extra Anfang und Ende Security Auf den ersten Blick mögen Endpoint-Sicherheit Veranstaltungen ix extra Security zum Nachschlagen: Security

Transkript

1 sponsored by: Ein Verlagsbeihefter der Heise Zeitschriften Verlag GmbH & Co. KG extra Security Endpoint-Sicherheit Schutzkonzepte für Endgeräte Anfang und Ende Data Leakage Prevention: Schutz von innen nach außen Transporthindernis Vorschau Storage SAN wie sicher sind die neuen Ethernet-Techniken? Veranstaltungen 24.ˇ ˇ29. Juli, Las Vegas Black Hat Juliˇ ˇ1. August, Las Vegas DEF CON 21.ˇ ˇ22. September, Wien DACH Security ˇ ˇ7. Oktober, Berlin ISSE Oktober, London RSA Conference Europe Oktober, Nürnberg it-sa Seite I Seite V Seite VIII ix extra Security zum Nachschlagen: Security Anfang und Ende Schutzkonzepte für Endgeräte Endpoint Security ist eines der wichtigsten Themen der modernen Informationssicherheit. Leicht umzusetzen sind Maßnahmen in diesem Bereich allerdings nicht. Denn an den Endgeräten der Mitarbeiter finden genau diejenigen Aktionen statt, die sich aus Administrator - sicht am schwierigsten regeln lassen und zugleich das höchste Risikopotenzial aufweisen. Auf den ersten Blick mögen die zentralen Ressourcen eines Netzwerks wichtiger erscheinen als die Endgeräte der Mitarbeiter. Anwendungsserver und Speichersysteme beherbergen den Großteil der wichtigen Unternehmensinformationen. Praktisch aber geraten Daten am ehesten dort in Gefahr, wo sie erfasst und bearbeitet werden und dies geschieht an jenen Systemen, die aus Sicht des Administrators die Endpunkte seines wohlkontrollierten Netzwerks ausmachen. Die Risiken, die hier bestehen, betreffen sowohl gespeicherte Informationen als auch Daten, die gerade transportiert werden. Sie berühren außerdem alle drei grundsätzlichen Sicherheitsziele: Verfügbarkeit, Integrität und Vertraulichkeit. Die ausgereiften Schutzmechanismen, die die zentralen Unternehmensapplikationen und Server heute in fast jedem Unternehmen umgeben Firewalls, Intrusion Prevention, starke Authentifizierungs- und Autorisierungssysteme helfen nur bedingt bei einer Verletzung der Informationssicherheit während einer legitimen Aktion durch eine Sicherheitslücke am Endgerät oder bei Fehlverhalten des Endanwenders. Die heute am weitesten verbreitete Lösung liegt darin, umfassende Schutzsysteme auch auf Endgeräten zu installieren und diese, so gut es eben geht, einer zentralen Verwaltung zu unterwerfen. Dies stellt eine echte Herausforderung dar, denn vor allem mobile Endgeräte benötigen Sicherheitsfunktionen aus nahezu allen Disziplinen der Informationssicherheit und des Datenschutzes und befinden sich überdies nicht permanent im Einflussbereich des Administrators. Endpoint-Security-Systeme existieren als Suites, die viele der notwendigen Einzelfunktionen vereinen, oder können aus Betriebssystemfunktionen und Einzelprodukten zusammengestellt werden. Die Auswahl der richtigen Lösung setzt eine genaue Analyse der unterschiedlichen Schutzbedarfsbereiche voraus, außerdem ein auf das Unternehmen bezogene Risiko- I

2 Assessment und gute Kenntnisse der Arbeitspraxis an den Endgeräten. Nur so erreicht man, dass die Sicherheitssysteme den Anwender im Sinne der Unternehmensziele unterstützen und nicht behindern. Gespeicherte Daten schützen Endgeräte jeglicher Art vom klassischen PC oder Notebook bis hin zu Netbooks und Smartphones enthalten häufig zwar unstrukturierte, aber sehr wohl unternehmensrelevante, vertrauliche und oft personenbezogene Daten. Der Verlust oder Diebstahl solcher Systeme, der sich in der Praxis selbst bei größter Vorsicht nie ausschließen lässt, kann eine Organisation empfindlich treffen und rufschädigende Datenskandale auslösen. Verschärft wird die Situation dadurch, dass weltweit immer mehr Staaten Gesetze verabschieden, die bei Verletzung des Schutzes persönlicher Daten die Unternehmen dazu verpflichten, die Betroffenen zu informieren. Einige US-Bundesstaaten haben dieses Gebot schon festgeschrieben, und auch die aktuelle deutsche Datenschutznovelle sieht in 42a des Bundesdatenschutzgesetzes (BDSG) entsprechende Benachrichtigungen vor. Diese haben entweder persönlich oder unter Umständen auch in Form von Zeitungsanzeigen zu erfolgen. Schutzmaßnahmen müssen dem Stand der Technik entsprechen. Dies zwingt, wie auch in der Anlage zu 9 Satz 1 BDSG dargelegt, faktisch zur Verschlüsselung. Diese grenzt die Folgen eines Datenverlusts Desktop-Virtualisierung und Application Streaming Eine Alternative zu klassischen Endpoint-Security-Modellen besteht darin, zum Beispiel in Umgebungen mit stark fließenden Grenzen zwischen privatem und geschäftlichem Computereinsatz Techniken der Desktop-Virtualisierung oder des Application Streaming einzuführen. Mittels Citrix- oder Browser-Umgebung lässt sich eine geschäftliche Arbeitsumgebung komplett in ein Fenster eines beliebigen Privatgeräts übertragen, ohne dass mehr als die absolut notwendigen Schnittstellen zwischen beiden Welten existieren. Ein weiterer Vorteil dieser Technik liegt in der Möglichkeit, pflegeleichte Thin Clients die Rolle gewöhnlicher Anwender-PCs übernehmen zu lassen. Zwar fordern solche Ansätze wiederum eigene Sicherheitsmodelle, aber diese können in extrem heterogenen Umgebungen deutlich leichter zu beherrschen sein als Endpoint Security für eine Vielzahl auf klassische Weise eingebundener Endgeräte. Eine Variante des geschützten virtualisierten Desktops bietet Abra von Check Point. Der Stick verbindet sich via VPN mit dem Firmennetz und bietet von überall aus Zugriff auf Geschäftsanwendungen, s sowie Daten in einer abgeschotteten Umgebung. ein und entbindet in einzelnen Fällen so in Kalifornien und Illinois nach den dort bestehenden Gesetzen sogar von der Benachrichtigungspflicht, die anderenfalls ebenso für deutsche Firmen mit Kunden oder Partnern aus diesen US-Bundesländern gelten würde. Möglich sind komplette Laufwerksverschlüsselung, Ordner- und Dateiverschlüsselung. Die wichtigsten Qualitätskriterien sind die Wahl zwischen anerkannten Algorithmen, der auch temporäre Schutz während der Bearbeitung abgelegter Informationsbruchstücke und eine angriffssichere Implementierung (zu Details siehe ix extra 11/2009, Vergesslichkeitsschutz. Verschlüsselung von Endgeräten ). Darf der Anwender externe Speichermedien nutzen, muss der Verantwortliche ebenso deren Verschlüsselung einbeziehen. Für mobile Computer mit besonders vertraulichen Daten sollten außerdem Systeme in Betracht gezogen werden, die bei einem gestohlenen Gerät eine Standortbestimmung und das ferngesteuerte Löschen der Datenträger zumindest dann erlauben, wenn der Dieb das System unvorsichtigerweise mit dem Internet verbindet. Die Hersteller verankern die für solche Funktionen notwendigen Software-Agenten heute tief im BIOS der geschützten Geräte, sodass der Dieb sie kaum umgehen oder außer Funktion setzen kann. Den Transfer sichern Anwender verbinden sich über die unterschiedlichen Netzwerke mit Unternehmensressourcen und übertragen auf diesen Wegen vertrauliche Daten. VPN- Clients und Maßnahmen für WLAN-Security gehören deshalb ebenfalls ins Spektrum der Endpoint-Sicherheit. Dabei ist es kein Problem, die eigentlichen Verbindungen auf der Basis bewährter IPSec- oder SSL-Technik gegen direkte Angriffe zu schützen. Schwierig ist es vielmehr, zu verhindern, dass sich auf dem Endgerät selbst während gelegentlicher, ungeschützter Internetverbindungen oder über Ad-hoc-Verbindungen und Datenträger Spionagesoftware einschleicht. Solche Malware könnte Informationen am Anwenderende des Tunnels ausspionieren, wo sie für die Bearbeitung durch den Benutzer zumindest temporär unverschlüsselt vorliegen müssen. Bedenklich ist es in diesem Zusammenhang zum Beispiel, wenn ein Endgerät nicht einmal warnt, bevor es eine drahtlose Verbindung zu einem Access Point oder einem anderen Gerät im Raum aufnimmt. Wie seinerzeit der BlackBerry Wie wichtig es außerdem ist, dass die Verbindungstunnel zwischen Endgerät und Unternehmensnetz tatsächlich vom einzelnen Endpoint zum Netz aufgebaut werden und komplett der Regie des Systemverwalters unterliegen, zeigte die BlackBerry-Diskussion: Diesen Gerätetyp betrachteten viele Unternehmen erst dann als sicher, als Verschlüsselungssysteme zur Verfügung standen, die die geschützte Speicherung und den gesicherten Transfer der Daten unabhängig vom Angebot und Netz der BlackBerry- Anbieter und Netz-Provider möglich machten. Malware findet über offene Internetverbindungen, über oder auch über die Schnittstellen und Laufwerke der Systeme wie Bluetooth, USB und CD- oder DVD-ROM ihren Weg auf die Computer. Gerät Schadsoftware erst einmal auf ein Endgerät, sind nicht nur die Verfügbarkeit, Vertraulichkeit und Integrität der dort gespeicherten Daten gefährdet. Trojaner können mit den Rechten des Benutzers auch Zugriff auf II ix extra 7/2010

3 Sichern Sie sich einen virenfreien Frühling! 30% Rabatt auf alle Home-Produkte!* Antivirus I Antispyware Antivirus I Antispyware I Personal Firewall I Antispam * Schützen Sie Ihren Computer gegen alle Arten von Cyberkriminalität mit den bewährten Sicherheitslösungen von ESET. Nutzen Sie jetzt unseren speziellen 30% Frühlingsrabatt auf alle Erstbestellungen von Home-Produkten der ESET Smart Security und ESET NOD32 Antivirus mit einer Laufzeit von 1 Jahr. Dies gilt für den Zeitraum vom bis ESET bietet spezielle Sicherheitslösungen für Unternehmen jeder Größe: ESET bietet wegweisende, mehrfach ausgezeichnete Lösungen, um Computer und Netzwerke umfassend vor Bedrohungen aller Art zu schützen. Die in die Antivirussoftware integrierte NOD32 Threat-Sense Engine, Antispyware, Antispam und eine maßgeschneiderte Firewall schützt das Unternehmensnetzwerk optimal, das Ganze bei minimaler Beanspruchung von Systemressourcen, effizienter Remote Administration und Tiefenanalyse des Systems. Nutzen Sie jetzt ausgezeichneten ESET-Schutz für wenig Geld!

4 Firmendaten erlangen, wenn sich der Endpoint mit dem Unternehmensnetz verbindet. Eine ausgefeilte Malware-Erkennung mit Firewall-Funktionen, die das Gerät auf verdächtige Netzkontakte überwacht, ist also Pflicht für ein Endgerät. Intrusion Prevention und Tools gegen Phi - shing sollten den Funktionsumfang ergänzen. Nützlich sein kann ebenfalls eine Anwendungskontrolle, die auf White- oder Blacklisting setzt. Mittels einer Whitelist lässt sich die Zahl der einsetzbaren Programme auf einem Endgerät auf eine vom Administrator vorgegebene Liste beschränken, sodass schädliche Software ihren Betrieb nicht aufnehmen kann. Eine Blacklist kann Anwendungen ausschließen, die besondere Sicherheitslücken aufreißen. Dazu gehören beispielsweise Skype, das zur internationalen Kommunikation aber häufig benötigt wird, und spezielle Systeme zum Austausch von Programmen oder Nutzdaten. Kopiervorgänge regeln Die Schnittstellen und Laufwerke der Endgeräte bereiten den Systemverwaltern auch aus anderen Gründen Sorgen. Personen, die sich Zugriff auf die Systeme verschaffen, können auf diesem Weg am schnellsten Informationen auf externe Datenträger kopieren die einfachste Basis für Geheimnisverrat und Industriespionage. Ebenso gilt es, potenziellen Missbrauch durch einzelne Mitarbeiter zu bedenken, selbst wenn er statistisch gesehen sehr selten vorkommt. Eine einfache Deaktivierung der Schnittstellen verbietet sich häufig, weil es zum Gebrauch von USB-Sticks und optischen Speichermedien in mancher Arbeitsumgebung keine Alternative gibt. Zum Kreis der Endpoint-Security-Technik gehören deshalb auch Data-Loss-Prevention-Funktionen (DLP) für Endgeräte, die die Informationsweitergabe auf intelligente Weise einschränken sollen. Manche DLP-Produkte lassen Kopiervorgänge nur zu, wenn der Anwender vom Administrator freigegebene Datenspeicher einsetzt, etwa firmeneigene verschlüsselte USB- Sticks. Andere Systeme stützen sich auf Varianten der DRM- Technik (Digital Rights Management). Der Systemverwalter sollte per Policy bestimmen können, welche Informationen kopiert und weitergegeben werden dürfen einerseits von Ressourcen im Netzwerk auf das Endgerät, andererseits vom Endgerät auf weitere Datenträger. Wirken strikte Blockaden kontraproduktiv, sollte ein Warnsystem greifen, das den Anwender darauf aufmerksam macht, wenn er beispielsweise vertrauliche Informationen kopieren oder versenden will. Bei besonders vertraulichen Daten ist es mit einigen Systemen auch möglich, den Vorgang nur zuzulassen, wenn der Anwender einer Protokollierung und Benachrichtigung des Administrators zustimmt. Risiken bestehen auch dann, wenn der Anwender sein Gerät völlig bestimmungsgemäß verwendet und bereits sichergestellt ist, dass sich keine Spionagesoftware auf den Systemen befindet. Hierzu gehört etwa die Gefahr, dass jemand mithört oder über die Schulter mitliest, wenn ein Anwender sein Gerät an öffentlichen Orten einsetzt. Um die zuletzt genannte Gefahr einzugrenzen, statten Unternehmen Notebooks immer häufiger mit Spezialfolien aus, die den heute recht weiten Blickwinkel der Displays wieder einschränken. Zentrale Ressourcen sichern Die Installation von Anti-Mal - ware-software auf Endgeräten kam bereits als Maßnahme zur Sprache, die auch zentrale Unternehmensressourcen schützt. Mit Network Access Control (NAC) lässt sich dieser Bereich noch wirkungsvoller umsetzen. NAC verringert Risiken, die aus dem steten Wechsel der Endgeräte zwischen dem autonomen mobilen Betrieb und der Anbindung ans Netzwerk resultieren. Die Systeme können damit bei jeder Verbindungsaufnahme zum Unternehmensnetz auf die Funktionstüchtigkeit ihrer Sicherheitssysteme, unerwünschte Software, die Einhaltung von Richtlinien und die Sicherheit des jeweils gewählten Verbindungswegs geprüft werden. NAC-Systeme setzen Zwangsquarantäne oder eingeschränkten Zugriff durch, wenn ein Endgerät oder sein Zugriffsweg unsicher erscheinen. Details hierzu finden sich im Beitrag Kontrollierter Wiedereintritt. Network Ad - mission Control als moderne Netz zu gangs sicherung in ix extra 11/2008 sowie im ix CeBIT Special Das Management erleichtern Endpoint-Security-Software sollte autonom funktionieren, wenn ein Anwender sein Endgerät abgekoppelt vom Firmennetz benutzt. Zugleich sollte sie sich bei bestehendem Kontakt zum Netz zentral verwalten lassen, um beispielsweise neue Richtlinien zu übernehmen und umzusetzen. Gerade weil die Funktionsvielfalt der Endpoint- Security-Produkte so groß ist, gelten für die Verwaltungsschnittstelle besonders hohe Anforderungen an die praxisgerechte und benutzerfreundliche Gestaltung. Neben dem Management sollte auch die Softwareverteilung optimal gelöst sein. Die Sicherheitssysteme auf den Endgeräten müssen sich über rollenbasierte Policies steuern lassen. Ebenso wichtig ist es, dass ein Systemverwalter problemlos individuelle Ad-hoc-Regeln setzen kann, im Idealfall mit zeitlich beschränkter Gültigkeit. Dies hilft etwa dann, wenn der Support einem Anwender ausnahmsweise erlauben muss, beispielsweise während einer Dienstreise eine Anwendung zu installieren. Je länger nämlich Endgeräte außerhalb des Firmennetzes autonom funktionieren sollen, desto wahrscheinlicher treten Probleme auf, die der Anwender ohne Administrationsrechte nicht lösen kann. Der Support als Anlaufstelle ist dann höherer Beanspruchung ausgesetzt. Kann er Schwierigkeiten nicht aus der Welt schaffen, wächst die Gefahr, dass das IT-Personal zu unausgegorenen Work - arounds greifen muss oder der Anwender selbst versucht, die hinderlichen Sicherheitsmechanismen zu umgehen. Für den Systemverwalter ist es außerdem wichtig, dass er den Status jedes geschützten Geräts jederzeit auf einfache Weise abfragen kann. Wo bereits zentrale Sicherheits- Managementsysteme oder Gruppenrichtlinien existieren, ist es von Vorteil, wenn sich eine Endpoint-Security-Lösung in das entsprechende Umfeld so nahtlos wie möglich einbinden lässt. Gewisse Freiheiten müssen bleiben Ein Endpoint-Security-Produkt sollte so viele Betriebssysteme und Plattformen wie möglich abdecken, damit keine Sicherheitslücken durch inkompatible Systeme entstehen und die Technik zukunftssicher ist. Digital Natives in den Betrieben werden in Zukunft immer nachdrücklicher fordern, die jeweils neuesten und flexibelsten Endgeräte auch für die Arbeit einsetzen zu können schon jetzt berichten Unternehmen, dass sie die vielversprechendsten High Potentials nur noch IV ix extra 7/2010

5 für sich gewinnen können, wenn sie auf diesem Gebiet und beim Internetzugriff höchstmögliche Freiheit gewähren. Oft geht die wachsende Komplexität der Endpoint-Landschaften aber auch vom Sparwillen der Unternehmen aus. Freie Mitarbeiter besetzen beispielsweise immer häufiger Kernpositionen und können die Integration eigener Geräte ins Unternehmensnetz verlangen. Manches Unternehmen denkt außerdem bereits darüber nach, sich die Investition in Notebooks zu sparen und von vornherein die Privatcomputer der Mitarbeiter einzubinden. Auf solche Systeme haben die IT- Verantwortlichen dann nur noch begrenzten Zugriff. Die schon erwähnten NAC-Funktionen zusammen mit einer sorgfältigen Rechtevergabe für Ressourcen im Netz und einer geschickten Netzsegmentierung müssen aus diesen Gründen in vielen Fällen die Endpoint-Security- Systeme ergänzen. Allein die Aufzählung der Risiken und Schutzziele zeigt, dass ohne aktive Beteiligung der Anwender das Risiko Endgerät nicht vollständig zu beherrschen ist. Mitarbeiter müssen wissen, dass sie für die Sicherheit der Informationen auf ihren Geräten mitverantwortlich sind, wie sie selbst Gefahren eindämmen können, und was bei unweigerlich auftretenden Fehlern und Pannen zu tun ist, um den Schaden zu begrenzen. Ganz ohne Awareness-Maßnahmen wird gute Endpoint- Sicherheit deshalb in Zukunft nicht auskommen. Die fließenden Grenzen zwischen Privat- und Berufsleben haben aus diesem Blickwinkel auch einen Vorteil: Immer häufiger haben die Sicherheitsverantwortlichen von Unternehmen die Chance, die Aufmerksamkeit der Mitarbeiter zu gewinnen, weil diese erkennen, dass sich die im Unternehmen gelernten Sicherheitslektionen ebenso fürs Privatleben ein - setzen lassen. Wie man gute Awareness-Maßnahmen gestaltet, zeigt der Beitrag Geschärfte Sinne in ix 4/2010. (sf/ur) Bettina Weßelmann ist freie IT-Journalistin in München. Man kann seinem Glück vertrauen. Oder seiner secunet wall. Die ganze Leistungsstärke des Unified Threat Managements Optimale Performance zu einem erstklassigen Preis: Die secunet wall 2 vereint vollständige Netzwerk-, Web- und Mail-Sicherheit in einer All-in-One-Appliance. Sie überzeugt durch technisch Funkti zukunftsweisende Funktionen wie einfaches Management, zahlreiche Skalierungsmöglichkeiten, automatische Updates und Reports sowie umfangreiche Service-Optionen. Für den perfekten Rundumschutz Ihrer Daten. IT-Sicherheitspartner der Bundesrepublik Deutschland Transporthindernis Data Leakage Prevention: Schutz von innen nach außen Sollen vertrauliche und geschäftsrelevante Daten geschützt werden, so kommen Unternehmen nicht um Data Leakage Prevention herum. Doch Software allein löst das Problem nicht. Erst die Kombination von Richtlinien, internen Prozessen und die Wahl einer passenden Technik kann das Abfließen von Daten eindämmen. Als Schutz vor Datenverlust reichen Anti-Viren-Software und Firewall allein nicht aus. Das ungewollte Abfließen ix extra 7/2010 von Daten aus einem Unternehmen sollen Produkte verhindern, die man mit dem Kürzel DLP verbindet. Weder Experten noch Hersteller sind sich einig, wofür es genau steht: Neben dem häufig gebrauchten Data Leak Prevention finden sich die Begriffe Data Leakage Prevention oder Data Loss Prevention. Es gibt Fachleute, die diese Begriffe synonym einsetzen und andere, die unterscheiden, ob Daten mit Vorsatz entwendet werden (Data Loss) oder ob sie versehentlich aus dem Firmennetz abhanden kommen (Data Leak). Doch gleich, wie die Beschreibung lautet, es geht immer um eine Sache: Daten und Informationen verlassen das Unternehmen, ohne dass dies erlaubt oder gewünscht ist. Dabei ist es gleichgültig, ob die Daten absichtlich durch V

6 Diebstahl, unabsichtlich durch einen Mitarbeiter oder unbemerkt durch fehlerhafte Hardoder Software verloren gehen. IT-Verantwortliche müssen also nach Möglichkeit den kompletten Datenverkehr in die Firma hinein und aus ihr heraus so lückenlos und effizient es geht überwachen. Das sollte außerdem so geschehen, dass es die tägliche Arbeit der Anwender weder behindert noch verzögert. Um Schutzmaßnahmen gegen den Datenverlust einzuführen, gilt es zunächst festzustellen, auf welchen Wegen Daten die Organisation verlassen können. Einer von ihnen wird durch einen neuen Trend begünstigt: die Vermischung privater und beruflicher Daten auf den Arbeitsgeräten. Das betrifft alle mobilen Geräte, die ein Anwender nicht ausschließlich in der Firma einsetzt. Ist es auf einem firmeneigenen Notebook noch relativ einfach, private Daten von geschäftlichen zu trennen, so kann wohl kaum ein Anwender eines Smartphones behaupten, er könne auf Anhieb zweifelsfrei die Firmen- von den Privatdaten darauf trennen ein Alptraum für die IT-Verantwortlichen, die keinerlei Einfluss auf die Speicherung der Daten auf diesen Geräten haben. Hinzu kommt, dass die Grenzen der Firmennetze immer durchlässiger werden: Partner, freie Mitarbeiter und Auftragnehmer sind nur einige Beispiele für Unternehmensfremde, die Zugriff auf Teile der Daten im Netz benötigen. Schließlich gibt es einen weiteren Kanal, über den Informationen aus dem eigenen Netz abfließen können: Anwendungen, die auf den sozialen Netzwerken im Internet basieren. Leider wird in der Zwischenzeit eine fast unüberschaubare Menge an Lösungen und Pro- ANBIETER VON PRODUKTEN MIT DLP-FUNKTIONEN Hersteller Produkt Website apsec Applied Security fideas file enterprise Centennial Software DeviceWall CenterTools DriveLock Check Point Check Point Data Loss Prevention Code Green Networks TrueDLP Computer Associates CA DLP CoSoSys Endpoint Protector Cryptzone Simple Encryption Platform CTH Technologies SecureCare DeviceLock DeviceLock EMC RSA Data Loss Prevention Suite FCS Fair Computer Systems Security.Desk Fidelis Security XPS GFI GFI EndPointSecurity GTB Technologies DLP Suite Infowatch Traffic Monitor, Device Monitor, CryptoStorage IronPort Ironport Data Leakage itwatch Endpoint Security Suite Lumension Data Protection McAfee Network DLP Manager/Prevent/Monitor Mobilegov Device Authenticator Pro Netezza Mantra NextLabs Enterprise DLP Palisade Systems PacketSure PGP PGP Endpoint Proofpoint Proofpoint Prosoft Safend Data Protection Raytheon SureView Safend Safendprotector Smarsh smarshdlp Sophos Data Loss Prevention Symantec Data Loss Prevention Tetraguard tetraguard.professional Trend Micro Data Loss Prevention Trustwave Vericept Data Loss Prevention Solution Verdasys Digital Guardian Websense Data Security Suite Die Übersicht erhebt keinen Anspruch auf Vollständigkeit. VI ix extra 7/2010

7 grammen angeboten, die sich alle auf die eine oder andere Weise mit dem DLP-Label schmücken: So vermarkten Hersteller unter diesem Schlagwort etwa auch Produkte zur Datensicherung oder -verschlüsselung sowie solche, die reine Endpoint Security bieten. Teilaspekte des Problems kann man mit solchen Werkzeugen sicherlich in den Griff bekommen: Beispielsweise kann eine Software, die eine Kontrolle der verschiedenen Endgeräte erlaubt, einigermaßen wirkungsvoll die Mitnahme von Daten unterbinden. Die Anwender sind dann nicht mehr in der Lage, Daten auf einen USB-Stick zu kopieren. Aber diese Techniken schützen nicht davor, dass solche Informationen das Netz via FTP, Web-Mail oder mittels eines in den Firmenrichtlinien zugelassenen Endgerätes trotzdem unbemerkt verlassen. Ein weitverbreiteter Irrtum besteht darin, dass ein Schutz gegen das Abfließen von Daten allein durch eine weitgehende Kontrolle der End- und Ausgangspunkte des Netzwerks zu erreichen sei. Aber eine gute DLP-Lösung muss viel weiter gehen, denn sie sollte jedes Risiko aufdecken, das von Daten oder deren falscher Verwendung ausgehen kann unabhängig davon, wo die Daten sich befinden. Je nach Gefährdung muss sie die erforderlichen Kontroll- und Benachrichtigungsmaßnahmen auslösen. Missbrauchshürde höher setzen Dies führt zur ebenfalls falschen und leider immer noch von einigen Anbietern verbreiteten Behauptung, dass eine DLP-Lösung grundsätzlich den Datendiebstahl oder den unbeabsichtigten Abfluss von Daten aus einem Unternehmen verhindern könne. DLP ist kein Werkzeug, das Datendiebstahl grundsätzlich unterbinden kann. Mit DLP bekommen die IT-Verantwortlichen aber eine Technik an die Hand, mit deren Hilfe sie den Umgang mit sicherheitsrelevanten Daten besser kontrollieren und verifizieren und somit die Hürden für einen möglichen Diebstahl erhöhen können. Dazu ist es zunächst erforderlich, festzustellen, welche Daten im Netz besonderen Schutz benötigen und welche Anwender welchen Zugriff auf diese Informationen haben dürfen. Diese Kriterien sind je nach Firma und Organisation sehr unterschiedlich und müssen durch entsprechende Richtlinien individuell bestimmt werden: Was für das eine Unternehmen einen Angriff auf Firmengeheimnisse bedeutet, kann in einem anderen Netzwerk zum normalen Arbeitsalltag gehören. DLP-Produkte unterscheiden sich grundsätzlich in der Art und Weise der technischen Umsetzung dieses Schutzes. Dies betrifft zunächst die Frage, wie sie überhaupt erkennen können, dass Daten unerlaubt aus dem Netz abfließen. Dazu kommt im Prinzip bei allen aktuellen Produkten eine von zwei Techniken kontextbasierte Überprüfung oder Überprüfung des Inhalts zum Einsatz. Sag mir, wo die Daten sind Beim kontextbasierten Ansatz ist das Ausschlaggebende für die Erkennung unerlaubter Handlungen der Ort, an dem die Daten gespeichert sind, oder eine bestimmte Aktion des Anwenders. Ein solcher Auslöser könnte etwa das Kopieren von Dateien sein, die sich auf einem genau spezifizierten Server- Share befinden. Auch das Kopieren von Daten auf einen USB-Stick würde ein derartigen Produkt erkennen und melden. Genau hier setzt häufig die Kritik an den kontextbasierten Produkten an. Sie können zwar grundsätzlich erkennen, dass Daten bewegt werden, aber nicht, um welche es sich handelt. Um dieses Manko auszugleichen, greifen Hersteller solcher Produkte häufig auf andere Methoden zurück, etwa auf Device Access Control. Mit einer Inhaltsprüfung lässt sich dieses Problem aber besser bewältigen. Hier ist es der Inhalt der Daten, der den Ausschlag gibt, ob ein Transfer oder auch nur Zugriff auf Daten erlaubt oder verboten ist. Allerdings ist auch dieser Ansatz kein Allheilmittel. Wer hundertprozentig sicher sein will, dass keine Daten ungewollt das Netzwerk verlassen, wird dieses Ziel mit einer Inhaltsprüfung, die nur einfache Muster und Zeichenkette innerhalb der Dateien vergleicht, nicht erreichen. Einen sinnvollen Schutz kann ein solches Produkt erst dann bieten, wenn weitere wichtige Daten mit in die Beurteilung einfließen. Dazu gehören unter anderem die Information, wer die Daten verschickt oder welche Sicherheitseinstufung das betreffende Dokument nach den Firmenrichtlinien erhalten hat. Eine Inhaltsfilterung kann nur erfolgreich sein, wenn sie mit den entsprechenden kontextbasierten Richtlinien kombiniert wird. ix extra 7/2010 VII

8 Es gibt noch eine weitere Unterscheidung, die es bei der Wahl eines DLP-Systems zu beachten gilt: Es kann hostoder netzwerkbasiert sein. Letzteres ähnelt der bei Intru - sion-detection- sowie Intrusion- Prevention-Systemen verwendeten Technik. Im Gegensatz zu IDS/IPS konzentrieren sich DLP-Systeme aber auf die inneren Angriffe und Probleme. Zudem können IDS-Systeme in der Regel zwar ein Eindringen in das Firmennetz feststellen, sie sind aber nicht in der Lage, es zu verhindern. Was IDS/IPS und die netzwerkbasierten DLP-Produkte eint, ist die Tatsache, dass sie nur den Datenverkehr auf auffällige Muster prüfen können, der über das Netzwerk die Firma verlässt alle anderen Informationskanäle bleiben ihnen verschlossen. Auch ist die Einbindung eines derartigen Produkts in ein bestehendes Unternehmensnetzwerk für den Administrator in der Regel mit sehr hohem Arbeitsaufwand verbunden. Das liegt vor allen Dingen daran, dass eine Überwachung des Netzwerks viele Kontrollpunkte (Sensoren) erfordert. Hier setzen Unternehmen eher Produkte ein, die sogenanntes Port- Mirroring moderner Netzwerk- Switches zur Überwachung der Daten beherrschen. Nachteilig dabei ist nicht nur die hohe Auslastung der Switches durch die anfallende Datenmenge, sondern auch die Tatsache, dass auf diese Art das Abwandern der Daten aus dem eigenen Netz zwar überwacht, aber nicht verhindert werden kann. Agenten sollen es richten Einige dieser Schwierigkeiten lassen sich durch hostbasierte DLP-Produkte vermeiden. Bei dieser Technik muss auf allen Endgeräten im Netz, gleich, ob Server- und Client-Systeme oder mobile Geräte, ein entsprechender Softwareagent installiert werden. Dieser überwacht auf den Geräten die Einhaltung der Firmenrichtlinien. Auch das Prinzip des Application Whitelisting, demzufolge nur vorher definierte Programme und Anwendungen auf den Systemen ausgeführt werden können, nutzt die Agententechnik. Die Sensoren auf den Endgeräten müssen für ihre Arbeit allerdings direkt in die Kernel- Module der Betriebssysteme eingreifen können. In ix extra 08/2010 Storage SAN wie sicher sind die neuen Ethernet-Techniken? Storage Area Networks (SANs) wurden auf der Basis von Fibre Channel eigens dazu erfunden, Daten auf separaten Wegen schneller und auch sicherer zu transportieren. Dem Ethernet- DIE WEITEREN IX EXTRAS: Weiterhin müssen solche Systeme in Kontakt mit einem Verwaltungsserver im Netzwerk stehen, auf dem die Zugriffsund Sicherheitsrichtlinien der Firma zur Verfügung stehen. Damit kann eine hostbasierte Lösung eine weitaus größere Zahl von unterschiedlichen Kommunikationskanälen überwachen und Unternehmensrichtlinien bis hin zur Endpunktkontrolle auf den Systemen wirkungsvoll durchsetzen. Voraussetzungen für den Einsatz Um den für die eigene Firma richtigen Typus für den Schutz der Daten zu finden, sollten sich Unternehmen vor allen Dingen von der Vorstellung befreien, die Einführung einer DLP-Lösung sei einzig und allein ein Security-Projekt. Eine umfassende DLP-Strategie kann nur als Geschäftsprozess angesehen werden, der neben der IT auch die Belegschaft und die verantwortlichen Manager sowie die Firmenjuristen und ein eventuell vorhandenes Compliance-Team einschließt. Eine solches Vorhaben sollte auf jeden Fall mit möglichst umfassenden Maßnahmen zur Protokoll blieb die keineswegs unbescheidene Aufgabe, Informationen im LAN und im Internet zu transportieren. Doch mit dem Aufkommen von iscsi und FCoP verschwimmen die Grenzen wieder. FC-SANs haben Konkurrenz bekommen. Ob auch in Sachen Security, das ist die Frage. Erscheinungstermin: 15. Juli 2010 Ausgabe Thema Erscheinungstermin 09/10 Networking Virtual Private Networks 19.ˇ08.ˇ10 10/10 Embedded Systems SE für Automotive Computing 23.ˇ09.ˇ10 11/10 Security Virenscanner gegen Malware-Trends 21.ˇ10.ˇ10 Analyse, Einordnung und Klassifizierung der vorhandenen Daten beginnen. Je exakter die Richtlinien und Klassifizierungseinstellung eines Produkts auf die Anforderungen eingehen, desto größer ist die Wahrscheinlichkeit, dass es die richtigen Daten im Netzwerk findet. Bei den meisten Produkten kommen dafür reguläre Ausdrücke infrage, mit denen man bestimmte Zeichenmuster oder Schlüsselwörter erkennen kann. Die Einstellungen sollten so gewählt werden, dass möglichst wenige sogenannte False-Positive -Meldungen anfallen, die Daten aufgrund falscher Richtlinien oder Klassifizierung irrtümlicherweise als sicherheitsrelevant einstufen. Genauso wichtig ist aber, dass keine geschäftskritischen und schützenswerten Daten durch das Raster dieser Überprüfung fallen (False Negative). DLP-Produkte können Dokumente und Dateien mit einem bestimmten Fingerabdruck, einem sogenannten Hash-Wert versehen, über den schnell und zuverlässig festzustellen ist, ob eine Datei in irgendeiner Weise verändert wurde. Diese Dokumente lassen sich dann nach den Firmenrichtlinien einstufen: Wer darf was mit welchen Dokumenten machen, oder welche Dokumente dürfen das Firmennetz keinesfalls verlassen? Schwieriger ist die Über - wachung der Firmendaten, wenn das Unternehmen eine Collabora tion-plattform wie Microsofts SharePoint einsetzt. Diese Anwendungen haben zumeist eigene Rechte- und Zugriffssteuerungen für die von ihnen verwalteten Daten. Für einen erfolgreichen Einsatz einer firmenweiten DLP-Lösung müssen die Zuständigen auch die auf dieser Plattform vereinten Informationen und Daten regelmäßig unter - suchen, klassifizieren und einordnen. (sf/ur) Frank-Michael Schlede ist freier IT-Journalist. VIII ix extra 7/2010