Sollte ein Unternehmen USB-Geräte selbst kaufen und an die User ausgeben oder ihnen erlauben, ihre eigenen Produkte zu verwenden?
 
Im Hinblick auf die Endpunkt-Sicherheit ist es mehr oder weniger unerheblich, von wem die mobilen Geräte stammen - allein deren Verwendung ist von Belang. Die Gefahren bleiben ungeachtet des Besitzers immer gleich. Es kommt auf den Umfang der Kontrollen, deren Granularität und Umsetzung für USB-Geräte und die Reporting-Qualität an. Wird die USB-Hardware vom Unternehmen gestellt, besteht der kleine Vorteil einer detaillierten Bestandsaufnahme der im Netzwerk erlaubten Geräte. Über die von ihnen ausgegebenen Protokolle lässt sich dann kontrollieren, ob dennoch sicherheitsrelevante Vorgänge zu verzeichnen sind.
 
Unternehmen müssen Richtlinien daher mit Hilfe einer Endpunkt-Schutzlösung und nicht durch die gezielte Ausgabe von USB-Geräten durchsetzen. Die Lösung muss es vor allem erlauben, anhand von aussagekräftigen Berichten zu autorisierten und unautorisierten Zugriffsversuchen überprüfen zu können, ob der Schutz ausreicht. Richtlinien sind dann so anzupassen, dass sich die USB-Technologie bestmöglich für geschäftliche Zwecke einsetzen lässt.
 
Welche technischen Lösungsansätze sehen Sie, um den USB-Port und die restliche Peripherie zu kontrollieren?
 
Die von GFI angebotene Lösung zur Kontrolle von USB-Ports und anderer Peripheriegeräte heißt GFI EndPointSecurity. Die auf Agents basierende Lösung bietet Unternehmen eine branchenweit einzigartige Kontrolle und Flexibilität bei der Sicherung von Endpunkten vor unternehmensinternen Gefahren. Über Richtlinien lässt sich beispielsweise der Zugriff auf alle an einen Endpunkt (Workstations, Laptops, Server) anschließbaren USB-Geräte einschränken. Gleichzeitig kann ein autorisierter Anwender (etwa ein Systemadministrator) jedoch ein Flash-Laufwerk problemlos mit einer Reihe festgelegter Computer verbinden.
Mit GFI EndPointSecurity ist es zudem möglich, verschiedene Benutzerrichtlinien für einen Rechner einzurichten. So kann es einem Anwender erlaubt sein, ein tragbares Flash-Laufwerk mit dem Computer zu verbinden. Versucht jedoch ein anderer Mitarbeiter, ein ähnliches Gerät am selben Rechner anzuschließen, kann ihm wiederum der Zugriff untersagt sein. Eine Sicherheitsrichtlinie lässt sich für einzelne Benutzer, Computer oder Gruppen einrichten. Diese differenzierte Rechteverwaltung ermöglicht eine genaue Anpassung von GFI EndPointSecurity an die Sicherheitsanforderungen eines Unternehmens - Kompromisse, etwa durch die Ausrichtung von Richtlinien am Sicherheitskonzept der Software, müssen nicht geschlossen werden.
 
Noch ein Agent auf dem Desktop steigert doch den Managementaufwand. Welche Funktionen sollte eine USB-Kontroll-Lösung daher zwingend beherrschen?
 
Es lässt sich nicht leugnen, dass eine auf Software-Agents basierende Lösung zu einem erhöhten Verwaltungsaufwand führen kann. Bei GFI EndPointSecurity, das ebenfalls auf Agents setzt, ist dies jedoch keineswegs der Fall. In die Management-Konsole des Produkts ist sehr viel Entwicklungsarbeit eingegangen, um eine Erhöhung des Management-Aufwands vollständig zu vermeiden. Benutzerfreundlichkeit und einfache, leistungsfähige Konfigurationsmöglichkeiten sind einige der Eigenschaften, die bei der Konzeptionierung von GFI EndPointSecurity im Vordergrund standen.
 
Um zusätzliche administrative Aufgaben zu vermeiden, bietet unser Sicherheitsprodukt mehrere automatisierte Funktionen, wie die Remote-Bereitstellung und kontinuierliche Statuskontrolle der Agents. Administratoren bleiben dadurch immer auf dem Laufenden, welche Endpunkte geschützt sind und bei welchen Geräten Schutzrichtlinien aktualisiert werden müssen.Bei einer Endpunkt-Lösung, die Agents verwendet, werden die Kontrollaufgaben vom Server auf die zu schützenden Computer übertragen. Zudem sind hierdurch weitere Sicherheitsfunktionen verfügbar, die auch bei GFI EndPointSecurity zum Tragen kommen:

• Geräte sind selbst dann noch geschützt, wenn der GFI EndPointSecurity-Server offline ist.
• Alle Computer, die vom Netzwerk getrennt werden, beispielsweise Laptops, bleiben geschützt.
• Das Netzwerk wird weniger belastet, da kein kontinuierlicher Datenaustausch mit dem GFI EndPointSecurity-Server erforderlich ist.
• Wird ein Gerät per USB-Port angeschlossen, ist bei Agentbasierten Lösungen nicht jedes Mal eine Berechtigungsabfrage beim Server notwendig. Der Agent selbst  entscheidet über die auf dem Endgerät gesicherte Schutzrichtlinie, ob ein Zugriff erlaubt ist oder nicht.
• Selbst wenn ein Rechner vom Netzwerk getrennt wird, erfolgt immer noch eine Protokollierung aller Aktionen der angeschlossenen tragbaren Geräte. Die Speicherung der Geräteprotokolle erfolgt auf dem Client-Rechner. Sobald dieser wieder mit dem Netzwerk verbunden wird, werden die Aufzeichnungen an den Server übertragen. So lassen sich Daten zuverlässig zentralisieren und sämtliche Geräteaktivitäten erfassen, auch wenn der Computer offline ist.

Ein weiterer Vorteil von GFI EndPointSecurity: Die Verwaltungsfunktionen werden über eine einzige, intuitive Konsole bedient. Mit wenigen Mausklicks lassen sich Agents und Richtlinien rasch bereitstellen.
 
Die Multi-Threading-fähige Deployment-Engine von GFI EndPointSecurity stellt Agents und Richtlinien remote und ohne weiteren Benutzereingriff auf den Client-Rechnern bereit. Sollen Anwender oder Benutzergruppen von einer Richtlinie erfasst werden, müssen sie bei Verwendung von Active Directory lediglich der gewünschten AD-Benutzergruppe hinzugefügt werden. Benutzerrechte lassen sich somit direkt über die Verwaltungskonsole von Windows festlegen, ohne die GFI EndPointSecurity-Konsole aufrufen zu müssen.
 
Wie sollte eine solche Lösung die Peripherie inventarisieren? Nach Herstellername, Typ oder gar Seriennummer?
 
Hierbei gilt: Je mehr Informationen eine Endpunkt-Sicherheitslösung erfassen kann, desto differenzierter lassen sich Kontrollen festlegen. Unternehmen haben dadurch die Möglichkeit, die Verwendung ihrer Netzwerkressourcen besser zu steuern und erhalten umfassendere Daten zum Einsatz der Firmenressourcen. Hierdurch ist es möglich, die Sicherheit je nach Art des benötigten Schutzes flexibel anzupassen.
 
Das Reporting ist für Unternehmen von entscheidender Bedeutung. Darüber informiert zu sein, wie mobile Geräte von einzelnen Mitarbeitern eingesetzt werden, erlaubt es, die Effektivität von Schutzrichtlinien zu bewerten und fundierte Entscheidungen zu treffen. Das beispielsweise für unsere Sicherheitslösung verfügbare Reporting-Add-on GFI EndPointSecurity ReportPack lässt sich nahtlos integrieren und erlaubt es Unternehmen, präzise Berichte zu den wichtigsten Bereichen der Endpunkt-Sicherheit anzufertigen - ohne aufwändige Konfigurierung. Sämtliche Berichte können an unternehmensspezifische Anforderungen angepasst, nach Zeitplan ausgegeben und automatisch an autorisierte Empfänger verschickt werden.
 
Wie flexibel sollte Policy die Nutzung der Geräte regeln? (Nach User, Zeit, Lokation?)
 
Je höher die Granularität der Richtlinieneinstellungen ist, desto flexiblere Steuerungsmöglichkeiten hat ein Unternehmen. GFI EndPointSecurity erlaubt es Administratoren, die Verwendung von Geräten anwenderbezogen zu regeln. Für GFI geht Sicherheit vor - aus diesem Grund blockiert unsere Lösung standardmäßig sofort nach der Installation den Zugriff auf sämtliche Geräte. Dadurch besteht mehr Zeit, eine Positiv-Liste der autorisierten Mitarbeiter zu definieren, beispielsweise über ihre direkten Anfragen, ob ein mobiles Gerät für sie freigeschaltet werden kann.
 
Dieser Ansatz ist dem einer Blacklist vorzuziehen, bei der zu blockierende Geräte einzeln angegeben werden müssen. Man kann sich gut vorstellen, was passiert, wenn beispielsweise einfach vergessen wird, USB-Sticks oder ähnliche Medien auf die Liste der unerwünschten Geräte zu setzen.
Systemadministratoren können mit GFI EndPointSecurity den Zugriffsschutz flexibel an unterschiedlichste Bedürfnisse ihres Unternehmens anpassen.
 
Was ist mit temporären Freigaben und Workflow-Prozessen, die bislang geblockte Geräte bei Bedarf freischalten können?
 
Um Manipulationen an GFI EndPointSecurity zu vermeiden, wurden alle entwicklungstechnischen Anstrengungen unternommen, das Produkt so sicher wie möglich zu machen. Unsere Lösung ist so gestaltet, dass die Agents und ihre Schutzfunktion in keinster Weise von Anwendern deaktiviert werden können, auch dann nicht, wenn lokale Administratorrechte bestehen. Prozesse, die von Mitarbeitern oder dem System gestartet werden, können ebenfalls keinen Einfluss nehmen. Sollte es notwendig sein, die Blockierung eines Geräts aufzuheben, kann diese Maßnahme nur durch den Systemadministrator mit Hilfe der Verwaltungskonsole von GFI EndPointSecurity erfolgen. Über diese Konsole können Schutzrichtlinien aktiviert/deaktiviert, konfiguriert, aktualisiert und mit nur einem Mausklick in kürzester Zeit auf dem zu schützenden Rechner neu eingerichtet werden.
 
Wachsamkeit ist jedoch auch bei allen autorisierten Geräten angesagt, denn sie sind vergleichbar mit einer Hintertür zum Unternehmensnetzwerk. Aus diesem Grund empfiehlt GFI:

1. Anti-Viren- und Anti-Spyware-Lösungen einzusetzen und regelmäßig zu aktualisieren.
     
2. Eine leistungsfähige Lösung zur Ereignisprotokoll-Verwaltung zu verwenden, beispielsweise GFI EventsManager, der alle relevanten Netzwerkaktivitäten aufdeckt.
     
3. Einen Scanner zur Überprüfung der Netzwerksicherheit zu nutzen - beispielsweise GFI LANguard Network Security Scanner, der auf Schwachstellen im System aufmerksam macht, bevor diese für Angriffe missbraucht werden können. Übliche Sicherheitslücken sind fehlende Betriebssystem-Patches und veraltete Virensignaturen, unsichere Passwörter und offene Freigaben. GFI LANguard Network Security Scanner erlaubt es zudem, fehlende Microsoft-Patches und -Updates automatisch herunterzuladen und zu installieren. Umfassende Reporting-Funktionalität bietet das zugehörige ReportPack Add-on, mit dem während der Sicherheitsscans gesammelte Daten in Form von anschaulichen Grafiken, Tabellen und Kurzerklärungen ausgegeben werden. So lässt sich genau feststellen, wo Schwachstellen liegen.
    

Wie in vielen anderen Bereichen gilt auch bei der IT-Sicherheit, dass Vorsorge immer noch besser ist als Nachsorge.
 

Andre Muscat, Produkt-Manager für den Lösungsbereich Netzwerksicherheit - GFI Software

 

• Verwandte Themen
• GFI: Beste Lösungen/Eigenschaften: Einsatz bereits auf Server-Ebene, eines Anti-Phishing-Moduls, eines Botnet-/Zombie-Checks etc.