13.12.06

Von: Andre Muscat

GFI: USB-Schnittstellen müssen zuverlässig verwaltet und überwacht werden

Welche Gefahren sehen Sie beim USB-Port?
 
Bedingt durch die große Auswahl an mobilen Geräten, die sich per USB-Port anschließen lassen, sind Unternehmen zahlreichen Risiken und Gefahren ausgesetzt. Wenn die USB-Schnittstelle nicht zuverlässig verwaltet und effektiv überwacht wird, drohen:

  • Diebstahl von Unternehmensdaten:
    Im Allgemeinen speichern Unternehmen vertrauliche Daten wie Kundeninformationen, Projektentwürfe, Forschungsunterlagen und zahlreiche andere urheberrechtlich geschützte Dokumente auf ihren Dateiservern und freigegebenen Laufwerken. Diese wertvollen, oftmals viel zu leicht zugänglichen Daten können weiterverbreitet und auf verschiedenste Weise missbraucht werden. Beispielsweise um dem Unternehmen zu schaden oder die Informationen zum eigenen geschäftlichen Vorteil einzusetzen. Natürlich lassen sich die Informationen auch für Identitätsdiebstahl, Phishing, Spam und andere Zwecke einsetzen. Kopien werden nicht immer mit böswilligen Hintergedanken angefertigt - bei unzufriedenen Mitarbeitern oder solchen, die das Unternehmen verlassen wollen, oftmals jedoch schon. In Großbritannien beispielsweise werden jährlich mehr als 100.000 Personen Opfer von Identitätsdiebstahl, so Schätzungen des Identity Fraud Steering Committee.
     
  • Einschleppen von Malware oder Raubkopien:
    Es ist im Interesse  von Unternehmen, ihren Mitarbeitern eine zuverlässige Arbeitsumgebung zu bieten, die reibungslose Workflows ermöglicht. Arbeitsabläufe und Produktivität sind jedoch gefährdet, wenn sich CDs und USB-Geräte wie iPods problemlos über Firmenrechner nutzen lassen. Durch diese tragbaren Massenspeicher können Mitarbeiter unerwünschte Inhalte wie Spiele oder sogar Raubkopien einschleusen, die während der Arbeitszeit genutzt werden - mit entsprechenden Konsequenzen. Hohe Investitionen in komplexe Internet-Firewalls, E-Mail-Gateways und andere Lösungen zum Schutz vor äußeren Bedrohungen sind allesamt nutzlos, wenn Mitarbeiter einfach ein USB-Laufwerk an ihren Arbeitsplatz mitbringen, es an ihren Rechner anschließen und so unter Umgehung aller Perimeter-Schutzmaßnahmen unbehelligt Daten austauschen können.

In den meisten Fällen zielen Anwender keineswegs darauf ab, mit den übertragenen Daten die Sicherheit des Firmennetzwerks zu kompromittieren. Leider sind die mitgebrachten Dateien jedoch nicht immer auf Malware überprüft worden. So können sich Schädlinge auch ungewollt schnell im Unternehmenssystem verbreiten und es binnen weniger Sekunden zum Erliegen bringen. Organisationen sind sich oftmals nicht im Klaren darüber, dass Schädlinge, die per E-Mail und Internet verbreitet werden, im selben Maße auch auf modernen tragbaren Massenspeichern wie USB-Sticks lauern. Laut einer aktuellen CSI/FBI-Umfrage zur Computersicherheit ("2006 CSI/FBI Computer Crime and Security Survey") hatten 65 Prozent der befragten Unternehmen in den letzten zwölf Monaten mindestens ein Mal mit Schädlingen zu kämpfen gehabt.
 
Der neueste Trend bei der Verbreitung von Malware besteht übrigens in Form von gezielt eingesetzter Crimeware. Ein typisches Beispiel: Ein Mitarbeiter findet einen USB-Stick auf dem Firmenparkplatz und nimmt ihn mit ins Büro. Neugierig darauf, was auf dem Datenträger gespeichert sein könnte, schließt er den USB-Stick am Firmenrechner an. Mit dem Ergebnis, dass auf dem Stick gespeicherte Malware sofort aktiv wird und sämtliche Dokumente des Mitarbeiterrechners (oder anderer damit verbundenen Quellen) verschlüsselt - mit dem Hinweis, dass sämtliche Daten freigekauft werden müssen, um sie wieder nutzen zu können.

  • Rechtsverletzungen:
    Unternehmen sind zum Schutz der im Firmennetzwerk gespeicherten Daten gesetzlich verpflichtet und haften zudem für sämtliche illegalen Datentransfers ihrer Mitarbeiter - selbst wenn das Unternehmen keine Kenntnis davon hatte. Missbrauch kann beispielsweise vorliegen, wenn verbotenes Material wie pornografische oder rassistische Inhalte oder unlizenzierte Software ins Netzwerk gelangen. Unternehmen müssen, ungeachtet ihrer Größe und Branche, beim Datenschutz gewisse Administrations- und Sorgfaltspflichten beachten und Informationen hinreichend vor allen Arten von Bedrohungen schützen. Andernfalls drohen empfindliche Strafen. GFI Software sieht zudem einen Trend, dass Unternehmen erst dann sicher gehen können, gesetzliche Compliance-Richtlinien zum Schutz von Kundeninformationen zu erfüllen, wenn sie eine konsequente Überwachung von Daten und deren Transfer betreiben. Beispielsweise wurde der Datenhändler Choicepoint Inc. im Januar 2006 zur Zahlung von fünfzehn Millionen US-Dollar verurteilt, da das Unternehmen Kundendaten nicht ausreichend geschützt und Datenschutzrechte verletzt hatte (Quelle: www.ft.com).
     
  • Produktivitätseinbußen:
    Die Datenkapazität moderner USB-Speichermedien ist enorm. Der neueste Apple iPod besitzt beispielsweise eine 80 GB-Festplatte.  Dieses Fassungsvermögen erlaubt es, Daten unterschiedlichster Art und Größe auf Firmenrechner zu übertragen, ob Urlaubsfotos, Videospiele, Filme oder E-Books,  mit denen sich Mitarbeiter während der normalen Arbeitszeit beschäftigen können.
     

Laut der bereits erwähnten CSI/ FBI-Studie nahmen Viren, unautorisierter Datenzugriff, Diebstahl von Laptops oder anderer mobiler Hardware sowie die Entwendung interner Daten die ersten vier Plätze des Verlust-Rankings aus dem Jahr 2006 ein - zusammen beträgt ihr Anteil an den Gesamtschäden 74, 3 Prozent.
 
Tatsache ist, dass die bereits dargestellten Gefahren durch USB-Geräte genau denen ähneln, die Unternehmen bereits mit Hilfe kostenintensiver Perimeter-Schutzmaßnahmen abzuwehren versuchen. Dem Schutz und der Überwachung interner Netzwerkstrukturen muss daher ebenso viel Beachtung geschenkt werden.
 
Die von Betriebssystemen intern unterstützte USB-Technologie kann nur mit Hilfe externer Sicherheitslösungen zuverlässig überwacht werden. Administratoren müssen darüber informiert sein, wie USB-Ports von Netzwerkrechnern tatsächlich genutzt werden, um adäquate Schutzmaßnahmen gegen die bereits beschriebenen Bedrohungen ergreifen zu können.  Es ist zwangsläufig anzunehmen, dass Mitarbeiter, die einen iPod oder ähnliche Player ins Büro mitbringen, diese auch mit den Netzwerk verbinden. Da das Bewusstsein für die zahlreichen Anwendungsmöglichkeiten von USB-Geräten wächst und sie aus dem täglichen Leben kaum noch mehr wegzudenken sind, müssen sich auch Unternehmen mit diesem Thema auseinandersetzen und entsprechende Schutzlösungen implementieren. Nur so können bislang unentdeckte und unerwünschte USB-Aktivitäten unterbunden werden.
 
Haben Unternehmen in Deutschland den USB-Port als Sicherheitsrisiko erkannt?
 
Wir können mit Recht behaupten, dass die überwiegende Anzahl der Unternehmen, nicht nur in Deutschland, sondern weltweit, sich bisher noch nicht bewusst sind, welch großes Risiko von USB-Ports und den daran angeschlossenen Geräten ausgeht. Unterstützt wird diese Aussage durch Forschungsergebnisse, dass der unautorisierte Datenzugriff und der Diebstahl vertraulicher Daten in den USA den größten Anteil an finanziellen Schäden des Jahres 2006 einnehmen. Beide Schadensquellen machen zusammen 31,7 Prozent aller Verluste aus und sind vergleichbar mit dem Befall durch Viren  (29,9 Prozent). (Quelle: "2006 CSI/FBI Computer Crime and Security Survey")
 
Durch die hohe Speicherkapazität von USB-Geräten lassen sich ohne weiteres ganze Datenbanken kopieren, die in jahrelanger Arbeit aufgebaut wurden. Unternehmen müssen dies als äußerst kritische Bedrohung erkennen, deren Nichtbekämpfung einen hohen finanziellen Verlust bedeuten kann. Es ist notwendig, sich von traditionellen Schutzmaßnahmen, wie dem generellen Verbot portabler Hardware oder der Durchführung von Sichtkontrollen, zu lösen. Statt dessen müssen elektronische Barrieren errichtet werden, die Endpunkte zuverlässig und intelligent schützen.
 
Trotz aller Sicherheitsrisiken gilt, dass es unter Umständen nicht zwingend notwendig ist, USB-Geräte vom Arbeitsplatz zu verbannen. Vielfach müssen Unternehmen einfach nur den Überblick über Aktivitäten behalten, die im Netzwerk ablaufen, beispielsweise mit Hilfe entsprechender Software-Lösungen. Risiken lassen sich hierdurch leichter erkennen und einschätzen.
 
Welche Maßnahmen ergreifen Firmen, falls überhaupt, um dieses Risiko einzudämmen?
 
Um Risiken zu minimieren, greifen Unternehmen häufig auf konventionelle und leider sehr ineffektive Schutzmaßnahmen zurück: Beispielsweise wird auf die Wirksamkeit einzelner Kontrollen und die freiwillige Einhaltung von Richtlinien vertraut. Nicht zuletzt kann sich ein generelles Nutzungsverbot für USB- und andere tragbare Geräte auch demotivierend auswirken: Sind MP3-Player und auch Mobiltelefone nicht mehr am Arbeitsplatz erlaubt, kann dies bei Mitarbeitern zu einer Art Verweigerungshaltung führen, die produktivitätshemmend ist. Ein weiterer Nachteil manueller Sicherheitsüberprüfungen: Portable Geräte lassen sich durch ihre kompakte Größe leicht in Büros einschmuggeln. Werden Kontrollen nach einiger Zeit nicht mehr so gründlich wie zu Beginn durchgeführt, ist eine Verbindung mit dem Arbeitsplatzrechner wieder einfacher.
 
USB-Ports durch das Verkleben des Anschlusses oder die Trennung der rechnerinternen Verbindungen unbrauchbar zu machen, kann ebenfalls negative Folgen haben, da die Ports für gängige Büro-Hardware wie Drucker, Scanner, Tastaturen und Mäuse benötigt werden. Bei Rechnern mit ungeschützten USB-Ports können Drucker- oder Scannerkabel zwar leicht entfernt werden, um andere Geräte anzuschließen. Doch dieser Gefahr zu begegnen, indem USB-Schnittstellen unbrauchbar gemacht werden, macht im Alltagsbetrieb erforderliche, sinnvolle USB-Geräte nutzlos.
 
Fazit ist, dass Unternehmen die zahlreichen Warnzeichen erkennen und zu deuten wissen sollten und effektive Schutzmaßnahmen ergreifen müssen.
  

 
Nur 31 Prozent der Teilnehmer an der aktuellen CSI/FBI-Umfrage setzen Software zum Schutz von Endgeräten ein, wohingegen bei fast 98 Prozent eine Firewall und Anti-Viren-Software implementiert sind. Unternehmen konzentrieren sich auch weiterhin vorrangig nur auf die Stärkung der Perimeter-Sicherheit - der Absicherung vor Gefahren durch interne Quellen wird leider immer noch nicht genügend Beachtung geschenkt.
 
Organisationen, die einen Endpunkt-Schutz einrichten wollen, müssen zunächst unternehmensweit gültige Richtlinien zur Verwendung tragbarer Medien aufstellen. Darin ist genau zu bestimmen, wer portable Speicher in Firmen mitführen darf, welche Arten von Geräten erlaubt sind sowie wo und von wem sie angeschlossen werden dürfen.
 
Ohne eine effektive Richtlinie, die grundlegende Anforderungen von Unternehmen an den Einsatz tragbarer Geräte festlegt, kann entsprechende Kontrolltechnologie nicht wirkungsvoll eingesetzt werden.
 
Was empfehlen Sie Unternehmen auf organisatorischer Seite, um die Gefahr zu bekämpfen?
 
Unternehmen profitieren natürlich davon, wenn nützliche USB-Geräte eingesetzt werden. Beispielsweise kann es für Marketing-Mitarbeiter sinnvoll und praktikabel sein, Präsentationen für einen Kundentermin auf einen USB-Stick zu kopieren. Aus organisatorischer und betriebswirtschaftlicher Sicht müssen Unternehmen zuerst eine effektive Sicherheitsrechtlinie und "Fair-Use-Policy" für portable Ressourcen implementieren. In dieser sollte definiert werden, welche Einsatzmöglichkeiten von mobilen Geräten im Unternehmen legitim oder verboten sind. Erst nach der Definition einer Sicherheitsrichtlinie können technologische Sperren errichtet werden. Bei der Konfigurierung der Software-Lösung sind dann deren jeweilige Parameter an die Unternehmensanforderungen anzupassen.

1

2

vor >
All-About-Security Artikel bookmarken



© Copyright All-About-Security.de 2006-2008. Alle Rechte vorbehalten.

SpaceNet AG
Dienstag, 09. Februar 2010
Neu Security TV
Interview: Thomas Reeb, Vorstand bei econet AG
Das unabhängige Security Portal