Betriebssystem unabhängige IT Sicherheitslösungen für AD, NDS, Workgoup, LDAP, ... Umgebungen, bietet z.B. der Hersteller cynapspro - verwaltet in einer zentralen Management Oberfläche (Revisionssicher nach Basel II/ Sarbanes-Oxley). Mandantenfähig dank administrativen Rollen und Multi Domain Unterstützung.
(http://cynapspro.com)
Hier ein Anwendungsbeispiel um das Risiko "Datenklau über externe Speichermedien" pro-aktiv ohne größere Betriebskosten und Arbeitsausfälle einzugrenzen.
Zentrales und intuitives Device Management:
(Beispiel: http://cynapspro.com/DE/products/devicepro)
Nicht jeder Mitarbeiter muss alle Geräte verwenden dürfen.
Lassen Sie nur autorisierte Geräte (wie USB Sticks, CD/DVD, Floppy, Bluetooth, IrDA, WLAN, Smartphones, etc.) nach den Kriterien Seriennummer, VolumeID, HardwareID oder Name mit Voll-, oder Lesezugriff zu.
Ein zentraler Gerätescanner vereinfacht Ihnen hierbei die Administration.
Sorgen Sie dafür, dass der Mitarbeiter im Zweifelfall schnellst möglich noch nicht autorisierte Geräte verwenden darf, um Arbeitsausfall zu vermeiden. Somit sollten Rechteänderungen ohne Eingreifen des Mitarbeiters (wie Neustarts, An-/Abmelden, Kommandozeilenbefehle - z.B. erforderlich bei Group Policies) am Client greifen. Offline Unterstützung, falls der Mitarbeiter außer Haus ist, sollte auch mittels Freischaltungscode (u.a. temporär), Challenge Response, Import/Export Funktion gegeben sein.
Stellen Sie sicher, dass nicht alle Dateien oder Dateitypen auf externen Speichermedien gelesen bzw. geschrieben werden. Blockieren Sie entsprechende Daten per Black- oder Whitelistverfahren mittels Contentheaderfilter der ganzen Firma oder einzelnen Personen oder Personenkreise.
Protokollieren Sie den Datentransfer auf externen Speichermedien nach dem 4- bzw. 6-Augen Prinzip. Damit der Administrator im Zweifelfall zusammen mit Betriebsrat, Datenschutzbeauftragten, Geschäftsführung einen Zwischenfall aufklären kann.
Ebenfalls verwirklicht ein Ticketsystem dem Administrator den Bedarf von bestimmten Konfigurationen schnellst möglich und standardisiert zu erfahren bzw. umsetzen zu können. Ein "Anmelden Als" am Client ermöglicht das schnelle Wechseln von Benutzerrechten ohne Windows Abmeldung.
Verschlüsseln Sie den Datentransfer auf externe Speichermedien:
(Beispiel: http://cynapspro.com/DE/products/cryptionpro)
Wenn Sie Ihre Device Management Lösung konfiguriert haben, so stellt sich oft heraus, dass einzelne Mitarbeiter den Zugriff auf externe Speichermedien unumgänglich benötigen. Runden Sie Ihr Device Management mit einer Verschlüsselung von externen Speichermedien ab.
Verwenden Sie am Besten Verschlüsselungsmethoden wie AES 256 Bit.
Um Arbeitsausfälle durch unnötige Authentifizierungen (wie Passworteingabe) innerhalb des Firmennetzes zu vermeiden, sollte der Mitarbeiter, ohne weitere Anmeldungen oder Passwörter als die der z.B. Windows oder Novell Anmeldungen, Daten auf externen Speichermedien direkt ohne Ausführen weiterer Anwendungen als der Windows Explorer oder ein entsprechender Datei Manager ver- und entschlüsseln können.
Es sollte egal sein, wo die Dateien abgelegt werden, sie sollten immer automatisch on-the-fly transparent verschlüsselt werden. Wenn ein Mitarbeiter beachten muss, wo er Daten ablegen muss, damit diese verschlüsselt sind, kann das Risiko "Mensch" entstehen und Daten aus versehen unverschlüsselt abgelegt werden.
Im Notfall sollen dafür berechtigte Benutzer die Verschlüsselung deaktivieren können. Nach einer bestimmten Zeitspanne sollte diese bei Inaktivität wieder aktiviert werden. Diese unverschlüsselten Datentransfers sollten seperat protokolliert werden.
Bestimmte Mitarbeiter wie z.B. aus der Geschäftsführung besitzen eventuell Daten, welche für restliche Mitarbeiter nicht zugänglich sein sollten. Hier sollte es möglich sein, dass der Mitarbeiter z.B. entscheiden darf, dass nur er berechtigt ist, seine eigenen Daten wieder zu entschlüsseln. Eventuell sollten auch Gruppen erstellt werden, welche den Gruppenmitgliedern es ermöglicht, die Daten des anderen Gruppenmitglieds und der restlichen Firma zu entschlüsseln. Nicht Gruppenmitglieder dürfen diese Daten nicht einsehen können.
Außerhalb der Firma sollten die Daten primär von Dritten nicht entschlüsselt werden. Ausnahmen sollten aber berechtigt sein, nach bestimmten Kriterien mittels Passworteingabe, welche lediglich an nicht Firmenrechnern notwendig ist, Daten zu ent- bzw. weitere zu verschlüsseln. Hierfür muss keine Anwendungsinstallation auf nicht Firmenrechnern notwendig sein.
Die Verschlüsselung muss innerhalb und außerhalb des Firmennetzwerkes Betriebssystem unabhängig sein und somit alle gängigen Windows Varianten und Editionen in 32 und 64 Bit von Windows 2000 (Client und Server) bis hin zu Windows 7 und Windows Server 2008 unterstützen.
Nice-to-have wäre in bestimmten Unternehmen eine Blacklist von Geräte, welche generell aus driftigen Gründen von der Verschlüsselung ausgeschlossen werden können.
Festplattenverschlüsselung zur Absicherung bei Verlust von Notebooks u.ä.:
(Beispiel: http://cynapspro.com/DE/products/cryptionpro-hdd)
Nicht nur über externe Datenträger, sondern auch eingebaute Festplatten können Daten in die Hände von Dritten gelangen. Es sei denn, Sie wurden entsprechend im Vorfeld verschlüsselt.
Als Verschlüsselungsmethode sollten u.a. DESX, AES 256 und Blowfish 448 zur Auswahl stehen.
Je höher die Sicherheit, desto besser. Ebenfalls sollte TPM unterstützt sein.
Empfehlenswert ist es, die komplette Festplatte zu verschlüsseln, also alle beschriebenen und unbeschriebenen Sektoren. Es besteht aber auch die Möglichkeit nur beschriebene Sektoren zu verschlüsseln.
Einen erweiteren Schutz bietet eine PreBoot Authentifizierung zur Anmeldung bevor das eigentliche Betriebssystem (z.B. Windows 2000, XP, Vista, 7) geladen werden kann.
Diese sollte die Methoden der "Benutzer Selbstinitialisierung" zur automatisierten Pflege von Anmeldedaten der PBA. Somit muss nicht eigenhändisch der Benutzer, Passwort und Domainenname für die PreBoot Anmeldung hinterlegt werden, bzw. Passwortänderungen des Windows-/Domainenbenutzers werden automatisch erkannt.
Die PBA sollte den Multi User Support und eToken bzw. SmartCard (-Reader) verschiedener Hersteller unterstützen.
Im Zweifelfall wäre es hilfreich, wenn in der PBA z.B. ein Challenge Response Verfahren ermöglicht wird, bzw. ein Master User hinterlegt werden kann.
Wenn der Rechner durch z.B. Hardwaredefekten oder defekte Systemdateien nicht mehr bootfähig ist, sollten die Daten wiederherstellbar sein. Hierfür sollte der Rechner bei z.B. defekten Systemdateien beispielsweise mittels einer WinPE oder BartPE Application gebootet werden können und per Emergency Datei und Passworteingabe PBA und FDE deinitialisiert werden.
Die Clients sollten von der Installation, Konfiguration bis hin zur Initialverschlüsselung zentral über eine Serverkomponente bzw. direkt am Client verwaltet werden können, ohne dass der Benutzer eingreifen muss.
Dies vermindert auch hier die Betriebskosten bzw. den Arbeitsausfall.
Blocken von unautorisierten Anwendungen:
(Beispiel: http://cynapspro.com/DE/products/applicationpro)
Damit z.B. wie bei dem ConfickerWurm, Ihre Firmennetzwerke nicht über USB Geräte infiziert werden können, haben Sie mit dem Device Management einen Teil beigetragen. Sollte sich dieser Wurm aber auf einem firmeneigenen USB Stick befinden, wäre es unter umständen möglich, dass dieser sich über diesen oder andere Wege installieren kann.
Um dies zu vermeiden, empfiehlt sich generell der Einsatz von entsprechenden Antiviren Lösungen. Eine gute Ergänzung zu den Antivirenlösungen ist hier u.a. eine Anwendungskontrolle. Somit können sich Viren bei einem Zero Day Attack nicht installieren. Dennoch sollte wie erwähnt eine Antivirenlösung eingesetzt werden, da sich nicht alle Viren installieren müssen (Beispiel Makroviren)
Möglichkeiten zur Anwendungskontrolle ist hier die Freigabe von Applikationen mittels MD5 Hashwert bzw. vertrauenswürdigen Objekten per Black- oder Whitelistverfahren.
Anwendungen sollten mittels Lernmodus oder manuell in Rollen- bzw. Paketdefinitionen freigegeben werden können. Ebenfalls ist im Zweifelfall ein temporärer Non-Blocking Mode gepaart mit Lernmodus und Protokollierung empfehlenswert.
Somit können zwar auf dem Rechner unterschiedliche Software installiert sein, der Mitarbeiter aber nur die für ihn bestimmten Anwendungen ausführen.
Löschen von nicht verschlüsselten Firmendaten auf magnetischen Datenträgern:
(http://cynapspro.com/DE/products/erasepro)
Haben Sie Firmendaten, welche gelöscht werden sollen, so wird meist der "Standard Windows Weg" verwendet. Nämlich über den Papierkorb. Auch nach dem Leeren des Papierkorbes können die Daten mit unterschiedlichen Tools wiederhergestellt werden.
Der unkomplizierte Weg um das einfache Wiederherstellen von Daten zu verhindern, ohne Kommandozeilenbefehle oder Windows Portierungen von Linuxbefehlen für fortgeschrittene User, ist es entweder die Datei von Anfang an zu verschlüsseln oder per automatisierte Überschreibung vor dem Löschen mit rechter Maustaste auf die Datei.
Der Administrator kann den Benutzern zentralgesteuert diese und weitere Optionen zur Verfügung stellen.
Automatisiert werden die Dateien vor dem Löschen entweder ein-, 3-, 6-, 7- oder 35fach (Peter-Gutmann-Methode) überschrieben.
Der sicherste Rechner ist ausgeschaltet!
(http://cynapspro.com/DE/products/powerpro)
Sparen Sie nicht nur Energiekosten und CO2 Ausstoß, sondern kontrollieren, wann und wie Ihre Mitarbeiter an den Firmenrechnern arbeiten dürfen.
Damit Hacker nicht nachts oder am Wochenende ungestört Angriffe auf die Rechner vornehmen können, welche von Mitarbeitern nicht ausgeschaltet wurden, können Sie zentral mit wenigen Klicks verwalten, wann bzw. wie (Standby, Hybernate, Herunterfahren) ein Rechner automatisiert aus-/eingeschaltet werden soll.
Damit bei dem automatischen Herunterfahren des Rechners nicht ungespeicherte Dokumente verloren gehen, haben Sie die Möglichkeit per autosave-Funktion die Daten vor dem Herunterfahren automatisiert zu speichern.
Legen Sie zentral fest, wann als Ausnahme (z.B. bei bestimmten Anwendungen, Prozessen, CPU Aktivität, Netzwerklast) ein Rechner nicht pünktlich herunterfahren soll, sondern erst abwartet, bis die Operation beendet wurde.
Erhalten Sie mit Einhaltung der Datenschutzrichtlinien Statistiken über die Aktivitäten der Rechner.
Minimieren Sie die Ausfallszeit, indem der Rechner komplett hochgefahren ist, bis der Mitarbeiter das Büro betritt.
Stellen Sie sicher, dass wenn z.B. eine Präsentation läuft, der Bildschirm sich nicht einfach ausschaltet.
Alles in einem!
(http://cynapspro.com/DE/endpoint-data-protection)
Die vorgestellten Lösungen werden mehr oder weniger einzelnd auf dem Markt von unterschiedlichen Tools und Mitteln angeboten. Doch nur die Lösung von cynapspro bietet all das in nur einer zentralen Management Konsole und über einen Agent für die Clients an. Darüber hinaus ist die Oberfläche für Administratoren und Enduser trotz der hohen Anzahl an Features intuitiv und effizient.
Vorteile wie sofortige Übertragung und Wirkung von Rechteänderungen über die Serverkomponente minimieren nicht nur Betriebskosten, sondern auch den Arbeitsausfall. "Der Administrator muss nicht erst suchen, bis er findet, wo welche Einstellung getätigt werden kann".
Der Agent lässt sich u.a. als MSI Paket mittels Management Konsole ausrollen und automatisiert bei Versionssprüngen updaten. Ebenfalls ist er vor Manipulationen wie Löschen von betroffenen Registryeinträgen, stoppen des Dienstes, "killen" des Prozesses, Manipulieren von Dateien und Deinstallation gesichert.
Einzige Drittsoftware, die Benötigt wird, ist ein Microsoft SQL Server, indem Daten automatisch verschlüsselt abgelegt werden. Kommunikationen zwischen Client und Server werden verschlüsselt übertragen und u.a. zur Offline Unterstützung verschlüsselt am Client gecacht. Die Netzwerkauslastung ist aufgrund eines intelligenten Push/Pull Verfahren minimal.
Eine XML Schnittstelle ermöglicht die Verwaltung aller Einstellungen von z.B. Client Management oder Help Desk Lösungen aus. Mehrere Serverinstanzen können bei Enterprise Umgebungen zur Ausfallsicherheit oder Load Balancing angelegt werden.
Weitere Technische Informationen zu den Lösungen von cynapspro finden Sie unter http://cynapspro.com/DE/technische-informationen
Die Lösungen der cynapspro wurden u.a. mehrfach mit "5-Star-Solution" SC Magazine, "Top20" Mittelstandsliste, "Innovations Produkt" initiative Mittelstand, "Protect Star Award" international ausgezeichnet.
Keine Kommentare:
Kommentar veröffentlichen