Aachen - USB - die tragbare Gefahr

USB - die tragbare Gefahr

Von: Thomas Bär
Letzte Aktualisierung:
2_02223915_1893450.jpg

Aachen. Wer USB-Geräte nicht ausreichend absichert und kontrolliert, riskiert den Verlust wichtiger Daten. So bekommen Sie die Risiken in den Griff.

Es ist keine leichte Aufgabe, Computersysteme oder gar ganze Netzwerke gegen Hacker-Angriffe, Viren oder andere Security-Bedrohungen abzusichern. Dabei wird jeder IT-Verantwortliche und Administrator bestätigen, dass es ebenso offensichtlich keine absolute Sicherheit geben kann. So werden die Systeme und das Firmennetzwerk nicht nur mit Antivirus-Programmen und Firewalls ausgerüstet. Vielmehr sind aufwändige Maßnahmen zur Authentifizierung der Anwender ebenso gefragt wie Lösungen, die Eindringlinge schnell finden (IDS - Intrusion Detection) oder den unerlaubten Abfluss der Daten verhindern (DLP - Data Loss Prevention).

Vielfach wird dabei gerade in kleineren Firmen eine Lücke übersehen, deren Gefahren sich auch durch den rasanten Fortschritt bei den Consumer-Geräten deutlich gesteigert haben: Die Peripheriegeräte an den einzelnen PCs und dabei ganz besonders die Geräte, die über USB-Anschlüsse mit dem PC verbunden werden. Waren es zu Zeiten der 3,5-Zoll-Diskette noch maximal 1,4 Megabyte an Daten, die ein Anwender auf einem Datenträger mit sich führen konnte, so sind es heute USB-Sticks mit mehreren Gigabyte Speicherplatz oder gar portable Festplatten, die leicht auch mal 500 Gigabyte an Daten fassen können. Die USB-Anschlüsse haben sich zur universellen Schnittstelle entwickelt, an die Memory-Sticks und Consumer-Geräte wie Smartphones, Kameras und MP3-Player angeschlossen werden können, die ebenfalls Speicherkapazität im zweistelligen Gigabyte-Bereich zur Verfügung stellen - so kann dann schnell die komplette Kundendatenbank „auf Reisen” gehen.

Dabei braucht nicht einmal böse Absicht hinter dem „Abwandern” der Daten zu stecken - immer häufiger warnen Sicherheitsexperten vor den Gefahren, die von verlorenen USB-Sticks oder portablen Geräten ausgehen, auf denen sich vertrauliche Daten befinden. Viele Firmen führen deshalb Richtlinien ein, die ein Speichern der Daten auf externen Geräten nur dann erlauben, wenn diese darauf entsprechend verschlüsselt abgelegt werden. Anwender und Firmen, die ausschließlich mit neuen Betriebssystemen wie Windows 7 arbeiten, können hierzu die integrierte Bitlocker-Funktionalität des Betriebssystems nutzen, die eine transparente Verschlüsselung der Daten auch auf USB-Geräten erlaubt. Doch was, wenn noch Windows-XP-Systeme oder gar noch ältere Rechner im Einsatz sind?

Da diese Art von Problemen schon recht lange existiert, haben Systemverwalter und Anwender schon auf den XP-Systemen nach einer Möglichkeit gesucht, den Zugriff auf die USB-Anschlüsse über das Betriebssystem zu regulieren. In Ermangelung von entsprechenden ins Betriebssystem integrierten Fähigkeiten wurde dazu wie so häufig bei den älteren Windows-Systemen der Zugriff auf die Registrierungsdatenbank (Registry) gewählt. Jeder erfahrene Systemprofi wird jedoch bestätigen, dass eine Änderung "von Hand" an dieser zentralen Windows-Datenbank zur Verwaltung des Systems und dessen Diensten immer mit einem hohen Risiko behaftet ist: Änderungen, die dort ausgeführt werden, sind immer sofort aktiv und können dementsprechend ein Windows-System auch nachhaltig beschädigen.

Trotzdem wird diese Einstellung, die bereits installierte USB-Laufwerke abschaltet, so dass der Anwender sie nicht mehr verwenden kann, immer noch eingesetzt. Einer ihrer Vorteile liegt darin, dass sie sowohl auf älteren als auch auf den neuen Windows-Systemen funktioniert.

Dazu muss im Registry-Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
USBSTOR der hexadezimale Wert des Eintrags "Start" auf 4 gesetzt werden. Danach kann ein Nutzer zwar noch USB-Geräte wie Tastatur und Maus verwenden, wird aber nicht mehr auf Speichergeräte zugreifen können. Die Handhabung dieser Methode ist allerdings sehr umständlich, da ein Systemverwalter einen Aufruf des Registry-Editors in das Anmelde-Script integrieren muss. Zudem muss er dafür Sorge tragen, dass diese Einstellung auch bei neuen Geräten wirksam wird (durch ein weiteres Script), da Windows bei Installation eines neuen Geräts an dieser Stelle grundsätzlich den Wert 3 einträgt, der den Zugriff erlaubt.

Wer in seiner Firma ausschließlich Systeme mit Betriebssystemen ab Windows Vista oder Windows Server 2008 einsetzt, ist etwas besser dran. Microsoft stellt hier Gruppenrichtlinien bereit, mit deren Hilfe der Zugriff auf Peripheriegeräte gewährt oder verweigert werden kann. Das Durchsetzen solcher Richtlinien ist in Umgebungen, die Active-Directory einsetzen, gut durchzuführen, setzt aber immer eine einheitliche Systemumgebung mit neuen Betriebssystemen voraus. Kommen Endgeräte zum Einsatz, die das Protokoll IEEE 1667 unterstützen, so können die Zugriffe noch viel feiner granuliert geregelt und überprüft werden. Dieses Protokoll beschreibt die Methoden, die zur Authentifizierung von externen Geräten wie USB-Sticks eingesetzt werden können, wenn sie mit einem Computer verbunden werden. Ein Support-Artikel auf Microsofts Webseiten erläutert, wie diese sogenannten erweiterten Speichergeräte unter Windows Server 2008 und Vista eingesetzt werden können.

Allerdings können diese Ansätze ein System nicht besonders gut vor bisher unbekannten Geräten schützen. Zudem erlauben sie es einem Systemverwalter kaum oder nur sehr unzureichend, bestimmte einzelne Geräte (wie beispielsweise den iPod des Geschäftsführers an seinem Rechner) zuzulassen oder explizit zu sperren. Weiterhin erfordern diese Möglichkeiten sehr genaue Systemkenntnisse und einen nicht unerheblichen Aufwand vom Administrator.

Auch deshalb haben sich eine ganze Reihe von Sicherheitsfirmen das Thema Endpoint-Security und damit unter anderem auch die Sicherung und Überwachung von USB-Geräten auf die Fahne geschrieben und bieten entsprechende Lösungen an. Das Spektrum reicht dabei von einfachen Werkzeugen zur Überprüfung der angeschlossenen USB-Endgeräte bis hin zu kompletten Sicherheitssuiten, die es auch unter Einbeziehung eines bestehenden Verzeichnisdienstes erlauben, die benötigten Richtlinien im Firmennetz auszurollen. Wir haben in einer Übersicht fünf Firmen aufgelistet, die derartige Lösungen anbieten. Diese Liste ist auf keinen Fall vollständig und stellt auch keine Wertung dar, die hier vorgestellten Programme stehen exemplarisch für die Vielzahl an Lösungen, die der Mark zu bieten hat.

Alle von uns betrachteten Lösungen verwenden sogenannte Agenten. Dabei handelt es sich um eigenständige, ausführbare Programme, die in den meisten Fällen als Windows-Dienst auf den zu überwachenden Systemen installiert werden. Typischerweise kann ein Systemverwalter mit ihrer Hilfe die zuvor in der Lösung erstellten Richtlinien auf den PCs durchsetzen. Alle Lösungen können dabei White- oder Blacklists einsetzen. Das sind Listen mit Endgeräten, deren Einsatz an den PCs erlaubt oder verboten ist. Hier zeigt die Praxiserfahrung, dass in den meisten Fällen der Einsatz von Whitelists, die alle erlaubten Geräte auflisten und alle anderen grundsätzlich blockieren, sinnvoller ist: Die Verwendung einer Blacklist, die nur die auf der Liste befindlichen Geräte sperrt, schützt kaum vor unbekannten Endgeräten. Wichtig ist hierbei auch, dass der Anwender keine Möglichkeit besitzen darf, diesen Agenten in irgendeiner Weise zu manipulieren oder gar mittels seiner Zugriffsrechte auf seinem PC einfach zu entfernen.

Einer der Hersteller, die wir für diesen Bericht in unsere Recherche mit einbezogen haben, setzt deshalb auch auf ein grundsätzliches Whitelisting-Konzept für die gesamte IT, um so eine größere Sicherheit zu erreichten. Die Firma Lumension stellt entsprechende Informationen zu diesem Konzept auf ihrer Webseite bereit.

Gilt es die Endpunkte eines größeren Netzwerks zu überwachen, so wird es bei der Entscheidung für eine derartige Lösung wichtig sein, wie gut und einfach sie zu verwalten ist. Hier bieten alle der von uns untersuchten Hersteller eine zentrale Konsole an, von der aus im Prinzip alle Aufgaben verwaltet werden können. Gerade Administratoren, die ein großes Windows-Netzwerk zu betreuen haben, werden es dabei besonders nützlich finden, wenn diese sich möglichst nahtlos in bestehende Verwaltungskonsolen einfügt. So fanden wir es beispielsweise besonders praktisch, dass die Lösung von DriveLock ein SnapIn für die MMC (Microsoft Management Console) der Windows-Systeme zu bieten hat. Für größere Netzwerke ist es ebenfalls wichtig, dass eine nahtlose Integration in den verwendeten Verzeichnisdienst wie etwa Active Directory angeboten wird, so dass beispielsweise gezielt Anwendergruppen vom Gebrauch bestimmter Endgeräte ausgeschlossen werden können. Auch diese Forderung wird von allen der von uns betrachteten Lösungen erfüllt, wobei in der Regel neben Active Directory auch der Einsatz des Verzeichnis- und Identitätsdienstes eDirectory von Novell unterstützt wird.

Wie bei vielen anderen Problemen, die sich im täglichen Einsatz der Windows-Rechner ergeben, haben sich auch hier die Entwickler der Free- und Shareware-Szene daran gemacht, eine freie Lösung dafür zu finden. Unter dem Namen Nirsoft bietet der Programmierer Nir Sofer eine große Anzahl von Freeware-Programmen an, die gerade für Betreuer von Windows-Systemen sehr nützlich sein können.

Darunter befindet sich auch eine Anwendung mit dem Namen USBDeview, die zur Kontrolle der angeschlossenen Peripheriegeräte eingesetzt werden kann. Dieses Werkzeug ist klein und handlich und benötigt keinerlei Installation. Direkt nach dem Start zeigt das Programm nicht nur alle USB-Geräte an, die aktuell mit dem entsprechenden Windows-System verbunden sind, sondern listet - ganz ähnlich den zuvor vorgestellten professionellen Programmen - auch all die Endgeräte auf, die zuvor bereits einmal mit dem Computer verbunden waren. Schon hier kann ein Systemverwalter aufschlussreiche Informationen auslesen: Zeigt ihm das Werkzeug doch eindeutig auf, ob ein Mitarbeiter beispielsweise unerlaubterweise sein Smartphone mit dem Rechner verbunden hat. Sehr hilfreich ist vor allen Dingen die Fülle der Informationen, die von USBDeview angezeigt werden: Es gibt zwar durchaus Geräte, die nur mit der Beschreibung „USB-Massenspeichergerät” auftauchen, aber ein Blick auf die Spalte mit dem Namen des Geräteherstellers kann dann schon genauere Auskunft über das verwendete Gerät geben. Auch der Zeitpunkt der letzten Verbindung des Gerätes mit dem System wird aufgelistet, so dass im Zweifelsfall auch nachzuvollziehen ist, wann ein Mitarbeiter eine bestimmte Hardware angeschlossen und verwendet hat.

Der Entwickler stellt sowohl eine 32- als auch eine 64-Bit-Version seiner Software bereit. Durch die Unterstützung einer großen Community kann er auf der Webseite auch Lokalisierungen anbieten, so dass alle Menüs und Anzeigen in vielen Sprachen zur Verfügung stehen. Die Lösung kann auch Remote auf einen anderen PC zugreifen, wobei der Anwender diesen Zugriff allerdings mit den Zugriffsrechten eines Administrators durchführen muss, da die Software ihre Daten aus der Registrierungsdatenbank des jeweiligen Systems auslesen muss.

Ein Systembetreuer kann mit dieser Software aber nicht nur passiv ein System beobachten oder auswerten, sondern er kann auch direkt eingreifen: So ist es mittels der Software zum Beispiel möglich, ein mit dem System verbundenes Gerät von diesem zu trennen beziehungsweise das Peripheriegerät zu deaktivieren. Wer sich noch etwas weiter mit dem Werkzeug beschäftigt, der kann über die erweiterten Optionen auch je Gerät bestimmte vorher definierte Aktionen sowohl beim An- als auch beim Abkoppeln eines USB-Geräts ausführen lassen. Schließlich bietet die Software auch noch die Möglichkeit, die Übersicht über die Geräte als HTML-Datei zu exportieren.

Das Problem, dass Anwender mit Vorsatz oder auch unabsichtlich wichtige Informationen über mobile Datenträger aus dem Firmennetz schleusen, ist so akut wie nie zuvor. Moderne Windows-Systeme können zwar gewisse Einschränkungen für den Zugriff auf diese Schnittstellen bieten, der Aufwand bei der Einrichtung, Betreuung und Verwaltung dieser Technik erfordert aber einen erfahrenen Administrator.

Unser Tipp: Wer diese Endpunkte in einem Netzwerk mit mehr als zwanzig PCs absichern will oder muss, sollte sich unbedingt eine der vielen Lösungen auf dem Markt näher anschauen, von denen wir hier fünf beispielhaft vorgestellt haben. Bei sehr viel größeren Installationen ist der Einsatz einer derartigen Software auf jeden Fall geraten. Alle Anbieter, der hier betrachteten Lösungen stellen zumeist 30 Tage lauffähige Testversionen zur Verfügung. Leider ermöglichen es von diesen Kandidaten nur die Firmen GFI und DeviceLock, nach Eingabe der Daten direkt eine Testversion herunterzuladen: Bei allen anderen Anbieter muss man auf den lästigen Rückruf eines Verkaufsrepräsentanten warten, ehe man Zugriff auf die Testsoftware bekommt.

Für Systembetreuer in kleineren Firmen stellt die vorgestellte Freeware von Nirsoft eine sehr gute Alternative dar, um die Zugriffe über die USB-Schnittstellen gelegentlich zu kontrollieren und im Zweifelsfall auf einzelnen Rechner auch zu unterbinden. Natürlich steht in kleinen Netzen auch noch der geschilderte Weg über einen Eingriff in die Registrierungsdatenbank von Windows offen - ein Vorgehen von dem wir aber grundsätzlich wegen der damit verbundenen Risiken abzuraten. Wer ganz sicher gehen will, kann schließlich auch die Anschaffung von Thin- oder Zero-Clients für seine Anwender als sichere Möglichkeit zur Kontrolle der Endpunkte in Erwägung ziehen.

© IDG / In Zusammenarbeit mit computerwoche.de
Leserkommentare

Leserkommentare (0)

Sie schreiben unter dem Namen:



Diskutieren Sie mit!

Damit Sie Artikel kommentieren können, müssen Sie sich einmalig registrieren — bereits registrierte Leser müssen zum Schreiben eines Kommentars eingeloggt sein. Beachten Sie unsere Diskussionsregeln, die Netiquette.

Homepage aktualisiert

Finden Sie jetzt neue aktuelle Informationen auf unserer Startseite

Wieder zur Homepage

Die Homepage wurde aktualisiert