Top menu

24/10/2008

Schotten dicht

Wie in jedem Unternehmen sind Daten im Firmennetzwerk durch eine zentrale Firewall gut gegen Angriffe von außen geschützt. Diese Maßnahmen allein genügten den strengen Sicherheitsanforderungen des Beratungshauses jedoch nicht: Zusätzlich galt es, mögliche Datenlecks an den Netzwerkendpunkten zu schließen – das heißt an den PCs der Mitarbeiter.

Herausforderung: Administrationsaufwand verringern

Bereits 2005 wurden alle Schnittstellen – wie z.B. CD-R/W-Laufwerke oder USB-Ports – über die Daten aus dem Unternehmen hinaus gelangen könnten, gesperrt. „Das mussten wir damals noch manuell durchführen“, erinnert sich Thomas Teipel vom IT-Service der Star Cooperation. „Diskettenlaufwerke, später CD-ROM-Laufwerke und Brenner sowie USB-Ports mussten wir jeweils einzeln deaktivieren oder sogar ausbauen.“ Bei den Vorgängerversionen von Windows XP musste die Sperrung am PC des Anwenders über das BIOS ausgeführt werden. Ab Windows NT konnte man dies – zwar immer noch am lokalen PC – bereits über die Gerätesteuerung erledigen. Dennoch benötigte ein Techniker noch immer 15 Minuten Einstellzeit pro Endgerät für alle Schnittstellen. Bei über 300 PCs und Laptops summierten sich die Arbeitseinsätze.

Testphase: Endpoint Security überzeugt

Bei der Suche nach einer Software-gestützten Lösung fand Star die Endpoint Security-Software von DeviceLock. Es folgten umfangreiche Tests mit einer 30-Tage-Vollversion. Die Software wurde auf drei Testrechnern installiert. Jegliche Versuche, Daten über USB-Ports, CD-ROM-Laufwerke und CD-Brenner aus dem Unternehmensnetz auf mobile Datenträger zu kopieren, wurden erfolgreich von DeviceLock blockiert. Sogar eine Kamera mit integriertem Speicher und USB-Anschluss wurde getestet – der Zugriff auf den Speicher war nur möglich, wenn der User eine Freigabe hatte. Für DeviceLock sprach auch, dass Bluetooth- oder WLAN-Verbindungen ebenso zuverlässig gesperrt werden können. WLAN wird im Unternehmen zwar noch nicht eingesetzt, könnte aber ein Zukunftsthema sein.

Rollout: Software-Versand über den Server

Für den Rollout der DeviceLock-Software auf alle Rechner bereiteten Thomas Teipel und Matthias Ebert vom IT-Service der Star ein Paket vor, das über den Systems Management Server auf alle Firmen-PCs verteilt wurde. Insgesamt dauerte es rund 20 Tage, bis DeviceLock auf allen Rechnern der Star Cooperation installiert war. „Der relativ lange Zeitraum des Rollouts hängt damit zusammen, dass wir viele Mitarbeiter im Außendienst haben. Deren Laptops konnten die Software logischerweise erst ziehen, als sich die Mitarbeiter wieder im Büro befanden und sich dort ins Unternehmensnetz einloggten“, so Thomas Teipel. „Übrigens, auch alle Aktualisierungen von DeviceLock werden so verteilt – hierfür schnürt unser Team jeweils ein neues Systems Management Server-Paket. Das dauert eine halbe Stunde. Und dann wird wieder ausgerollt.“

Tägliche Praxis: Zugriffsregelung mit Gruppen-Policies

Manche Mitarbeiter benötigen für ihre Arbeit Zugriff auf CD-ROM-Laufwerke oder müssen Daten auf USB-Sticks mitnehmen können. Für diese Fälle hat das IT-Service-Team im ActiveDirectory des Windows 2003 Servers sogenannte Gruppen-Policies eingestellt. Für jede Zugriffsmöglichkeit auf USB-Ports oder CD-ROM wurde eine Gruppe definiert und Mitarbeitern Rechte innerhalb dieser Gruppe zugewiesen: So kann z.B. Mitarbeiter A der Gruppe zugeordnet werden, deren Computer die USB-Sticks lesen und auch Daten darauf speichern darf. Mitarbeiter B kann dagegen der Gruppe zugeteilt werden, deren Computer die USB-Sticks zwar lesen, aber keine Daten darauf speichern kann. Die Zuordnung der Mitarbeiter zu den Berechtigungsgruppen selbst dauert mit DeviceLock nur wenige Minuten, ein großer Vorteil gegenüber den vormals manuellen Einstellungen ohne Endpoint-Security-Lösung. Weitere Pluspunkte: Inzwischen konnten 40 USB-Sticks auf eine sogenannte Whitelist gesetzt werden. Diese Sticks werden anhand ihrer ID erkannt und zugelassen. Mitarbeiter, die einen solchen Stick haben, können ihn an jedem Rechner ohne Änderung der Einstellung nutzen. Auch sind einige Mitarbeiter bereits mit Windows Mobile-basierten Handhelds ausgestattet. Die Synchronisation dieser Geräte erfolgt über den USB-Port. Auch hier ermöglicht DeviceLock die Kontrolle, um Datenverluste bei der Synchronisation zu vermeiden.

Ergebnis: Datensicherheit nachweisbar

Über die reine Absicherung des eigenen Netzwerks hinaus hat DeviceLock noch weitere Vorteile. Denn auch fremde Firmennetzwerke werden durch DeviceLock zusätzlich gegen Viren oder Schädlinge geschützt. Zudem können alle Kunden jederzeit darüber informiert werden, wo, wann, wie und von wem ihre Daten gespeichert oder bewegt werden. Die Einhaltung von Non-Disclosure Agreements und ähnlichen Anforderungen wird so endlich nachweisbar. „Kontakte zum Support sind übrigens kaum nötig, dafür läuft DeviceLock einfach zu stabil“, meint Thomas Teipel. „Die Lösung ist mittlerweile seit drei Jahren bei uns im Einsatz. Wir sind sehr zufrieden."

Erläuterungen

Datenleck

Wie bei einem Leck im Schiff Wasser eindringt, können Daten an undichten Stellen aus dem Unternehmen an die Öffentlichkeit oder an den Wettbewerb gelangen. Dies wird oftmals auch als Datenverlust bezeichnet. Diese Bezeichnung ist irreführend, denn die heraus gesickerten Daten gehen nicht verloren, sie werden dupliziert und sind im Unternehmen weiterhin vorhanden. Dies erschwert das Erkennen von Datenlecks.

Data Leakage Prevention

Unter Data Leakage oder Loss Prevention versteht man alle Maßnahmen, die Daten gegen den nicht autorisierten Zugriff zu schützen. Hierzu gehören Endpoint Security-Lösungen, Encryption und alle Lösungen, die Datenlecks verhindern.

Endpoint Security

Endpoint Security bezeichnet die IT-Sicherheit an den Netzwerkendpunkten, also an den Computern der Mitarbeiter. Unter dem Oberbegriff sind alle Lösungen gemeint, die zur IT-Sicherheit beitragen, so zum Beispiel Viren- und Malwareschutzlösungen oder Schutzlösungen gegen Datenlecks.

 

News Archiv