Ziel der meisten Angriffe auf IT-Systeme ist es, an vertrauliche Daten von Unternehmen zu gelangen. Nicht nur Hacker, die in das Netzwerk eindringen, sondern auch interne Datendiebe können die begehrten Daten meist einfach nach außen schleusen. Safetica möchte mit seinen DLP-Tools dem einen Riegel vorschieben.*
Für DLP gibt es zwar keine einheitliche Definition, es umfasst in der Regel aber ein ganzes Bündel von Techniken und Maßnahmen, um den unautorisierten Abfluss von Daten zu verhindern. Dazu zählen etwa ein Device Management, die Auditierung von Benutzeraktivitäten oder Content-Filter für das Versenden von Dateien.
Der tschechische Anbieter Safetica versammelt in seinem gleichnamigen Produkt derartige Tools und ergänzt sie um Funktionen wie App Whitelisting oder URL-Filter, die wichtige Einfallstore für Malware schließen helfen.
Zonen-basiertes Device-Management
Die Funktion Device Control erlaubt ein fein abgestuftes Management von Geräten, die über lokale Ports wie USB, Firewire, Bluetooth oder LPT angeschlossen sind. Die Kontrolle reicht vom vollständigen Blockieren über einen Nur-Lesemodus bis zur uneingeschränkten Freigabe.
Vorhandene Geräte lassen sich verschiedenen Zonen zuteilen, um sie als Gruppe anzusprechen und für sie spezifische Regeln zu vergeben. Wenn zum Beispiel verschlüsselte USB-Sticks als sicher gelten, dann kann man sie einer vertrauenswürdigen Zone hinzufügen und sie so von allgemeinen Einschränkungen ausnehmen.
Zu den vorgegebenen Geräteklassen für Zonen gehören daneben noch Drucker, Netzlaufwerke, URLs oder ganz allgemein IP-Adressen. Sie kann man auch für Regeln nutzen, die nicht nur Geräte betreffen. So ließe sich der Versand per Mail für bestimmte Dokumente unterbinden, aber ausgewählte Domänen davon ausnehmen.
Laufwerke blockieren
Als Ziele für den Abfluss vertraulicher Daten kommen nicht nur USB-Sticks oder Mail-Empfänger in Frage, sondern immer häufiger auch Cloud-Speicher wie OneDrive oder Google Drive. Sie werden oft als Laufwerk in Windows eingebunden.
Disk Guard kann sie als auch lokale Laufwerke und Netzwerkfreigaben verwalten. Alle drei Typen lassen sich auf das Lesen beschränken oder blockieren. Letzteres führt dazu, dass Safetica sie komplett aus dem Explorer ausblendet und auch auf der Kommandozeile unzugänglich macht.
Mehrere Abwehrmaßnahmen in einer Regel
Für eine umfassende Kontrolle ausgehender Daten wird man sich nicht auf Einzelmaßnahmen wie das Blockieren bestimmter Geräte oder das Ausblenden von Laufwerken beschränken. Daher sieht Safetica die Definition von DLP-Regeln vor, die mehrere Maßnahmen bündeln.
Zur Auswahl stehen drei Typen von Regeln:
Allgemein: Sie verwalten pauschal sämtliche Kommunikationskanäle und betreffen alle Daten, die etwa per Mail verschickt oder auf ein externes Gerät kopiert werden. Sie eignen sich besonders, um grundlegende Limitierungen vorzugeben.
Daten: Sie beziehen sich auf bestimmte Kategorien von Dokumenten, die man zuvor definieren muss. Dabei legt man Kriterien für den Inhalt fest, etwa dass Dateien Kreditkartennummern, IBANs oder dergleichen enthalten müssen. Die dafür nötigen Filter bringt Safetica bereits mit, eigene kann man unter anderem über reguläre Ausdrücke erstellen.
Anwendungen: Damit schränkt man das Verhalten von Applikationen ein und hindert sie zum Beispiel darin, dass sie auf externe Laufwerke oder auf OneDrive speichern, ausdrucken oder in Screenshots abbilden lassen. Safetica enthält eine umfangreiche, in Kategorien eingeteilte Liste gängiger Software, die man für solche Regeln nutzen kann.
Wenn es für bestimmte Aktionen sinnvoll ist, dann kann man sie nicht bloß erlauben oder verbieten, sondern ein Whitelisting für die als sicher deklarierten Zonen einrichten. Damit ließe sich etwa das Ausdrucken oder das Speichern auf externen Geräten generell blockieren, aber vertrauenswürdige Drucker oder verschlüsselte Speichermedien könnte man davon ausnehmen.
Alle drei Typen von Regeln lassen sich durch die Integration mit dem Active Directory einzelnen oder mehreren Konten sowie ganzen OUs zuordnen. Überschneiden sich Aktionen in mehreren Regeln, dann entscheidet ihre Anordnung in der Konsole, welche sich durchsetzt.
BitLocker
Die Verschlüsselung von Laufwerken ist ein Eckpfeiler jeder Strategie zur Data Loss Prevention. Gehen etwa mobile Datenträger oder Notebooks verloren, dann fallen vertrauliche Daten schnell in die falschen Hände.
Safetica verfügt hier über keine eigene Technologie, sondern setzt auf BitLocker. Nachdem Microsoft diese Laufwerksverschlüsselung seit geraumer Zeit auch mit der Pro Edition ausliefert, gibt es hier keine Notwendigkeit für DLP-Hersteller, das Rad neu zu erfinden.
Da Microsoft mit der Abkündigung von BitLocker Administration and Monitoring (MBAM) keine eigenständigen Tools für das BitLocker-Management mehr anbietet, sondern nur mehr als Funktion von Endpoint Manager und Intune bereitstellt, dürften Anwender die zentrale BitLocker-Verwaltung in Safetica begrüßen.
Das Tool enthält zwei Module für diesen Zweck, das eine zur Codierung von mobilen Datenträgern und das andere für integrierte Disks (inklusive Systemlaufwerk). BitLocker Devices erwartet, dass Wechselmedien erst Benutzern zugewiesen werden, bevor man sie verschlüsseln kann.
BitLocker Disks hingegen setzt voraus, dass die Verschlüsselungsfunktion zuvor über die Gruppenrichtlinien aktiviert wurde.
Application Whitelisting und URL-Filter
Neben dem DLP-Modul enthält Safetica ein weiteres mit der Bezeichnung Supervisor. Dahinter verbergen sich Funktionen für das Black- und Whitelisting von Anwendungen, das Sperren unerwünschter Websites sowie für die Druckerkontrolle. Letztere möchte der Hersteller demnächst vollständig in das DLP-Modul migrieren.
Das Blockieren von unproduktiven oder schädlichen Anwendungen über eine Blacklist ist normalerweise ein hoffnungsloses Unterfangen, weil es davon zu viele gibt und ständig neue hinzukommen.
Safetica umfasst eine lange Liste an gängiger Standardsoftware, die bereits für die oben erwähnten anwendungsspezifischen DLP-Regeln dient. Sie ist in zahlreiche Kategorien unterteilt, die sich keineswegs auf Spiele und Unterhaltung beschränken. Vielmehr ist diese Sammlung auch die Grundlage für das Whitelisting, bei dem man nur ausgewählte Programme zulässt.
Dank dieser vom Hersteller gepflegten Liste lässt sich ein ganzer Schwung unnützer Software einfach blockieren. Aber Blacklisting bietet auch damit keinen ausreichenden Schutz vor schädlichen Programmen, weil diese im Softwarekatalog kaum enthalten sein werden.
Whitelisting erfüllt diese Anforderung wesentlich besser, wobei man dann sicherstellen muss, dass im Unternehmen benötigte Programme nicht versehentlich blockiert werden. Wenn die von Safetica vorgegebene Liste dafür nicht ausreicht, dann kann man weitere Applikationen selbst ergänzen, beispielsweise solche, die im Haus entwickelt wurden.
Nach dem prinzipiell gleichen Muster funktioniert Web Control. Auch hier kann man grundsätzlich alle Websites blockieren und nur ausgesuchte freigeben. Alternativ entscheidet man sich für ein Blacklisting, um nur unerwünschte URLs zu sperren.
Wie bei Application Control gibt der Hersteller auch hier eine bereits kategorisierte Liste vor, die aber sicher keinen Anspruch auf Vollständigkeit erhebt. Sie reicht jedoch aus, um etwa soziale Netzwerke oder gängige Shopping-Sites zu blockieren.
Auditing
Als weiteres optionales Modul, das separat lizenziert werden muss, enthält Safetica den Auditor. Wie der Name vermuten lässt, schneidet es alle möglichen Benutzeraktivitäten mit, die der Administrator dann über ein Dashboard und über Reports auswerten kann.
Auf dieser Basis lässt sich Verhalten identifizieren, das zu Datenabfluss oder sonstigen Beeinträchtigungen der Sicherheit führen kann. Die personenbezogene Aufzeichnung solcher Informationen gerät in Deutschland jedoch leicht in Konflikt mit dem Datenschutz.
Daher passt Safetica sein Produkt in Zusammenarbeit mit dem deutschen Distributor MicroNova so an, dass die erfassten Informationen anonymisiert und nur in ihrer Gesamtheit einsehbar sind.
Installation
Die Installation der Server-Komponente bietet zwei Optionen, die automatische und die manuelle. Letztere benötigt man etwa, wenn man einen vorhandenen SQL Server verwenden möchte. Die automatische Variante läuft ohne Rückfrage durch und installiert die Express Edition der Datenbank.
Das Setup richtet zudem die IIS ein, auf denen das Web-Interface namens Websafetica läuft. Dieses bietet aktuell nur einen Teil der Funktionen, welche die native Windows-Konsole beherrscht.
Der Hersteller setzt aber künftig ganz auf die Web-GUI, welche zur primären Admin- und Reporting-Umgebung werden soll. Um sie in Betrieb zu nehmen, sollte man ein Zertifikat für die Safetica-Website installieren.
Auf den Clients benötigt Safetica einen Agent. Nach der Installation des Servers kann man das MSI für den Client aus der Konsole herunterladen und dann über Gruppenrichtlinien oder eine Client-Management-Lösung auf die Endgeräte verteilen. Anschließend muss man die betreffenden Rechner noch in der Konsole aktivieren.
Für die Zuweisung von Regeln an Benutzer und das Erfassen der Rechner bindet man die Software an das Active Directory an, wobei die Integration über das Computer-Konto des Safetica-Servers erfolgen kann.
Fazit
Safetica deckt eine große Bandbreite an Funktionen ab, die Unbefugten die Weitergabe von Firmendaten verwehren. Im Zentrum stehen dabei das Device- und BitLocker-Management sowie ein Regelwerk, das mehrere Einschränkungen bündeln kann. Neben ihrer generellen Anwendung lassen sie sich auf bestimmte Dokumente oder Programme zuschneiden.
Aufgrund der einfachen Installation und der Modularität des Tools dürfte der Einstieg auch kleineren Unternehmen nicht schwer fallen. Alle Funktionen lassen sich anfangs in einem reinen Log-Modus betreiben und dann nach und nach scharf schalten, wenn man absehen kann, welche Auswirkungen bestimmte Maßnahmen haben.
Neben den eigentlichen DLP-Funktionen bietet Safetica zusätzlichen Schutz durch Application Whitelisting und URL-Filter. Diese Features sind zwar nicht so leistungsfähig wie darauf spezialisierte Programme, runden aber das Portfolio der Sicherheitsfunktionen ab.
Einen hundertprozentigen Schutz gegen Datendiebstahl und andere Bedrohungen der IT-Sicherheit wird man nie erreichen. Safetica schließt aber ohne großen Aufwand viele Lücken und vermittelt dem Administrator einen Eindruck davon, was die Benutzer in seinem Netzwerk so treiben.
Weitergehende Informationen zu Safetica finden sich auf der Website von MicroNova. Dort kann man auch eine für 30 Tage gültige Testversion anfordern.
* Dieser Text ist ein bezahlter Beitrag der MicroNova AG.
MicroNova bietet seit 1987 Software und Systeme für die Bereiche Automotive Testing, Management von Mobilfunknetzen sowie IT-Management. 300 Experten und Expertinnen arbeiten am Hauptsitz in Vierkirchen bei München sowie an neun weiteren Standorten in Deutschland und Tschechien
Weitere Beiträge von diesem Anbieter