USB - die tragbare Gefahr Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


20.02.2011 Thomas Bär, Frank-Michael Schlede*

USB - die tragbare Gefahr

Wer USB-Geräte nicht ausreichend absichert und kontrolliert, riskiert den Verlust wichtiger Daten. So bekommen Sie die Risiken in den Griff.

Es ist keine leichte Aufgabe, Computersysteme oder gar ganze Netzwerke gegen Hacker-Angriffe, Viren oder andere Security-Bedrohungen abzusichern. Dabei wird jeder IT-Verantwortliche und Administrator bestätigen, dass es ebenso offensichtlich keine absolute Sicherheit geben kann. So werden die Systeme und das Firmennetzwerk nicht nur mit Antivirus-Programmen und Firewalls ausgerüstet. Vielmehr sind aufwändige Maßnahmen zur Authentifizierung der Anwender ebenso gefragt wie Lösungen, die Eindringlinge schnell finden (IDS - Intrusion Detection) oder den unerlaubten Abfluss der Daten verhindern (DLP - Data Loss Prevention).

DATEN "VERSCHWINDEN" AN DEN ENDPUNKTEN Vielfach wird dabei gerade in kleineren Firmen eine Lücke übersehen, deren Gefahren sich auch durch den rasanten Fortschritt bei den Consumer-Geräten deutlich gesteigert haben: Die Peripheriegeräte an den einzelnen PCs und dabei ganz besonders die Geräte, die über USB-Anschlüsse mit dem PC verbunden werden. Waren es zu Zeiten der 3,5-Zoll-Diskette noch maximal 1,4 Megabyte an Daten, die ein Anwender auf einem Datenträger mit sich führen konnte, so sind es heute USB-Sticks mit mehreren Gigabyte Speicherplatz oder gar portable Festplatten, die leicht auch mal 500 Gigabyte an Daten fassen können. Die USB-Anschlüsse haben sich zur universellen Schnittstelle entwickelt, an die Memory-Sticks und Consumer-Geräte wie Smartphones, Kameras und MP3-Player angeschlossen werden können, die ebenfalls Speicherkapazität im zweistelligen Gigabyte-Bereich zur Verfügung stellen - so kann dann schnell die komplette Kundendatenbank "auf Reisen" gehen.

Dabei braucht nicht einmal böse Absicht hinter dem "Abwandern" der Daten zu stecken - immer häufiger warnen Sicherheitsexperten vor den Gefahren, die von verlorenen USB-Sticks oder portablen Geräten ausgehen, auf denen sich vertrauliche Daten befinden. Viele Firmen führen deshalb Richtlinien ein, die ein Speichern der Daten auf externen Geräten nur dann erlauben, wenn diese darauf entsprechend verschlüsselt abgelegt werden. Anwender und Firmen, die ausschließlich mit neuen Betriebssystemen wie Windows 7 arbeiten, können hierzu die integrierte Bitlocker-Funktionalität des Betriebssystems nutzen, die eine transparente Verschlüsselung der Daten auch auf USB-Geräten erlaubt. Doch was, wenn noch Windows-XP-Systeme oder gar noch ältere Rechner im Einsatz sind?

TIPP 1: DIE WINDOWS-BORDMITTEL - NUR BEDINGT TAUGLICH Da diese Art von Problemen schon recht lange existiert, haben Systemverwalter und Anwender schon auf den XP-Systemen nach einer Möglichkeit gesucht, den Zugriff auf die USB-Anschlüsse über das Betriebssystem zu regulieren. In Ermangelung von entsprechenden ins Betriebssystem integrierten Fähigkeiten wurde dazu wie so häufig bei den älteren Windows-Systemen der Zugriff auf die Registrierungsdatenbank (Registry) gewählt. Jeder erfahrene Systemprofi wird jedoch bestätigen, dass eine Änderung "von Hand" an dieser zentralen Windows-Datenbank zur Verwaltung des Systems und dessen Diensten immer mit einem hohen Risiko behaftet ist: Änderungen, die dort ausgeführt werden, sind immer sofort aktiv und können dementsprechend ein Windows-System auch nachhaltig beschädigen.

Trotzdem wird diese Einstellung, die bereits installierte USB-Laufwerke abschaltet, so dass der Anwender sie nicht mehr verwenden kann, immer noch eingesetzt. Einer ihrer Vorteile liegt darin, dass sie sowohl auf älteren als auch auf den neuen Windows-Systemen funktioniert.

Dazu muss im Registry-Schlüssel HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR der hexadezimale Wert des Eintrags "Start" auf 4 gesetzt werden. Danach kann ein Nutzer zwar noch USB-Geräte wie Tastatur und Maus verwenden, wird aber nicht mehr auf Speichergeräte zugreifen können. Die Handhabung dieser Methode ist allerdings sehr umständlich, da ein Systemverwalter einen Aufruf des Registry-Editors in das Anmelde-Script integrieren muss. Zudem muss er dafür Sorge tragen, dass diese Einstellung auch bei neuen Geräten wirksam wird (durch ein weiteres Script), da Windows bei Installation eines neuen Geräts an dieser Stelle grundsätzlich den Wert 3 einträgt, der den Zugriff erlaubt.

Wer in seiner Firma ausschließlich Systeme mit Betriebssystemen ab Windows Vista oder Windows Server 2008 einsetzt, ist etwas besser dran. Microsoft stellt hier Gruppenrichtlinien bereit, mit deren Hilfe der Zugriff auf Peripheriegeräte gewährt oder verweigert werden kann. Das Durchsetzen solcher Richtlinien ist in Umgebungen, die Active-Directory einsetzen, gut durchzuführen, setzt aber immer eine einheitliche Systemumgebung mit neuen Betriebssystemen voraus. Kommen Endgeräte zum Einsatz, die das Protokoll IEEE 1667 unterstützen, so können die Zugriffe noch viel feiner granuliert geregelt und überprüft werden. Dieses Protokoll beschreibt die Methoden, die zur Authentifizierung von externen Geräten wie USB-Sticks eingesetzt werden können, wenn sie mit einem Computer verbunden werden. Ein Support-Artikel auf Microsofts Webseiten erläutert, wie diese sogenannten erweiterten Speichergeräte unter Windows Server 2008 und Vista eingesetzt werden können.

TIPP 2: SOFTWARE FÜR ENDPOINT SECURITY Allerdings können diese Ansätze ein System nicht besonders gut vor bisher unbekannten Geräten schützen. Zudem erlauben sie es einem Systemverwalter kaum oder nur sehr unzureichend, bestimmte einzelne Geräte (wie beispielsweise den iPod des Geschäftsführers an seinem Rechner) zuzulassen oder explizit zu sperren. Weiterhin erfordern diese Möglichkeiten sehr genaue Systemkenntnisse und einen nicht unerheblichen Aufwand vom Administrator.

Auch deshalb haben sich eine ganze Reihe von Sicherheitsfirmen das Thema Endpoint-Security und damit unter anderem auch die Sicherung und Überwachung von USB-Geräten auf die Fahne geschrieben und bieten entsprechende Lösungen an. Das Spektrum reicht dabei von einfachen Werkzeugen zur Überprüfung der angeschlossenen USB-Endgeräte bis hin zu kompletten Sicherheitssuiten, die es auch unter Einbeziehung eines bestehenden Verzeichnisdienstes erlauben, die benötigten Richtlinien im Firmennetz auszurollen. Wir haben in einer Übersicht fünf Firmen aufgelistet, die derartige Lösungen anbieten. Diese Liste ist auf keinen Fall vollständig und stellt auch keine Wertung dar, die hier vorgestellten Programme stehen exemplarisch für die Vielzahl an Lösungen, die der Markt zu bieten hat.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Matrix42 AG

    Matrix42 AG Mobile Lösungen und Applikationen, Zugangs- und Zutrittskontrolle, Security Audits, Übernahme von Softwareprojekten, Programmierung, IT-Asset- und Lizenzmanagement, IKT-Consulting,... mehr
  • Anexia

    Anexia Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, RZ-Dienstleistungen, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines mehr
  • Huawei Technologies Austria GmbH

    Huawei Technologies Austria GmbH mehr
  • ELO Digital Office AT GmbH

    ELO Digital Office AT GmbH Mobile Lösungen und Applikationen, Dokumentenmanagement und ECM, Übernahme von Softwareprojekten, Systemintegration und Systemmanagement, Programmierung, Individual-Softwareentwicklung, IKT-Consulting,... mehr

Hosted by:    Security Monitoring by: