Floppy-Disks und 3,5-Zoll-Disketten sind vollständig außer Gebrauch gekommen, und die CD ist tendenziell ebenfalls auf dem absteigenden Ast. Der vor etwa 20 Jahren erfundene USB-Stick hingegen liegt nach wie vor fest in der Hand und wird für private wie berufliche Zwecke eingesetzt. Daneben haben sich weitere Übertragungstechnologien und Speichermedien durchgesetzt. Sie erleichtern und verbessern die Verfügbarkeit von Daten enorm, aber nicht deren Vertraulichkeit.
Smartphones und Tablets, Speichermedien und Bluetooth-Geräte – sensible Daten darauf sind alles andere als sicher. Die Geräte können verloren gehen oder gestohlen werden, für Datendiebstahl oder sogar für Schadcode-Attacken auf das Firmennetz verwendet werden. Schutz bietet Device-Control-Funktionalität (DC), beispielsweise als Bestandteil von Lösungen für Data Loss Prevention.
Unsere Lösung Endpoint Protector enthält ein Modul speziell für DC-Funktionen, das die Kunden-Netze umfassend vor der Verwendung nicht erwünschter Geräte schützt. Viele der Funktionen haben wir auf Anregung unserer Kunden entwickelt; sie treffen daher ziemlich genau das, was im täglichen Betrieb wichtig und sinnvoll ist. Hier sind sechs Funktionsbereiche, die Endpoint Protector Device Control auszeichnen:
1. Granulare Einstellmöglichkeiten
Im Hinblick auf den Schutz von Daten ist es keine schlechte Idee, die Verwendung von Geräten an den Arbeitsplatzrechnern vollständig zu blockieren. Aber viele Unternehmen sind nach einem so radikalen Schritt nicht mehr arbeitsfähig. In der einen Firma müssen Mitarbeiter Unterlagen für Präsentationen auf USB-Sticks ziehen, in einer anderen Daten von mobilen Erfassungsgeräten ins System übernehmen, in einer dritten sind Datenträger ein wichtiges Medium für den Datenaustausch mit externen Stellen. Dass DC granulare Einstellmöglichkeiten bieten muss, gehört deshalb zu den Anforderungen, die wir wohl am häufigsten hören, und meist schon gleich bei der Kontaktaufnahme.
Endpoint Protector ermöglicht Granularität. Richtlinien können unternehmensweit, aber auch auf bestimmte Abteilungen, einzelne Mitarbeiter, Rechner oder Geräte angewendet werden. Dann können die DC-Richtlinien beispielsweise für Personen mit Zugriff auf sensible Daten strenger ausfallen, während die anderen größere Freiräume haben.
2. Einfache Handhabung der Lösung
Diese Anforderung hören wir meist im gleichen Atemzug mit der Granularität. Neue Lösungen müssen schnell in Betrieb genommen werden; kein Administrator hat Zeit, sich in Schulungen oder anhand des Handbuchs damit zu beschäftigen, wie er beim Einrichten von Richtlinien ans Ziel kommt. Wenn dann Wochen nach der Inbetriebnahme etwas geändert werden muss, fängt er von vorne an, sich in der Lösung zurechtzufinden, weil er in der Zwischenzeit vergessen hat, wie sie funktioniert.
Jeder Power-User kann Endpoint Protector intuitiv einrichten und bedienen. Auch wenn er wochen- oder monatelang nichts mit der Lösung zu tun hatte, kann er mit wenigen Klicks eine Ausnahme einrichten, beispielsweise wenn der berechtigte Mitarbeiter ausfällt und die Kollegen einspringen müssen.
3. Offline Temporary Password
Eine Situation, die sich im Alltag immer wieder ergibt: Mitarbeiter sind mit einem Firmen-Laptop unterwegs und müssen beispielsweise einen USB-Stick oder eine externe Festplatte anschließen. Mit Offline Temporary Passwords können Administratoren den Gerätezugriff auf Computer, die nicht mit dem Netzwerk verbunden sind, vorübergehend erlauben.
Der Benutzer fragt dann mit einer Begründung ein Passwort beim Administrator an, dieser erstellt es innerhalb von Sekunden und befristet seine Gültigkeit auf einen Zeitraum zwischen 30 Minuten und 30 Tagen. Für die Benutzer ist es damit einfacher, kurzfristig mit unerwarteten Situationen umzugehen.
4. Trust Device Levels
In vielen Unternehmen sichert die Benutzung mobiler Geräte einen reibungslosen Arbeitsablauf. Unternehmen, in denen Geräte regelmäßig an Arbeitsplatzrechner angeschlossen werden, können Geräten Sicherheitslevel auf der Grundlage ihres firmeninternen Verschlüsselungsniveaus zuweisen. Dann können sowohl firmeneigene mobile Geräte als auch andere mit hohem Schutzlevel am Arbeitsplatzrechner verwendet werden. So kann beispielsweise das Kopieren von Dateien auf diejenigen USB-Geräte beschränkt werden, die mit der Verschlüsselungslösung von Endpoint Protector arbeiten.
5. Zeit- und netzwerkabhängige Richtlinien
Diese Funktion hilft vor allem Firmen, die mit BYOD-Richtlinien arbeiten. Der Administrator kann Richtlinien für den Zugriff in Abhängigkeit von Arbeitszeit und Arbeitsort erstellen, beispielsweise für Mitarbeiter in anderen Zeitzonen, auf Geschäftsreisen oder im Homeoffice. Dabei kann er sowohl Start- und Endzeiten für die Arbeitszeit sowie Arbeitstage als auch Netzwerk-DNS und ID über die Management-Konsole einrichten und sicherstellen, dass sensible Daten auch außerhalb des Firmennetzes geschützt bleiben.
6. Reports
Endpoint Protector Device Control überwacht nicht nur die Verwendung von Geräten an den Arbeitsplatzrechnern im Firmennetz, sondern dient zugleich als Reporting- und Analyse-Tool. Unternehmen erfahren, wer welche Dateien auf welches Gerät kopiert hat, können alle Versuche, sensible Daten auf nicht zugelassene Geräte zu kopieren, nachvollziehen und sehen, welche Vorgänge geblockt wurden.
Eine regelmäßige Auswertung der Aktivitäten ermöglicht dem Unternehmen, Änderungen bei der Verwendung von Geräten wahrzunehmen und etwaige Schwachstellen zu identifizieren, auf die es mit der Anpassung von Richtlinien reagieren kann. Darüber hinaus können Protokolle und Berichte für Audits und als Compliance-Nachweis exportiert werden.