Endpoint Security: USB-Geräte verschlüsseln oder sperren

    , 31.05.2011, zuletzt aktualisiert am 29.09.2011
    Tags: ,

    USB-Stick mit SchlossBeim Management von PC-Peripheriegeräten und der Abwehr von Sicherheitsrisiken, die von ihnen ausgehen, reicht es längst nicht mehr, USB-Speichermedien aus den Unternehmen zu verbannen. Gefragt ist also ein differenziertes Device-Management, das in der Lage ist, abgestufte Berechtigungen je nach Gerätetyp an ausgewählte Benutzer zu vergeben. Überall dort, wo Unternehmen das Speichern auf mobile Datenträger erlauben, sollten sie aber durch Verschlüsselung sicherstellen, dass bei Verlust solcher Geräte die darauf befindlichen Daten nicht in falsche Hände geraten können.

    Eine Herausforderung für die Kontrolle von mobilen Datenträgern besteht darin, dass sie nicht nur über USB, sondern über verschiedene Ports an die Rechner angeschlossen werden. Darüber hinaus existiert eine große Vielfalt von Geräten (MP3-Payer, Smartphones, Memory Sticks, etc.), die dazu taugen, vertrauliche Daten aus der Firma zu schleusen. Darauf können Firmen in vielen Fällen nicht mit einer simplen Blockadepolitik reagieren, weil viele Mitarbeiter derartige Geräte für ihre Arbeit benötigen - und sei es nur das Brennen einer DVD, weil beispielsweise die Datenmenge in der Grafikabteilung zu groß ist für den Transfer per Mail.

    Beschränkte Windows-Bordmittel für das Absichern von Geräten

    Windows bringt für diesen Zweck zwar einige Bordmittel mit, die aber für ein differenziertes Management nicht ausreichen oder nur für bestimmte Version bzw. Editionen des Betriebssystems verfügbar sind.

    So lassen sich beispielsweise USB-Geräte über Gruppenrichtlinien zwar relativ einfach blockieren, aber diese Technik eignet sich nicht, um beispielsweise Regeln umzusetzen, wonach ausgewählte User ein USB-Device mit einer bestimmten Seriennummer zu festgelegten Zeiten verwenden dürfen.

    Auch die Verschlüsselung von externen Speichermedien mit Bitlocker To Go, das als neues Enterprise-Feature von Windows 7 beworben wird, unterliegt einigen Einschränkungen. So fehlt ihm bisher ein zentrales Management, das als Bitlocker Administration and Monitoring zwar demnächst nachgereicht, aber nur als Teil des MDOP erhältlich sein wird. Ein weiteres Tool zur zentralen Verwaltung von Bitlocker kommt von der BitTruster GmbH aus Bad Homburg. Bitlocker selbst gibt es nur für Windows 7 Enterprise, dessen Bezug den Abschluss einer Software Assurance voraussetzt.

    Marktübersicht Endpoint Security

    Aufgrund der unzureichenden Ausstattung von Windows für ein ausgefeiltes Device-Management hat sich für diesen Bereich ein eigener Markt gebildet, in dem Hersteller umfassende Lösungen für Endpoint Security und Device Control anbieten. Neben der Zugriffskontrolle und Verschlüsselung mobiler Datenträger gehören auch Virenscanner, Application Whitelisting oder Desktop-Firewalls zu diesen Paketen. Welche Module separat oder nur im Paket zu bekommen sind, hängt vom jeweiligen Hersteller ab.

    McAfee Device Control und Endpoint Encryption

    Der Hersteller bietet eine breite Palette von Tools und Funktionen zur Absicherung von Endgeräten an, die von Antiviren-Software über eine Personal Firewall, URL- und Content-Filtering bis zu Verschlüsselung und Device-Kontrolle reicht. McAfee packt seine Tools zu verschiedensten Suiten zusammen, die teilweise in mehreren Editionen vorliegen. Hinzu kommt, dass ein Teil der Funktionen als Online-Service bezogen werden kann.

    Vergleich der McAfee Endpoint Security SuitesAus diesem Grund bedarf es einiger Recherche, in welcher Darreichungsform man Funktionen zur Kontrolle und Verschlüsselung von USB-Geräten beziehen möchte. Das gilt besonders für das Device-Management, das es nicht nur als eigenständiges Produkt mit der Bezeichnung McAfee Device Control gibt, sondern das sich auch in mehreren Suiten für Endpoint Protection wiederfindet. Möchte man gleich weitere Software wie Antimalware aus einer Hand haben, um sämtliche Sicherheits-Tools aus einer Konsole verwalten zu können, dürfte man hier fündig werden.

    Trotz des enormen Funktionsumfangs mancher Suiten, wie etwa der Total Protection for Endpoint Enterprise Edition, enthält keine von ihnen ein Tool zur automatischen Verschlüsselung mobiler Datenträger. Dieses ist als eigenständiges Produkt mit der Bezeichnung McAfee Endpoint Encryption verfügbar. Es umfasst jedoch nicht nur Funktionen zur Codierung von Daten auf USB-Geräten, sondern es verschlüsselt auch ganze Festplatten. Seine insgesamt 4 Module sind auch separat erhältlich.

    Sophos SafeGuard PortProtector

    Sophos gehört ebenfalls zu den Anbietern mit einem großen Portfolio an Tools für Endpoint Protection. Bekannt wurde die Firma vor allem mit ihrer Antiviren-Software. Sie bietet mittlerweile aber auch Produkte für das Blacklisting von Anwendungen, Network Access Protection, Datenträgerverschlüsselung oder auch eine Personal Firewall an.

    Die Funktionen für das Absichern von USB-Geräten finden sich auch bei Sophos in Suiten für Endpoint Protection wieder, wobei nur die größte Variante namens Endpoint Security and Data Protection sowohl die Zugriffskontrolle als auch die Verschlüsselung für mobile Datenträger enthält.

    Wer jedoch keine Rundum-Versorgung von Sophos will, sondern nur externe Geräte absichern möchte, für den gibt es SafeGuard PortProtector. Das Tool erlaubt, wie in dieser Kategorie üblich, die granulare Kontrolle von Geräten, indem es den Zugriff abhängig vom Typ, von Seriennummern oder Hersteller steuern kann. Die Software unterstützt zudem die für den User transparente Verschlüsselung der Daten auf solchen Geräten.

    GFI Endpoint Security

    Der Schwerpunkt von GFI liegt bei Produkten für das Management von E-Mails, das Unternehmen mischt aber auch bei Endpoint Protection mit, unter anderem mit einer eigenen Antiviren-Software. Für die Kontrolle und Verschlüsselung von externen Geräten ist das Tool Endpoint Security zuständig.

    Die Software bietet einen großen Funktionsumfang für ein fein granulares Rechte-Management, mit dem sich der Zugriff auf alle möglichen Geräte überwachen und steuern lässt. Außerdem lassen sich ganze Geräteklassen über Blacklists ausschließen und bestimmte Dateitypen über Content-Filter bannen. Eine Besonderheit der Software besteht darin, dass sie einen Deployment-Mechanismus zur Verteilung des Agents auf die Clients enthält.

    GFI Endpoint Security beschränkt sich auf die Kontrolle von externen Geräten wie USB-Datenträger, bringt aber keine Funktionen zu deren Verschlüsselung mit. Die Software kann aber erkennen, wenn Geräte mit Bitlocker To Go verschlüsselt wurden und ist in der Lage, darauf Berechtigungen zu vergeben.

    GFI bietet eine funktionsreduzierte Version als Freeware an. Sie beschränkt sich auf das Monitoring von Geräten.

    DevicePro und CryptionPro

    Zu den Anbietern einer Software für Endpoint Protection zählt auch die in Ettlingen ansässige cynapspro GmbH. Ihr Produkt umfasst unter anderem Module für das Whitelisting von Applikationen (ApplicationPro), das sichere Löschen von Dateien (ErasePro) oder das Power Management (PowerPro). Der Verwaltung und Kontrolle von Peripheriegeräten dienen die Komponenten DevicePro und CryptionPro.

    Alle Module werden von einer gemeinsamen Konsole aus verwaltet, dennoch können sie separat erworben werden. DevicePro erlaubt die Gewährung von Zugriffsrechten (nur Lesen, Lesen und Schreiben oder gar keine) abhängig von den Gerätetypen, den Ports, an die sie angeschlossen sind, oder nach individuellen Kriterien (etwa Seriennummer).

    CryptionPro dient als komplimentäres Modul der Verschlüsselung von Daten auf externen Geräten. Sie lässt sich so einstellen, dass verschlüsselte Daten von allen Mitarbeitern in der Firma, von solchen in der gleichen Gruppe oder nur vom Besitzer der Dateien decodiert werden können.

    ProSoft Safend Protector

    Mit der ProSoft GmbH befindet sich ein weiterer deutscher Anbieter in diesem Segment. Seine Software zur Einrichtung einer Zugriffskontrolle für externe Geräte heißt Safend Protector. Sie wird auch von Utimaco, einer Sophos-Tochter, unter der Bezeichnung SafeGuard PortProtector vertrieben.

    Wie die meisten Tools in dieser Kategorie kann Safend Protector Geräte nach Typ und Anschluss klassifizieren sowie eine Reihe von Merkmalen wie Seriennummern, Name des Herstellers, etc. auslesen. Auf dieser Grundlage lassen sich dann differenziert Rechte erteilen bzw. einschränken.

    Die Software enthält auch eine Verschlüsselungskomponente, so dass sich zentral über Policies die Codierung von Daten auf bestimmten Geräten durchsetzen lässt. Wie CryptionPro bietet Safend Protector die Möglichkeit, Daten durch Eingabe eines Passworts auch auf PCs zu entschlüsseln, die nicht der Firma gehören und auf denen somit kein Agent läuft.

    Lumension Device Control

    Bei Lumension handelt es sich um einen weiteren Hersteller mit dem Schwerpunkt auf Endpoint Security. Zu seinen Produkten zählen unter anderem eine Antiviren-Software, ein Tool für das Black- und Whitelistung von Anwendungen sowie ein solches für das Patch-Management.

    Für die Kontrolle und Verschlüsselung von mobilen Datenträgern ist Device Control zuständig, das früher unter dem Namen Sanctuary vertrieben wurde. Die Liste der Funktionen ist umfangreich, so dass die Software praktisch alle Anforderungen beim Management von externen Geräten abdecken kann. Dies umfasst sowohl die fein granulare Zuteilung von Rechten, beispielsweise abhängig vom Gerätetyp oder dem Port, über den ein Device angeschlossen ist. Mit dabei ist auch eine zentral verwaltbare Verschlüsselung auf Basis von 256-Bit AES.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links