Fahndung nach Datenschmuggel

Ob gewollt oder durch reine Unachtsamkeit verursacht: Immer häufiger verlassen Daten mit unternehmenskritischen Informationen die Firmen. Sie werden per E-Mail verschickt oder geraten über die allgegenwärtigen USB-Speicherstäbe (Universal Serial Bus) in falsche Hände. Solche Datenlecks sollen Systeme zur Information Leak Prevention (ILP) erkennen und stopfen helfen.

So auch die ILP-Lösung von Portauthority Technologies. Das aus Hardware und Software bestehende System der «Hafenbehörde» ist jetzt in Version 5.0 erhältlich. Grund genug für unser Testcenter, es genauer unter die Lupe zu nehmen.

Die Versuchsanordnung für Portauthority 5.0 bestand aus den beiden Geräten Enterprise Manager MX und P-500 Protector. Während Ersteres Netzwerke mit bis zu 10000 Benutzern beobachten kann, sitzt Letzteres am Netzwerkrand und überwacht alle Aktivitäten.

Gegenüber dem Vorgängerangebot hat sich Portauthority gleich in mehrfacher Hinsicht verbessert. Erstens konnte die Sicherheit erhöht werden, indem das System nun sowohl zufällige als auch willentliche Informationslecks im Netz erkennt, Dateiverzeichnisse nach geheimen Infos durchforstet, das Kopieren von Daten auf externe Medienträger wie USB-Sticks verhindert sowie sich mit DRM-Systemen (Digital Rights Management) versteht.

Des Weiteren wurde die webbasierte Benutzerschnittstelle vereinfacht. Mit wenigen Klicks können Verstösse gegen zuvor aufgestellte Verhaltensregeln erkannt und geahndet werden. Darüber hinaus wurden nun 150 vordefinierte Policies beigefügt, die etwa Daten umfassen, die nicht bewegt, gerade transferiert oder gebraucht werden. Zudem lässt sich das System schnell zwischen dem Überwachungs- und dem Präventionsmodus hin- und herschalten. Schliesslich hat Portauthority ihre Geräte rundum erneuert. Diese sind nun zuverlässiger und leisten mehr, wodurch sie sich skalieren lassen.

Den Testern besonders gefallen haben die verschiedenen Möglichkeiten, um Policies zu definieren. So integriert Port-authority die Verzeichnisdienste Active Directory und LDAP (Lightweight Directory Access Protocol). Dadurch können Regeln für einzelne User, Benutzergruppen und Abteilungen definiert werden. Diese lassen sich zudem verfeinern. So können Warnmeldungen individuell eingerichtet werden, je nachdem, an wen sich diese richten. Beispielsweise fallen die Alerts jeweils anders aus, wenn sie Administratoren, Sicherheitsbeauftragte und einfache Benutzer betreffen.

Auch die Ernsthaftigkeit des Regelverstosses lässt sich berücksichtigen. So schickt Portauthority nur eine Warnung an den User, wenn dieser per Zufall eine AHV-Nummer in seine Mail kopiert. Dagegen reagiert das System mit dem Versand von Alerts an den Security-Beauftragten, wenn Verdacht auf willentlichen Datenklau besteht. Diese Policies lassen sich sogar je nach geografischem Standort des Benutzers anpassen, sodass die lokalen Compliance-Regeln berücksichtigt werden können.

Einen Wermutstropfen fand das Testcenter an Portauthority, für das mit Investitionen von mindestens umgerechnet 200000 Franken gerechnet werden muss, dann doch noch. So wurde bemängelt, dass das System keine verschlüsselten Datenströme analysieren kann wie etwa die Lösung von Konkurrentin Vontu.