USB-Stick, USB-Festplatte, USB-Device – wichtige Tools oder Teufelszeug?

30.
Okt
2019
mobile Datensicherungen, USB-Device-Management, USB-Festplatten, USB-Sicherheit, USB-Sticks

USB-Device-Management – Teil 1

Soll man, kann man aus IT-Security- und Datenschutzperspektive im professionellen Umfeld gefahrlos USB-Devices einsetzen und wenn ja, wie? Klare Antwort: Ja! Ja, aber … 
Genauer gesagt: Ja, wenn man sich an wichtige Spielregeln hält! Gebündelt werden diese Regeln in einem sorgfältigen und belastbaren USB-Device-Management, mit dem ein angemessen hohes Sicherheitsniveau und ein vertretbar geringer Verwaltungsaufwand einhergeht. Mission Possible!

Große Datenmenge, kleine Formfaktoren und bequeme Handhabung. USB-Sticks und -Festplatten sind in vielen Organisationen als tägliche Begleiter nicht mehr wegzudenken: zum Datenaustausch, Datentransport oder für die mobile Datensicherungen. Dabei werden oft hochsensible Daten gespeichert und bestenfalls an anderen vertrauenswürdigen Systemen weiterbearbeitet. Oder mit autorisierten Personen geteilt.

Großer Vorteil = große Gefahr
Die mit USB-Devices verbundenen Gefahren werden oft unterschätzt und der gesamte „USB-Bereich“ bei allfälligen Datenschutzmaßnahmen völlig übersehen. Unabsichtlicher Verlust, privater Missbrauch und vorsätzliche Entwendung sind an der Tagesordnung und viele Organisationen merken leider erst zu spät, wenn etwas passiert.

Die Lösung: Verbieten.
So einfach ist es aber leider nicht, denn auf die großen Vorteile kann man, wollen die Mitarbeiter und Kollegen nicht verzichten. Vorbeugung und geeignete Schutzmaßnahmen sind daher – wie so oft – das bessere Mittel der Wahl!

Im günstigsten Fall, sozusagen als Minimallösung, beschafft man hardwareverschlüsselte Laufwerke, was ohne Zweifel ein wichtiger Schritt in Bezug auf die Datensicherheit und den Datenschutz ist. Die Laufwerke werden dann, meist zusammen mit einem Schriftstück, welches die Richtlinien im Umgang mit diesen Laufwerken definiert, an die Mitarbeiter ausgehändigt.

Hier steht beispielsweise, wie komplex Passwörter sein müssen und wie oft sie geändert werden, wo das Laufwerk genutzt und vor allem nicht genutzt werden darf (z. B. nur in der Organisation an vertrauenswürdigen Systemen, nicht jedoch im Home-Office). Man beschreibt, welche Dateien verwendet werden dürfen, ob der Besitzer das Laufwerk auch privat nutzen kann und vieles mehr.

Doch die Kontrolle all dieser wichtigen Regeln ist auf diesem, nennen wir es „handbetriebenen Weg“, nahezu unmöglich. Abhilfe schaffen kann eigentlich nur eine zentrale Verwaltungssoftware.

Im Folgenden beschreiben wir, welche Features eine derartige Verwaltungssoftware hat (haben muss) und wofür man sie benötigt.

Hauptfunktionen und Vorteile einer zentralen Verwaltungslösung:

Auto-Inventar Das ist die Übersicht aller eingesetzten Laufwerke mit Angabe des Typs, der Seriennummer, des Nutzers, des Firmware-Standes, der zugeordneten Sicherheitsrichtlinien, usw. Diese Inventarliste kann exportiert und im Sinne der DSGVO als Anlage zum Verfahrensverzeichnis verwendet werden (technische und organisatorische Maßnahmen).

Sicherheitsrichtlinien verwalten und durchsetzen
Hier können unterschiedliche Richtlinien definiert werden. Diese legen fest, unter welchen Bedingungen überhaupt auf die Daten zugegriffen werden darf und welche Sanktionen bei Nichteinhaltung folgen.

Remote Factory Reset
Geht ein Laufwerk verloren, wird es gestohlen, oder scheidet ein Mitarbeiter aus und es befinden sich noch interne Daten in seinem Besitz, kann der Administrator aus der Ferne per Factory Reset die Daten und den AES-Schlüssel auf dem Laufwerk unwiederbringlich löschen.

Remote Password Reset
Öfter als man erwartet vergessen Mitarbeiter die Passwörter für den Zugriff auf ihre USB-Speicher. Der Administrator kann Mitarbeitern per Challenge-Response-Verfahren beim Vergeben eines neuen Passwortes helfen, ohne dass die Daten auf dem Laufwerk verloren gehen.

Compliance Berichte
Alle genannten Ereignisse und vieles mehr werden in den Compliance-Berichten aufgezeichnet. Dadurch kann jederzeit nachgewiesen werden, wer, wann, wo welches Ereignis im Zusammenhang mit einem USB-Laufwerk verursacht hat. Durch diverse Einstellungen lässt sich der Umfang der Aufzeichnungen regulieren, so dass hier die passende Balance zwischen Betriebsrat und Datenschutzbeauftragtem gefunden werden kann. Über zusätzliche Lizenzen kann der Leistungsumfang noch um USB-Port-Kontrolle (USB-Ports sperren / ausschließlich autorisierte Laufwerke erlauben), Anti-Malware-Scanner (direkte Integration in die Firmware des USB-Laufwerkes) und virtuelle Laufwerke (verschlüsselte Daten lokal speichern und über die Cloud sichern und teilen) erweitert werden.

Fazit: Dieser Beitrag soll einen ersten Eindruck über die Möglichkeiten geben, die ein kluges USB-Device-Management bieten.

Konstantin Fröse

EMEA Account Executive DataLocker Inc.

Der ProBlog Newsletter

Bleiben Sie auf dem Laufenden mit unseren interessanten News, Updates und Insights
zu modernen IT-Security & IT-Infrastruktur-Lösungen.

Members Only:
Alle Newsletter-Empfänger erhalten jetzt Zugriff auf exklusive Inhalte!

Bitte füllen Sie kurz das Formular aus.
Anschließend erhalten Sie eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.

 

 

Der ProBlog

ist ein Angebot der

ProSoft GmbH
Bürgermeister-Graf-Ring 10
82538 Geretsried

 

Kontakt und Support

Telefon +49 (0) 8171/405-0
Fax  + 49 (0) 8171/405-400
info@prosoft.de

Share This