Genauso wie ein Flughafen Fluggäste und Infrastruktur gegen potenzielle Bedrohungen mit Security-Checks schützt, müssen das auch Unternehmen und Organisationen tun: Flughäfen durchleuchten Besucher und Gepäck – und Unternehmen scannen mitgebrachte Datenträger mittels Datenschleuse und schützen sich so vor Malware-Risiken. Doch welche Entscheidungskriterien sollte man bei Datenschleusen berücksichtigen?
Praktikabler Schutz an der Pforte: Datenschleuse
Malware kann manchmal zu Fuß kommen: Wenn ein Besucher oder Geschäftspartner wichtige Dateien unwissentlich auf einen kompromittierten mobilen Datenträger mitbringt, droht höchste IT-Gefahr. Einmal eingesteckt, kann sich entsprechende Malware schnell in der ganzen Infrastruktur verbreiten. Es drohen „altbekannte“ Folgen: Produktionsausfälle, Ransomware-Erpressungen und anderes Cyber-Unheil.
Selbst wenn das unabsichtlich und unwissentlich passiert, braucht es für solche Szenarien praktikable Schutzmaßnahmen: eine Datenschleuse an der Unternehmenspforte oder an Perimeter-Übergängen zu sensiblen Netzwerksegmenten.
Wer bringt denn heutzutage überhaupt noch etwas auf Datenträgern mit?
- Der Service-Techniker: Das Update für die Air-Gapped Produktionsanlage auf der SSD
- Die Patientin: Die medizinischen Befunde auf dem USB-Stick für den Chirurgen der Klinik.
- Der Unternehmensberater: Die 45-seitige PowerPoint-Präse als Back-up auf dem USB-Stick.
- Der Ermittler: Die mobile Festplatte, die er zur Beweissicherung sichten muss.
- Der Ingenieur: Den geheimen Konstruktionsplan für den Kunden auf einem verschlüsselten USB-Stick.
KRITIS: Besonders schutzbedürftig
Hochkritische Organisationen erfordern besondere Vorkehrungen für die Zutrittssicherheit. Oftmals nutzen KRITIS-Organisationen deshalb Datenschleusen.
Im laufenden Betrieb müssen sowohl Signaturen aller Malware-Engines sehr zeitnah aktualisiert, aber auch die Updates der Datenschleusen selbst zeitnah aufgespielt werden können. Und im Falle eines air-gapped isolierten Netzwerks muss alles offline erfolgen können.
9 Punkte, die man bei der Auswahl von Datenschleusen beachten sollte.
1. Isoliert vom Netzwerk betreiben
Eine Datenschleuse überprüft speziell mobile Datenträger auf vorhandene Schadsoftware-Risiken. Um ausführbare Malware nicht bereits während einer Überprüfung in IT- und OT Netzwerksegmente zu übertragen, muss eine Datenschleuse immer auch eine Quarantänestation sein.
2. Viel hilft viel…
Datenschleusen scannen mobile Datenträger mehrfach auf Schadprogramme, anhand der Signatur-Datenbanken und heuristischer Verfahren verschiedener kommerzieller Anti-Malware Engines. Nur Datenschleusen mit mehreren Malware-Scannern geben Ihnen auch in puncto Sicherheit den entscheidenden Vorteil, denn damit steigen nachweislich die Erkennungsraten deutlich.
3. … aber erst die ausgewogene Mischung macht‘s
Neue Varianten von Schadsoftware haben je nach Verbreitungsweg regionale Häufigkeiten, die in dort aktiven Honeypots häufiger erkannt werden, als in anderen Kontinenten. Die Auswahl der Antiviren-Engines sollte gut durchdacht sein und Scanner unterschiedlicher Regionen beinhalten. Denn nicht jede zusätzliche Engine bietet zusätzlichen Schutz: Die Engines von Norton und Avast sind „Zwillinge“ mit der gleichen Signatur-Datenbank. Und es gibt noch mehr solcher AV-Zwillinge.
Bei größeren Datenmengen dauert der Malware-Scan naturgemäß länger – richtig zeitaufwändig wird es bei Datenschleusen, die mit mehreren Engines seriell scannen.
Hier empfiehlt sich eine Datenschleuse, die parallel scannen, d. h. alle Dateien gleichzeitig überprüfen kann – die Lösung gegen lange Wartezeiten. Ihr Besuch an der Pforte wird es Ihnen danken!
Da jede zusätzlich eingesetzte Malware-Engine lizenziert werden muss, bieten manche Hersteller kuratierte Scanner-Mischungen mit optimaler geografischer Abdeckung und höchsten Erkennungsraten.
4. Schwarz, weiß…
Ein „Schwarz – weiß“ Scanergebnis ist oftmals nicht möglich, da die Kategorien „Sauber“ oder „Infiziert“ nur zwei von vielen „grauen“ Gefahren-Unterscheidungen sein können.
False Positives werden umso wahrscheinlicher, je mehr Anti-Malware Engines eine Datenschleuse verwendet. Die Open Source Lösung ClamAV etwa wird häufig nebst anderen Engines eingesetzt, liefert jedoch erfahrungsgemäß relativ viele False Positives.
5. … oder „Shades of Grey“?
Man sollte in der Datenschleuse festlegen können, ob und wie gescannte „graue“ Daten weiterverarbeitet werden dürfen, falls ein Malware-Scanner (vermeintlich) Schadsoftware erkannt hat. Wie werden z. B. Dateien mit Verdacht auf Datei-Spoofing klassifiziert?
Trotzdem freigeben, sperren oder zusätzlich durch einen Verantwortlichen manuell und final bewerten lassen? Welche zusätzlichen Informationen könnte der Verantwortliche zur Bewertung vermeintlich infizierter Dateien von der Datenschleuse erhalten?
6. Datenschleusen sollten flankiert werden
Ein Cybersecurity-Grundsatz angesichts der Vielzahl an Angriffsmethoden lautet: Keine Lösung alleine kann für hundertprozentige Sicherheit sorgen. So kann eine Datenschleuse z. B. häufig keine Evasive Malware noch Zero Day Exploits erkennen, da deren Malware-Signaturen noch unbekannt sind.
Angreifer setzen Evasive Malware immer häufiger ein, diese kann jedoch erst durch KI sowie verhaltensbasierte Erkennungstechnologien entdeckt werden. Einige Datenschleusen verfügen über eine angeschlossene Sandbox, welche die Dateien zusätzlich verhaltensbasiert und dynamisch analysiert.
Eine andere zusätzliche Präventivmaßnahme ist Datei-Desinfektion, die verbleibende Restrisiken potenzieller Zero-Day-Lücken gegen Null reduzieren kann. Diese Funktionalität bereinigt alle Dateien nach der hinterlegten Konfiguration. Der Schutz entsteht dadurch, dass Makros oder Weblinks je nachdem verändert oder sogar entfernt, und risikoanfällige Dateiformate in harmlose Dateitypen umgewandelt werden. Die Kombination aus mehreren Malware-Scannern und Datei-Desinfektion liefert nach heutiger Sicht die höchste Sicherheit.
Datei-Desinfektion kann bei standardisierten Dateiformaten gute Ergebnisse in akzeptabler Zeit erreichen. Bei speziellen Dateiformaten oder bei komplexen Dateien, etwa bei PowerPoint-Präsentationen mit eingebetteten Links, Videos und Bildern, kann im Nachgang einiges nicht mehr richtig funktionieren. Deshalb sollte man diesen Zwiespalt aus Funktionsfähigkeit und erreichtem Sicherheitslevel lösen, indem man regelmäßig die Anforderungen anpasst und fortlaufend optimiert.
Ebenfalls zu beachten ist der Kostenfaktor, wenn Sie Datenschleusen mit Maßnahmen wie Datei-Desinfektion oder Sandbox ergänzen, die gesteigerte Sicherheit kostet auch mehr.
7. Wie sollen (risikolose) Dateien genutzt werden dürfen?
In den meisten Fällen bestimmt ein IT-Workflow, wie die Dateien nach dem Scan weiterverarbeitet werden dürfen. Darf der Besucher seinen mitgebrachten Datenträger mitsamt risikolosen Dateien direkt in der Infrastruktur weiterverwenden, oder müssen zuerst alle unbedenklichen Daten auf einen freigegebenen, „hauseigenen“ Datenträger kopiert werden? Ein interner USB-Stick, welcher von Ihrer IT als sicher eingestuft wird, schützt vor den Gefahren durch manipulierte Hardware (Beispiele: BadUSB, Rubber Ducky oder HID Spoofing).
Eine weitere, zeitsparende Option wäre es, die Daten mittels sicheren Datentransfer auf dafür vorgesehene Shares in Ihrem Netzwerk zu kopieren. Ihr Besucher müsste dann nicht den kompletten Datenschleusen-Scan an der Pforte abwarten: Er könnte schon mal in die Besprechung gehen und dort über den Share alle als harmlos identifizierten Dateien abrufen.
Die Zeitersparnis des Datentransfers erkauft man sich allerdings mit einem Restrisiko, da die gescannten Daten bereits in Ihrer Infrastruktur liegen. Hier wäre es sinnvoll, alle transferierten Dateien regelmäßig auf die neuesten Viren-Signaturen zu scannen. Falls eine noch verborgene Zero-Day-Malware eines Tages aktiv werden sollte, hilft dieses Vorgehen nach einem Signatur-Update zumindest bei der späteren Erkennung und Aufarbeitung der Cyberattacke.
8. Datenschleuse funktioniert auch rückwärts
Falls Sie Ihrem Besucher Dateien aus Ihrem Netzwerk auf einem Datenträger mit auf die Reise geben möchten, können Sie den Weg von Innen nach Außen gehen.
Nutzen Sie die Datenschleuse für das mobile Speichergerät, und minimieren Sie damit das Risiko, Ihrem Besucher ein ungebetenes „Malware-Geschenk“ zu bereiten. Denken Sie beispielsweise an eine medizinische Einrichtung, die hochauflösende MRT-Bilder, dem Patienten auf einem Datenträger mitgeben will.
Im „Rückwärtsbetrieb“ sollte man, je nach Anwendungsfall, eine DLP-Lösung einsetzen, damit keine sensiblen geschäftskritischen und personenbezogenen Daten mit auf den Datenträger kopiert werden. Solche Daten werden dann entweder komplett blockiert und der Vorgang gemeldet, oder relevante Stellen in den Dokumenten werden unkenntlich gemacht.
9. Mehrere Standorte absichern
Bei unterschiedlichen Standorten mit jeweils mehreren Datenschleusen ist ein zentrales Scanner-Modul aller genutzten Engines wünschenswert. Im Sinne effizienten Schutzes ist es sogar erforderlich, mit einem zentralen Modul mehrere Datenschleusen zu bedienen.
FAZIT
Datenschleusen sorgen zwar für Sicherheit bei mitgebrachten Datenträgern, sind aber sehr beratungsintensive Lösungen. Es gibt nicht die eine „All-in-One“ Datenschleuse – abhängig von Sicherheitsanforderungen und Anwendungsfall sollte man verschiedene Auswahlkriterien berücksichtigen.
Sprechen Sie unverbindlich mit den Experten von ProSoft.
Bild/Quelle: https://depositphotos.com/de/home.html