Wächter an der USB-Schnittstelle

Andreas Wurm ist freier Journalist in München.

In einem PC gibt es viele Schnittstellen, über die Daten ausgetauscht werden können. Ethernet und Firewire gehören dazu, aber auch das DVD-Laufwerk. Die grösste Gefahr geht beim Büro-PC von den USB-Ports aus. Jeder, der einen passenden Stick besitzt, kann unbemerkt Daten stehlen oder Viren ins Firmennetz einschleusen. Eine gute Blocker-Software verwaltet optische Laufwerke, Festplatten und USB-Sticks. Praxistaugliche Anwendungen überwachen die Ports so, dass diese nicht einfach komplett gesperrt sind, und jeder Nutzer sollte sich separat verwalten lassen. Sinnvoll ist es auch, vorgängig definierte USB-Geräte zuzulassen. Zum Test traten zwei Blocker an: Safend Protector und Device-Lock von Smart-Line. Bei beiden steuert ein zentraler Host-Rechner die Zugriffsrechte. Device-Lock funktioniert ab Windows NT. Die Software verwendet das RPC-Protokoll (Remote Procedure Call), um die Daten vom Client zum Host zu übertragen. Der Administrator kann den Blocker auch in ein Active-Directory integrieren. Hierfür liefert Smart-Line den Device-Lock Group Policy Manager mit. Safend Protector verlangt für den Host mindestens nach Windows XP Professional. Das Client-Programm läuft dagegen bereits ab Windows 2000. Auch mit dem Protector lassen sich die Zugriffsrechte über ein Active-Directory steuern.

Jedes Mal, wenn ein Benutzer einen Anschluss ansteuert, weil er ein Gerät einsteckt oder im Arbeitsplatzmenü auswählt, muss das Block-Programm dies hinterfragen. Die beiden Testkandidaten fangen die Anfrage auf der Kernel-Ebene des Betriebssystems ab. Die Programme überprüfen dann die Rechte des betreffenden Nutzers in ihren Zugriffskontrolllisten. Abhängig vom Gerät kann der Administrator unterschiedliche Sicherheitseinstellungen vornehmen. Bei einem DVD-Laufwerk ist es sinnvoll, nicht nur zwischen gesperrt und frei zu unterscheiden. Gegebenenfalls soll es dem Benutzer erlaubt sein, Daten auf einer DVD zu öffnen. Die Testkandidaten unterscheiden bei USB-Anschlüssen zudem, ob es sich um normale Geräte wie etwa Drucker handelt, oder um Speichermedien. Um es vorweg zu nehmen: Die beiden Produkte schenken sich nichts. Sie erfüllen ihre Aufgabe einwandfrei. Der Fokus lag im Test deshalb auf der Handhabung.

Auf dem Hostrechner läuft die Managementkonsole Safend Policy Builder beziehungsweise Device-Lock Manager. Eine schlanke Anwendung überwacht auf jedem Client die Schnittstellen und sendet Informationen über angeschlossene oder benutzte Geräte an den Host. Die Software ist für den Benutzer unsichtbar. Lediglich ein Symbol in der Taskleiste zeigt an, dass der PC geschützt wird. Die Client-Werkzeuge beider Hersteller lassen sich lokal oder übers Netzwerk installieren.

Zusätzlich verfügen beide Blocker über einen so genannten Auditor, mit dem ein Systemverwalter vorgängig eine Bestandsaufnahme machen kann. Diese Komponente sammelt Informationen über die USB-Geräte, die zu einem früheren Zeitpunkt am jeweiligen Client-PC angeschlossen waren. Die Auditoren holen sich diese Angaben aus der Registry und finden damit zum Beispiel Kameras, MP3-Player, Joysticks oder Drucker. Falls irgendwelche Gerätschaften auftauchen, die in einer normalen Büroumgebung nichts zu suchen haben, lassen sich diese gleich sperren.

###BILD_17339_left###Safend Auditor und Protector muss der Administrator nacheinander einrichten. Device-Lock installiert auf Wunsch beides gemeinsam. Danach passiert bei der Safend-Software erst einmal gar nichts. Bei Device-Lock hat der Systemverwalter nun Gelegenheit, erste Sicherheitseinstellungen vorzunehmen. Das hat seinen Grund: Wenn ein USB-Port geblockt wird, gilt das zunächst einmal für alle Geräte, also auch für Tastatur und Maus. Device-Lock bietet vorkonfiguriert an, diese Human Interface Devices (HID) aus den Zugriffsrichtlinien herauszuhalten. So umgeht der Administrator die Gefahr, dass irgendwo im Unternehmen ein entnervter User auf seiner Tastatur herumhämmert und anruft, weil der Computer hängt. Auch Safend Protector bietet die Möglichkeit, die HID aus den Richtlinien herauszunehmen. Allerdings muss der Systemverwalter dies von Hand konfigurieren, wenn er Zugriffsrichtlinien für die einzelnen Schnittstellen erstellt.

Bei beiden Programmen geht es darum, sich zunächst einen Überblick über die Anschlüsse der zu überwachenden Clients zu verschaffen. Die oben erwähnten Auditoren helfen dabei. Sind alle Schnittstellen beziehungsweise die angeschlossenen Gerätschaften lokalisiert, lassen sich Zugriffsrichtlinien erstellen. Diese Regeln gelten wahlweise für Benutzer, Gruppen oder die Client-PC an sich.

Gerade bei den Storage-Geräten gilt es zu unterscheiden: Nicht jeder, der einen Massenspeicher an den Client anschliesst, ist ein Verbrecher. Wenn Herr Meier auf seinem USB-Stick eine Präsentation herumträgt, an der er am Wochenende gearbeitet hat, muss er auch vom Bürorechner aus darauf zugreifen können. Wenn der Auditor den entsprechenden Stick erfasst hat, kann ihn der Administrator freigeben und in die so genannte White-List eintragen. Die Möglichkeit, ein USB-Gerät anhand der einmaligen Identifikationsnummer zu klassifizieren, bieten beide Programme. Im Erstellen einer solchen Richtlinie unterscheiden sie sich jedoch. Herr Meier darf nun zum Beispiel an seinem Rechner den Stick verwenden. Wenn er aber seinen privaten Speicher mit dem «tollen» Bildschirmschoner anstöpselt, erscheint eine Meldung, dass er nicht berechtigt sei, dieses Gerät zu benutzen.

Einzelne Speichermedien freizugeben ist die herausragende Funktion der beiden Programme. Blocker, die Schnittstellen nur komplett sperren oder freigeben können, sind nicht zeitgemäss. Denn viele Firmen setzen mittlerweile USB-Datenträger ein. Device-Lock setzt noch einen drauf: Der Verwalter kann über die Kalenderfunktion zusätzlich die Erlaubnis auf bestimmte Tage und Zeiten eingrenzen. Beim Safend Protector lässt sich immerhin einstellen, wie viele Daten ein Anwender über ein bestimmtes Speichermedium vom Client-PC abziehen darf.

###BILD_6392_left###Die beiden Programme funktionieren wie erwartet. Doch auch wenn die einzelnen Schnittstellen der Firmencomputer noch so gut überwacht werden, liegt es am Ende doch am Anwender, was er mit seinem autorisierten Speichermedium anstellt. Die Kalenderfunktion von Device-Lock ist zwar ganz nützlich, allerdings lässt sich auch dadurch nicht garantieren, dass an den erlaubten Tagen nur das vorgesehene Material überspielt wird. Mit der Kapazitätsbegrenzung von Safend schläft der Administrator womöglich etwas ruhiger. Doch eine hundertprozentige Sicherheit gewährleisten beide Blocker nicht.