Lösungen für Gerätekontrolle dienten ursprünglich dem Schutz von Rechnern und Firmennetzen vor Schadcode von mobilen Datenträgern. Heute gehört Device Control zum Basis-Schutz vor unerwünschtem Datenabfluss.
Früher waren mobile Datenspeicher, häufig USB-Sticks, eine der wenigen Möglichkeiten, Daten von A nach B zu schaffen, wenn man sie nicht per Mail verschicken konnte oder wollte. Allerdings entpuppten sich die Speichermedien als Virenschleudern und waren den IT-Administratoren deshalb ein Dorn im Auge. Unterbinden ließ sich ihre Verwendung, indem man beispielsweise die Ports physisch verschloss. Das war aufwendig und nicht wirklich sicher, da Peripheriegeräte wie Tastatur und Maus offene USB-Ports benötigen.
Vom Schutz vor Schadcode zum Schutz sensibler Daten
So schlug die Stunde für Software für Gerätekontrolle, die mit Whitelists für zugelassene Geräte arbeitete. Sie konnte diese Aufgabe differenzierter wahrnehmen als Portverriegelungen und erhöhte infolgedessen die Sicherheit. Im Lauf der Jahre hat sich die Funktionalität der Gerätekontrolle verfeinert und auf immer mehr Geräte ausgedehnt, zudem hat sich ihr Aufgabenschwerpunkt verschoben: Device Control (DC) wird verwendet, um unerwünschten Datenabfluss über mobile Datenspeicher zu verhindern; der Schutz vor Schadcode ist dahinter zurückgetreten, aber immer noch ein hochwillkommener Nebeneffekt.
Heute stehen dank cloud-basierter Tools für Datenaustausch und Kollaboration Alternativen zum USB-Stick für den Datentransport zur Verfügung. USB-Geräte haben jedoch nicht ausgedient. Zunehmend kommen neue mobile Geräte für unterschiedlichste Zwecke auf den Markt und werden für Datentransfers oder zum Aufladen an Arbeitsplatz-Rechner angeschlossen. DC hat daher nichts an seinem Stellenwert für den Endpoint-Schutz eingebüßt und wird im Zusammenhang mit gesetzlichen Regelungen zum Schutz von personenbezogenen Daten und Vorgaben zum Schutz von geistigem Eigentum immer häufiger eingesetzt. Angeboten wird die Funktionalität als eigenständige Software oder als Teil umfassenderer Security-Lösungen; sie ist Bestandteil von Lösungen für Data Loss Prevention und gewissermaßen Einsteiger-Funktionalität in den umfassenden Schutz von sensiblen Daten und Informationen.
Arbeitsweise und Funktionsumfang
Device Control ermöglicht Unternehmen, den Zugriff von Benutzern auf Geräte zu blockieren oder einzuschränken. Daten können dann nicht mehr auf Speichermedien übertragen werden und Daten, auch Schadcode, nicht mehr von mobilen Geräten ins Firmennetz gelangen. Abgedeckt wird ein breites Gerätespektrum, von USB-Speichergeräten über Apple-Geräte wie iPhones bis zu Modems, Druckern, externen HDDs und Digitalkameras. Welche das bei unserer Lösung Endpoint Protector im Einzelnen sind, enthält die Auflistung hier.
Gearbeitet wird bei DC in der Regel mit Listen für Mitarbeiter, Rechner, Geräte einerseit. Als auch mit Parametern andererseits. Die Parameter geben an, welcher Benutzer bzw. von welchem Rechner aus ein Benutzer auf welche Geräte zugreifen kann, ob der Benutzer nur lesen oder lesen und schreiben kann und in welchen Zeiträumen das möglich ist. Zudem können das Volumen für Datenübertragungen begrenzt oder Dateiformate vom Transfer zugelassen beziehungsweise ausgeschlossen werden. Je nach den Sicherheitsrichtlinien im Unternehmen werden die passenden Regeln in der DC-Lösung erstellt und aktiviert.
Häufig wird DC durch eine Verschlüsselungskomponente ergänzt. Die Daten werden beim Transfer beispielsweise auf einen USB-Stick standardmäßig verschlüsselt, so dass kein Benutzer die Verwendung der Verschlüsselungskomponente vergessen kann. Dann sind die Daten bei einem Verlust oder Diebstahl des Datenträgers für Dritte unbrauchbar. Protokolle runden eine DC-Lösung ab. Was erfasst wird, kann von Lösung zu Lösung unterschiedlich sein. Als Mindestanforderung werden alle Datentransfers erfasst. Zusätzlich können die Inhalte transferierter Dateien mitgeschnitten oder auch alle Versuche, Geräte am Rechner anzuschließen, geloggt werden.
Unterschiede zwischen DLP-Lösungen
DC-Lösungen sind technisch ausgereifte Software-Produkte. Unterschiede zwischen Lösungen betreffen in der Regel die Granularität: Wie weit können die Regeln heruntergebrochen werden? Bis auf einzelne Rechner, Benutzer, Geräte? Die Einrichtung strenger Gerätezugriffsrechte für alle Mitarbeiter gleichermaßen ist in vielen Unternehmen nicht praktikabel. Immer wieder sind Ausnahmen notwendig, beispielsweise für Mitarbeiter, die einmalig oder regelmäßig Präsentationen auf USB-Sticks ziehen oder Fotos von einer Kamera hochladen müssen.
Bei zu geringer Granularität der Lösung besteht die Gefahr, dass die Richtlinien verwässert werden, weil nach einiger Zeit dann doch ganze Gruppen oder Abteilungen Rechte haben, die eigentlich nur für bestimmte Personen gelten sollen, und unerwünschte Gerätetypen oder Geräte anschließen können. Auch beim Umfang der kontrollierten Geräte kann es große Unterschiede geben. Zudem decken die einzelnen Lösungen die verschiedenen Betriebssysteme in unterschiedlichem Maß ab. Firmen, die macOS- oder Linux-Rechner einsetzen, sollten prüfen, ob ihr Produkt-Favorit diese im notwendigen Umfang in den Schutz einbezieht, damit nicht ungewollt Lücken entstehen.
Angesichts strenger Datenschutz- und IT-Sicherheitsgesetze gehört Device-Control zum Basis-Schutz in Unternehmen wie Virenschutz und Firewall. Als technisch ausgereifte Lösungen mit ausdifferenzierter Funktionalität ermöglichen sie Unternehmen die Überwachung und Regulierung von Datentransfers von und zu Speichermedien, ohne die Produktivität der Mitarbeiter einzuschränken, und schließen zugleich ein Einfallstor für Schadcode.