14.11.2007, 09:18 Uhr
Mobile Sicherheit direkt am USB-Port
Wie muss man das Thema «USB» im Mobile-Security-Umfeld betrachten? Was muss ich wissen, um eine proaktive Sicherheit am und mit dem USB-Port im Unternehmen zu erreichen?
Marcus Beyer ist Architect Security Awareness der Ispin, Bassersdorf.
www.ispin.ch
www.ispin.ch
Mobile Geräte sind der Alptraum jedes Security-Beauftragten. Insbesondere die zwar physisch winzigen, mit teils riesigem Speichervermögen aufwartenden USB-Sticks bereiten ihnen schlaflose Nächte. Natürlich steigert das moderne, hochmobile Arbeiten mit Notebooks, Smartphones, PDAs oder Blackberries, mit USB-Sticks und kompakten Digitalkameras die Produktivität der Mitarbeiter nachhaltig. Selbstverständlich bringt die stetig steigende Mobilität zahlreiche Vorteile für die Unternehmen. Ganz sicher möchte kein Anwender seine Mobilgeräte jemals wieder missen.
Dennoch gilt für jeden IT-Security-Verantwortlichen der Grundsatz: Mobile Geräte sind vor allem ein von den Anwendern allzu häufig völlig unterschätztes Sicherheitsrisiko.
Nicht nur, dass die immer kompakter und leichter gebauten Mobilgeräte ebenso leicht verloren gehen wie sie gestohlen werden können, sie sind auch viel einfacher anzugreifen als abgeschottete Firmennetze.
So sehr sich zumindest bei den Notebooks mittlerweile eine relativ hohe Sensibilisierung der Anwender bezüglich Sicherheit breit gemacht hat, so fahrlässig gehen dieselben Anwender mit ihren USB-Geräten um. Dabei sind auf den kleinen, mobilen Datenträgern häufig mehr vertrauliche Daten gespeichert, als auf dem Notebook. Daten, die zudem extrem einfach und blitzschnell per Drag & Drop vom USB-Datenträger auf einen anderen Speicher kopiert werden können.
Verliert ein Unternehmen auch nur wenige Stunden die Kontrolle über ein mit sensiblen Daten gefüttertes USB-Gerät, steigt das Risiko für Identitätsdiebstahl, die Einschleusung von Viren und dadurch ausgelöste Datenverluste enorm an.
Daher dürfen USB-Sticks und andere Peripheriegeräte mit USB-Anschluss (MP3-Player, PDAs, Digitalkameras etc.), auf denen sich bequem auch grössere Mengen sensibler Informationen speichern lassen, hinsichtlich der Mobile Security keinesfalls ausser Acht gelassen werden. Im Gegenteil sind für USB-Geräte speziell geeignete Schutzkonzepte entwickelt werden.
Es wäre geradezu fahrlässig, sich bei der IT-Sicherheit für mobile Endgeräte und Datenträger auf traditionelle Bordmittel wie etwa einen Passwortschutz zu verlassen. Vielmehr müssen sie zwingend vollständig in die unternehmensweiten Sicherheitsmassnahmen integriert worden.
Einen guten Anfang dafür bilden bereits implementierte Sicherheitsregeln. Gibt es diese noch nicht, müssen sie in einem ersten Schritt definiert und kommuniziert werden. Die oberste Regel dabei lautet: Mitarbeiter dürfen nur Geräte und Datenträger nutzen, die vollständig verschlüsselt sind. Das fängt beim Betriebssystem an und reicht über die Applikationen bis zu den Daten.
Zu den fundamentalen Sicherheitsanforderungen eines Unternehmens gehören neben der Verwendung hinreichend sicherer Passwörter also auch entsprechende Verschlüsselungsmethoden, eine Beschreibung der Installationsprozeduren sowie die Vergabe von Administrationsrechten. So wird zugleich der Unterbau einer zentralen Verwaltung definiert.
Um im Umgang mit mobilen Geräten keine unliebsamen Überraschungen zu erleben, ist für den Einsatz von I-Pods, USB-Sticks, Digitalkameras und anderen Tools ebenfalls eine klare Sicherheitsstrategie zu realisieren. Lediglich Notebooks, Handys und PDAs mit einzubeziehen, reicht längst nicht mehr aus. Auch die Awareness, also die Aufklärung der Mitarbeiter über mögliche «Was-wäre-wenn?»-Szenarien, ist ein wichtiger Punkt zur Sicherheitsprophylaxe.
Letztlich schützen Kryptographie-Tools zur Verschlüsselung der auf den USB-Geräten gespeicherten Daten sowie andere «Endpoint-Security»-Lösungen vor Datendiebstahl am USB-Port.
«USB-Geräte dürfen in Bezug auf Mobile Security nicht ignoriert werden»
Archiv aller Helpdeskartikel:
www.computerworld.ch
www.computerworld.ch
Marcus Beyer