Wie schützt man sich vor Datendiebstahl und missbräuchlicher Verwendung portabler Geräte? Computerworld-Experte Edwin Wedl kennt die Antwort auf diese viel gestellte Frage.
Frage: Wie schützen wir uns vor Datendiebstahl und missbräuchlicher Verwendung portabler Geräte, deren Anschluss an fixe oder mobile Arbeitsstationen unerwünscht sind?
Immer häufiger prägen Schlagzeilen über Missbrauch oder Diebstahl geheimzuhaltender Unternehmensdaten die Titelseiten einschlägiger Fachmagazine. Um Gefahren (Schutz der Daten, Eindringen in unternehmensweite Netze und Anwendungen) bei Diebstahl oder Verlust portabler Geräte entgegenzuwirken, setzen Betriebsverantwortliche vermehrt auf Software, deren Aufgabe aus der Verschlüsselung lokaler Daten und der Überprüfung der Zugriffe (intelligente Tokens, biometrische Verfahren) besteht. Mit Hilfe dieser Sicherheitssysteme gelingt es, diesen Gefahrenbereich weitgehend abzudecken. Statistiken zeigen auf, dass das grösste Gefahrenpotenzial für bewusste und unbewusste Übergriffe bei internen und für den Anwendungs- und Datenzugriff legitimierten Nutzern liegt. Die Aufgabe, den externen Informationsaustausch mittels geeigneter Überwachungs- und Kontrollwerkzeuge abzusichern, stellt Sicherheitsbeauftragte vor immer grössere Herausforderungen, da Speicher-, Prozessorkapazität und Kommunikationsfähigkeiten externer Geräte ständig verbessert werden. Der Anschluss von I-Pods, PDAs, Memory Sticks oder Handys an einen PC gelingt praktisch jedem geübtem Windows-Benutzer.
Neben dem Schutz vor unerlaubtem Datenaustausch gilt es selbstverständlich auch, die Installation oder den direkten Aufruf von nicht erlaubten Anwendungen zu unterbinden. Man denke hier an Anwendungen auf U3 Smart Drives - ein Albtraum für Sicherheitsverantwortliche. Die Problematik verbirgt sich hinter der Tatsache, dass der Endpunkt der Verwaltung des Systems in der Regel beim Arbeitsplatzrechner zu finden ist, und die vorhin erwähnten Zusatzgeräte meist nicht berücksichtigt werden. Dieses enorme Sicherheitsrisiko gilt für sämtliche Schnittstellen, die den Datentransfer erlauben. Neben technischen Kontroll- und Überwachungsmöglichkeiten bilden organisatorische Massnahmen (Sensibilisierung der Mitarbeiter) die erste Grundlage zum Schutz des Unternehmens. Aufgabe der Geschäftsführung ist es, diese Risiken zu erkennen, zu akzeptieren und sie den Mitarbeitern als solche zu vermitteln. Aufgabe der Sicherheitsverantwortlichen ist es, die Aussagen der Geschäftsführung in klaren Richtlinien zu dokumentieren. Diese halten den erlaubten Umgang mit externen Geräten fest, dokumentieren Verbote sowie Konsequenzen bei der Nichtbeachtung. Häufig steht man vor dem Problem, sich erst eine Übersicht über die im Unternehmen vorhandenen mobilen Geräte und deren Einsatzzweck zu verschaffen. Diese Aufgabe unterstützen Werkzeuge, die zusätzlich zur Kontrolle auch die Überwachung des Einsatzes der Schnittstellen am Endgerät übernehmen. Die ideale Lösung unterstützt zentrales Management, Monitoring und Logging der Aktionen an Endpunkten. Mit dieser Hilfe gelingt es den Sicherheitsbeauftragten, sich in der Einführungsphase eine vernünftige Übersicht über das Verhalten der Endbenutzer zu schaffen. In weiteren Phasen erarbeitet man Regeln, um unerlaubte Transaktionen und die Verwendung verbotener Geräte zu unterbinden. Die Kontrollmechanismen der einzusetzenden Sicherheitslösung bilden diese Regeln ab und realisieren deren Überwachung auf den Arbeitsplatzsystemen. Um ein Unternehmen vor den Gefahren mobiler Datenträger und Zusatzgeräte wirksam zu schützen, muss der Mensch im Mittelpunkt der Problemanalyse stehen. Der Einsatz der technischen Hilfsmittel bildet nur einen kleinen Schritt einer ganzen Reihe von Massnahmen und zeigt sich dem Benutzer nur bei unerlaubten Vorgängen.
