Kurztest: DLP-Lösung schützt vor Datenverlust

18. August 2011

Administratoren wissen, Daten gehen nicht nur an den Grenzen des Firmen-Netzwerks „verloren“, sondern mindestens ebenso häufig innerhalb der eigenen IT-Infrastruktur. Eine ganze Reihe von Unternehmen bringt unter der Abkürzung DLP ganz unterschiedliche Lösungen auf den Markt, die helfen sollen, Sicherheitsproblemen innerhalb der Firmennetzwerke besser zu bekämpfen. Dabei geht vor allen Dingen darum, die Endpunkte in einem Netzwerk dagegen abzusichern, dass Daten verloren gehen. Wir stellen hier in einem Kurztest eines Software-Suite vor, die bei diesen Problemen helfen kann.

Bild 1.Bei der Installation kann der Administrator bereits entscheiden, welche Medien/Geräte automatisch gesperrt werden sollen
Bild 2. Auf dem Server fügt sich die Lösung direkt in die MMC (Microsoft Management Console) ein.

Die Gefahr, dass Daten an den Endpunkten eines Netzwerks verloren gehen, ist im erheblichen Maß gestiegen. So sind aktuell  alle Server-, Workstation- und auch Note/Netbook-Systeme mit einer ganzen Reihe von USB-Anschlüssen ausgerüstet, die dann wiederum nicht nur mit den in der IT üblichen Geräten verbunden werden können, sondern auch als universelle Schnittstelle für eine vielfältige Palette an Geräten aus dem Consumer-Umfeld dienen.

IT-Verantwortliche und Administratoren stehen deshalb vor der schier unlösbaren Aufgabe, die Peripherieanschlüsse ebenso wie die unterschiedlichen Geräte zum Abspielen anderer Medien abzusichern. Weiterhin gilt es die diversen Zugänge zum Internet und damit zu beliebig großen Speicherplätzen in der Wolke so kontrollieren und zu sichern, dass Anwender zwar noch ohne allzu große Einschränkungen arbeiten, dabei aber keine Daten unerlaubt oder unbemerkt die Firma verlassen können.

Installation und Konfiguration

Die amerikanische Firma DeviceLock Inc. positioniert die sogenannte „DeviceLock Endpoint DLP Suite“ als modulare Lösung für die Sicherheit sowohl in Firmennetzen als auch auf Einzelplatzsystemen. Uns stand die Suite für diesen Testbericht in der aktuellen Version 7.1.31981 zur Verfügung. Sie wurde von uns sowohl auf einem Window-7-System (Ultimate, in der 64-Bit-Version) als auch auf einem Windows Server 2008 in der aktuellen R2-Version installiert. Die Lösung wird nur und ausschließlich für Windows-Plattformen angeboten und unterstützt dabei in der Version 7.1 von Windows NT über Windows 2000, XP, Vista und Windows 7 bis hin zu den Server-Systemen Windows 2003 und 2008 alle gängigen Windows-Versionen.

Der Hersteller bezeichnet DeviceLock als eine auf Richtlinien basierende Sicherheitslösung, die es den IT-Verantwortlichen erlaubt, sehr viele Aktivitäten zu kontrollieren und auch zu steuern, bei denen Daten transferiert werden. Dazu gehören neben den Zugriffen auf Speicher- und Peripheriegeräte auch die Datenbewegungen, die über diverse Netzwerkprotokolle und –Anwendungen vonstattengehen. Während die eigentlich Devicelock-Komponente sich darum kümmerte, dass die Zugriffe auf interne und externe Speichergeräte unter Kontrolle gehalten werden, sind zwei weitere zusätzliche Komponenten der Suite dafür verantwortlich, dass auch die anderen Wege der Daten überwacht und gesteuert werden können. Diese müssen vom Anwender separat lizenziert werden und tragen die Bezeichnungen:

  • ·         NetworkLock und
  • ·         ContentLock.
Bild 3. Der Enterprise Manager das Netz beziehungsweise die Windows-Domäne nach Geräten ab, so dass der Administrator entscheiden kann, auf welchen er die entsprechenden Schutzmaßnahmen einsetzen möchte.
Bild 4. Durch die entsprechenden Richtlinien können die IT-Verantwortlichen die verschiedenen Zugriffe (wer darf wann, was tun?) sehr fein granuliert regeln.

Das Modul NetworkLock ergänzt die Anwendung dabei um die Kontrolle der verschiedenen Netzwerkprotokolle. Neben Standardprotokollen wie HTTP oder FTP können hier unter anderem auch die Verbindungen via Instant-Messaging (Windows Messenger, ICQ oder Jabber wie etwa bei GoogleTalk) sowie die Zugriffe aus Webmail und soziale Netzwerke kontrolliert und gesteuert werden. Geht es darum, die Daten im eigenen Netzwerk im Hinblick auf die Inhalte zu überwachen und so zu verhindern, dass beispielsweise vertrauliche Dokumente die Firma ungewollt verlassen, so kann dazu das Modul ContentLock zum Einsatz kommen.

Es untersucht den Inhalt der Daten, die zum Beispiel auf mobile Laufwerke und „Plug-&-Play“-Speichergeräte kopiert oder auch über das Netzwerk übertragen werden. Der Administrator erstellt dann entsprechende Regeln, die festlegen, welcher Content kopiert und übertragen werden darf.

Fazit: Tolle Software — aber nur für Profis geeignet

Es wird wohl kaum ein professionelles Windows-Netzwerk geben, das nicht mittels des Verzeichnisdienstes Active Directory verwaltet wird. Aus diesem Grund ist auch sehr erfreulich, dass der Hersteller von DeviceLock seine Lösung eng in den Verzeichnisdienst integriert hat. So war es nach der Installation auf dem Windows-Server nicht nur leicht möglich, vor dort aus einen Windows-7-Client auf unsere Testmaschine auszurollen, sondern wir konnten direkt im Editor für Gruppenrichtlinien über den neuen Knoten mit der Bezeichnung „DeviceLock“ ein Protokoll auswählen und die entsprechenden Einschränkungen konfigurieren.

Diese große Vielfalt an Möglichkeiten, die diese Lösung zu bieten hat, verursacht fast schon selbstverständlich auch eine größere Komplexität, was Einrichtung und Bedienung der Schutzmaßnahmen angeht: Zwar sollten Installation und Inbetriebnahme von DeviceLock keinen halbwegs erfahrenen Systemprofi vor ein größeres Problem stellen. Will er aber das gesamte Potenzial der Anwendungs-Suite ausnutzen, so wird sich auch der technisch versierte Systemadministrator etwas eingehender mit den Möglichkeiten und Einstellungen der Software befassen müssen. Selbstverständlich erfordert gerade das Ausrollen des DeviceLock-Dienstes via Gruppenrichtlinien vom Administrator entsprechende Kenntnisse über den Verzeichnisdienst Active Directory.

Frank-Michael Schlede/ Thomas Bär

Pro:

– Sehr gute Integration in Windows-Server-Strukturen und AD
– Regelbasierte Steuerung ermöglicht eine sehr fein granulierte
  Zugriffssteuerung auf vielen Ebenen
– Zentrale Verwaltung der Windows-Clients

Kontra:

– Hohe Komplexität erfordert Einarbeitungszeit von den Administratoren


Kontakt:

DeviceLock Europe GmbH

Halskestr. 21
40880 Ratingen
Telefon: +49 (2102) 89211-0
Fax: +49 (2102) 89211-29
E-Mail: info@devicelock.de

www.devicelock.de

Preis:

Beispiel für die komplette
DeviceLock 7.1 Endpoint DLP Suite: 68,- Euro pro Lizenz bei 50 Clients

Lesen Sie auch