Schnittstellenkontrolle erhöht Endpoint-Sicherheit
11. Juli 2018
Beim Thema „Endpoint Security“ müssen die Administratoren nicht nur die Software im Blick behalten, sondern es gilt auch die Clients physisch abzusichern. Neben den klassischen Antivirenschutz-Lösungen und Fernverwaltungs- beziehungsweise Management-Tools wird es folglich immer wichtiger, die Hardware-Schnittstellen an den Geräten abzusichern. Dazu stehen unterschiedliche Lösungen bereit, teilweise lassen sich bestimmte Schnittstellen (etwa die USP-Ports) auch mit Hilfe softwaregestützter Lösungen reglementieren. Etwa lassen mit bestimmten GPOs (Gruppenrichtlinien-Objekten) die USB-Funktionen einzuschränken.
So können die USB-Sticks zwar noch am Endgerät angesteckt werden, aber bekommen keinen Laufwerkbuchstaben zugewiesen. Der Zugriff auf diese Speichermedien wird auf diese Weise (beinahe) unmöglich. Allerdings helfen diese Lösungen nicht bei allen denkbaren Szenarien weiter, daher sollten die Systembetreuer auch einen Weg finden, um die Schnittstellen an den Client-Systemen auf der „Hardware-Ebene“ abzusichern. Hierbei lohnt sich ein Blick auf die SmartKeeper-Produktpalette.
Das Absichern von Schnittstellen auf Endgeräten erweist sich als wahre Herkulesaufgabe. Auch im Hinblick auf die Europäische Datenschutz-Grundverordnung (EU-DSGVO) sollten die Unternehmen sicherstellen, über einen solchen IT-Grundschutz zu verfügen. Denn frei zugängliche Ein- und Ausgabeschnittstellen verringern die Gesamtsicherheit des IT-Systems:
Zum einen sollten die Mitarbeiter davon abgehalten werden, selbst mitgebrachte USB-Geräte an den Arbeitsstationen anzuschließen, um etwa „schnell mal“ Daten auf den Client aufzuspielen. Auch stellen „gefundene“ USB-Sticks ein enormes Risiko dar. Vermeintlich harmlose USB-Sticks, die etwa auf dem Firmenparkplatz von einem Mitarbeiter entdeckt wurden, könnten von Dritten mutwillig dort platziert worden sein. Steckt der neugierige
Mitarbeiter diesen gefundenen Stick an seinem Arbeitsplatz-System an, kann beispielsweise im Hintergrund eine Schadsoftware installiert werden – ohne dass die Mitarbeiter oder die Admins dies zunächst bemerken.
Zum anderen ist es dankbar, dass manipulierte Geräte oder Keylogger eingesetzt werden, um Kollegen zu bespitzeln, oder an deren Passwörter zu gelangen. Dabei geht von unzufriedenen Mitarbeitern eine Gefahr aus, etwa könnten sich diese Personen vertraulichen Informationen beschaffen, und auf einem USB-Speichermedium aus dem Unternehmen schmuggeln.
Aber auch ohne böswillige Absicht kann es zu Problemen kommen, etwa falls Mitarbeiter bestimmte Geräte ausstecken, etwa um ein anderes Device anzuschließen. Wird dies später nicht wieder rückgängig gemacht, wenden sich diese Mitarbeiter an die Administratoren: Etwa weil das entsprechende Peripherie-Gerät (Drucker, Scanner oder ähnliches) „plötzlich“ nicht mehr funktioniert – obwohl es einfach nur aus- und nicht wieder eingesteckt wurde.
In einigen Bereichen oder Fachabteilungen ist es zudem nötig, bestimmte Geräte so abzusichern, dass diese nicht entwendet werden können. Beispielsweise wenn Ein-/ Ausgabegeräte oder USP-Speichermedien in einem frei zugänglichen Bereich (etwa einem „Showroom“) an den Clients vorhanden sind, könnten diese von Besuchern entwendet werden.
Sicherheitslösungen wie SmartKeeper stellen somit auch sicher, dass bestimmte Geräte nicht einfach ausgesteckt werden können. Auf diese Weise wird eine weitere „Barriere“ geschaffen, und die meisten Gelegenheiten für einen Diebstahl bereits im Vorfeld ausgeschlossen. Zwar bietet die Lösung keinen Schutz gegen mutwillige Zerstörung, oder einem gewaltsamen Entwenden (etwa mit Hilfe des passenden Werkzeugs, etwa einem Seitenschneider), trotzdem wird eine gewisse Abschreckwirkung erzeugt.
Features im Überblick
Das Smartkeeper-System kann mit unterschiedlichen Punkten aufwarten. Wichtig ist für die Unternehmen und die Systembetreuer dabei stets, dass diese Security-Lösungen flexibel, sicher und funktional ausgeführt sind. Dazu deckt SmartKeeper folgende Funktionen ab:
SmartKeeper bietet unterschiedliche Dongles an, um häufig genutzte Schnittstellen abzusichern, An dieser Stelle sind beispielsweise Dongles für die parallele sowie die serielle Schnittstelle zu nennen, zudem lassen sich USB-Ports oder Netzwerkschnittstellen „versiegeln (LAN, SFP). Für die Grafikschnittstellen stehen ebenfalls passende Module bereit, etwa für VGA, DVI oder HDMI. Auch ist es möglich, optische Laufwerke wie DVD oder Bluray (BL) zu „sperren“. Dabei verhindert ein Plastik-Lock, dass ein optisches Medium korrekt in die Laufwerksschublade eingelegt werden kann.
Die einzelnen Dongles (Locks) lassen sich nur mit dem zugehörigen „Generalschlüssel“ entfernen – oder mittels roher Gewalt. Bei der letztgenannten Methode kommt es allerdings mit hoher Wahrscheinlichkeit zu irreparablen Schäden an den Schnittstellen. Dabei liefert SmartKeeper je nach Bedarf unterschiedlich kodierte Schlüssel und Locks aus, auf diese Weise sind verschiedene SmartKeeper-Schlüssel nicht untereinander kompatibel. Das erschwert die Manipulation, denn der Code der einzelnen Locks ist nicht von außen sichtbar, und somit kann sich ein unbefugter Dritter zwar einen SmartKeeper-Key beschaffen, allerdings nicht mit der „richtigen“ Kodierung.
Sollen USB-Ports versiegelt werden, setzen die Systembetreuer den Standard-USB-Baustein ein, und stecken diesen (mit Hilfe des SmartKeeper-Schlüssels) in den USB-Port. Nun lässt sich diese Schnittstelle nicht mehr ohne weiteres nutzen. Um den Dongle wieder zu entfernen, wird wiederum der Schlüssel benötigt. Dieser wird in die Vertiefungen des Dongles eingeschoben. Nun Fixieren die Administratoren den Schieberegler des Schlüssels auf der vordersten Position. Dadurch klappen die beiden Teile des Schlüsselbarts etwa nach „außen“, und der Dongle lässt sich nun aus dem Port herausziehen.
Weiter Dongles werden dabei ebenfalls mit Hilfe des „Standard-USB-Keys“ geschlossen. Das ist beispielsweise bei der seriellen Schnittstelle (COM-Port) gut zu sehen. Zunächst wird der untere Plastik-Teil des Dongles auf den COM-Port geschraubt, und im Anschluss daran der obere Teil des Dongles aufgesetzt. Dieser verdeckt daraufhin den Zugang zu den Schrauben, so dass diese nicht mehr herausgedreht werden können. Danach können die Systembetreuer den oberen Teil des Dongles abschließen, indem der „normale“ USB-Dongle eingesteckt, und der SmartKeeper-Schlüssel herausgezogen wird.
Ein ähnliches Vorgehen wird beim Netzwerk-Lock benötigt. Hier schieben die Administratoren zunächst ein LAN-Kabel (beziehungsweise den RJ-45-Stecker) in den Dongle, stecken diesen In die LAN-Schnittstelle, und nutzen wie bereites angesprochen den Schlüssel um den Dongle zu fixieren. Um das Netzwerkkabel nun zu lösen, öffnen die IT-Betreuer die Verriegelung mit dem Schlüssel, und drücken den kleinen schwarzen Pin auf der Oberseite: Nun lässt sich das Kabel aus der LAN-Buchse entfernen.
Neben der Möglichkeit, einzelne Ports zu sperren, stehen auch Lösungen bereit, um beispielsweise gleich mehrere Netzwerkkabel gegen ein unbefugtes Entfernen zu sichern. Das ist etwa bei Switches, Gateways oder Hardware-Firewalls nützlich.
Auch interessant ist der absperrbare USB-Stick von SmartKeeper (Secure Drive). Darauf finden beispielsweise Video-Dateien Platz, die auf einem Kiosk-System oder Vorführgerät abgespielt werden sollen. Müssen diese in regelmäßigen Abständen aktualisiert werden, bietet sich eine solche Lösung an. Dann entnehmen die Administratoren den Stick zur gegebenen Zeit, aktualisieren die Daten, und stecken den Stick erneut an, und verriegeln den Datenträger. Auf diese Weise verschwinden die USB-Speichermedien nicht auf „ominöse Weise“. Zwar könnte man dieses Problem auch mit einem gemappten Netzlaufwerk oder einer entsprechenden Netzwerkfreigabe lösen, oftmals werden diese Vorführsysteme allerdings als „Insellösung“ betrieben, sprich ohne Internet- oder Netzwerkverbindung.
Mit dem Secure Drive ist es zudem möglich, den Offline-Datentransport zu reglementieren. Denn bestimmte Konstellationen machen es nötig, Daten per USB-Stick zu transportieren. Allerdings funktioniert dieser Speicherstick nur, falls ein SmartKeeper-USB-Adapter zwischengeschaltet ist. Steckt man das Speichermedium ohne (ebenfalls absperrbares) Zwischenstück an ein System, wird das Laufwerk nicht erkannt. Auf diese Weise können die Systembetreuer dem unkontrollierten Datentransfer ebenfalls einen Riegel vorschieben. Als angenehmer Nebeneffekt dürften beim Einsatz der Lösung die Anzahl der versehentlich verlorenen Sticks im Unternehmen zurückgehen – schließlich wird der Stick ohne passendes Zubehör quasi unbrauchbar. Daher dürfen die meisten „eigennützigen“ Verlustmeldungen (bei denen die Mitarbeiter den angeblich verlegten Stick zuhause nutzen) deutlich zurückgehen.
Fazit
Mit den passenden Richtlinien, Tools, Schutzlösungen, Antiviren-Komponenten und Firewalls dürften die meisten Unternehmen bereits gut ausgestattet sein. Mit den Produkten von SmartKeeper sehen sich die Systembetreuer zusätzlich in der Lage, auch auf der hardware-Ebene Barrieren einzubauen. Denn oftmals sind die Endgeräte, Server und Netzwerk-Appliances nur unzureichend gegenüber physischen Manipulationen geschützt. Zwar schützen Zugangsbeschränkungen („normale Mitarbeiter haben keinen Schlüssel für das Rechenzentrum) und dergleichen bereits vor vielen Gefahren, allerdings ist dies nicht immer ausreichend.
Besonders auf den letzten Metern (sprich den Endgeräten) greifen nicht alle Sicherheitsrichtlinien. So werden munter Peripheriegeräte ein- und ausgesteckt, USB-Sticks genutzt, oder im schlimmsten Fall Hardware-Keylogger zwischen Keyboard und Rechner gesteckt, um zu spionieren. Mit den Dongles von SmartKeeper lassen sich diese Gefahren und Fehlerquellen zuverlässig ausmerzen. Weitere Informationen zum Einsatz der Schutzkomponenten finden die Systembetreuer auf Youtube, zudem stehen umfassende Informationen auf der Herstellerwebseite oder per Kontakt-E-Mail-Adresse bereit.
Weitere Informationen zu den SmartKeeper-Produkten
USB-Schlösser für den USB-C-Port werden laut SmartKeeper demnächst Einzug in das Sortiment halten. Damit lassen sich insbesondere mobile Endgeräte (Smartphones und Tablets) schützen. Auch Netbooks und Notebooks mit USB-C-Port können so weiter abgesichert werden. Zudem stellt SmartKeeper einen Secure-Connector und Secure-USB für den USB-3.0-Standard in Aussicht, der mit 32 GB als Standardspeichergröße im Sortiment auftauchen wird. Darüber hinaus soll mit dem „Network-Gender“ ein weiteres Produkt erscheinen, das speziell aufgrund von Anfragen aus dem Militär entwickelt wurde. Es handelt sich um einen Netzwerkstecker, der über das Netzwerkport-Lock gesichert wird und
ausschließlich mit einem speziell und eigens konzipierten Netzwerkkabel funktioniert.
Sowohl Kabel als auch der Netzwerkstecker funktionieren nur in Kombination miteinander und können jeweils einzeln keine Daten transferieren. Parallel hierzu wird demnächst ein zusätzlicher USB-Port-Lock (Plus) vorgestellt, der den Sicherheitsstandard der USB-Schnittstellen nochmals deutlich erhöht. Zudem werden laut Hersteller Schlösser für SD-Karten-Slots, HDMI-Ports als auch für eSATA und Compact-Flash-Ports in Aussicht gestellt. Weitere Informationen dazu können Interessenten auch auf den folgenden Messe-Veranstaltungen an den SmartKeeper-Ständen in Erfahrung bringen: Security Essen: 25.-28 September 2018; Halle 8; Stand 8D52 sowie it-sa Nürnberg: 09.-11. Oktober 2018; Halle 10.1; Stand 10.1-625
