Das hilft, wenn ein autorisierter
USB-Stift mit wichtigen Daten verloren geht. Aber auch im internen Einsatz kann solch eine
Vorsichtsmaßnahme sinnvoll sein, wenn die Verschlüsselung an einen bestimmten Computer und Benutzer
gebunden ist. So könnte der Anwender eine Datei nur an seinem Büroarbeitsplatz öffnen und
bearbeiten dürfen, und dies auch nur dann, wenn genau dieser Arbeitsplatz gerade im Firmennetz
angemeldet ist. Mittlerweile springen immer mehr Anbieter von reinen Überwachungs- und
Blockadelösungen auf diesen Zug auf und kombinieren ihre Produkte mit Verschlüsselungs-Engines oder
bieten gleich spezielle USB-Stifte, an. Diese haben dann zum Beispiel Fingerabdrucksensoren
eingebaut und geben den Zugriff auf den Inhalt nur frei, wenn Passwort und Fingerabdruck
übereinstimmen. Die Verschlüsselung kann entweder zentral vom Administrator gesteuert oder
dezentral an die Benutzer übergeben werden. Ein Anwender könnte das Recht zum Verschlüsseln
erhalten, ein anderer ausschließlich mit verschlüsselten Datenträgern arbeiten dürfen.
Je größer das Netzwerk, desto umfangreicher wird die Kontrolllösung ausfallen. Dass dabei nicht
die Übersicht verloren geht, ist in erster Linie Aufgabe des Administrators. Er muss die
Nutzungsregeln klar definieren und dokumentieren. Eine gute USB-Blocker-Lösung unterstützt ihn
dabei, indem sie das Regelwerk übersichtlich darstellen und ausgeben kann – auf Papier oder in
Dateiform. Änderungen an den Regeln müssen auditierbar sein, damit später nachvollzogen werden
kann, wer eine möglicherweise fatale Modifikation zu verantworten hat. Dass dazu auch eine nahtlose
Einbindung in die üblichen Verzeichnissysteme wie Active Directory oder LDAP gehört, ist ebenfalls
klar. Schließlich soll die Einführung eines USB-Blockers ohne redundante Datenbankeinträge
vonstatten gehen.
Lesen Sie mehr zum Thema
