Kurztest: USB Portblocker
7. März 2016Wenn in den Unternehmen mit sehr sensiblen Kundendaten, Entwicklungsdateien oder sonstigen schützenswerten Geschäftsgeheimnissen umgegangen wird, können „Datenlecks“ extrem heikel werden. Zum einen ist es möglich, dass wertvolle Unternehmensdaten aus Versehen in falsche Hände gelangen, etwa falls ein Mitarbeiter „seinen“ USB-Stick mit den Bilanzen oder Arbeitsverträgen auf dem Parkplatz oder in öffentlichem Verkehrsmittel verliert. Zum anderen kommt es immer wieder vor, dass Daten mutwillig und gezielt kopiert und aus den Firmen geschmuggelt werden. Dabei handelt es sich meistens um enttäuschte oder bereits gekündigte Mitarbeiter, oder –im vermutlich schlimmsten Fall – um Wirtschaftsspionage. Je nach Unternehmensbereich kann es aus den genannten Gründen vorkommen, dass USB-Geräte erst gar nicht an die Systeme angeschlossen werden dürfen. Mit dem „USB Portblocker“ von Inline stellen die Systembetreuer dies sicher, und blockieren USB-Ports auf mechanischem Wege. Das Labteam von NT4ADMINS hat die Lösung genauer unter die Lupe genommen.
Während es in bestimmten Firmen und Abteilungen Gang und gebe ist, Dateien auf USB-Sticks zu transferieren, zu kopieren und zu übertragen, so sind auch Szenarien denkbar, bei denen solche externen Massenspeicher wie USB-Sticks oder mobile Festplatten komplett unerwünscht beziehungsweise verboten sind. Anstatt nun einfach darauf zu vertrauen, dass kein Mitarbeiter USB-Speichermedien an den Arbeitsstationen nutzt, können die Administratoren unterschiedliche Wege beschreiten um dies auch sicherzustellen:
- Entsprechende Gruppenrichtlinien einsetzen,
- Geräte ohne USB-Ports beziehen, oder
- USB-Ports dauerhaft deaktivieren.
Softwarebasierte Lösungen stellen auf den ersten Blick einen vernünftigen Ansatz dar, allerdings können diese Vorgaben von den Mitarbeitern umgangen werden. Etwa wenn erhöhte Rechte aufgrund spezieller Anforderungen (bestimmte Anwendungsprogramme beispielsweise) an bestimmte Personen (-Gruppen) im Unternehmen erteilt wurden. Besonders in kleinen und mittleren Unternehmen werden „lokale Administratorrechte“ an die Mitarbeiter vergeben, zuweilen sogar Domänen-Administrationsrechte.
Um eine zusätzliche Barriere zu erzeugen, können die Systembetreuer versuchen, Systeme ohne USB-Anschlüsse einzusetzen, dies ist aufgrund d der Verbreitung dieser Schnittstelle aber (meist) unmöglich. Schließlich verfügt praktisch jedes handelsübliche Mainboard über mindestens einen oder zwei USB-Ports. Diese Ports dauerhaft unbrauchbar zu machen ist oftmals auch keine gute Alternative, spätestens wenn das System mit einem Software- oder Hardwareschaden auf den Operationstisch der Systembetreuer landet, wird eine funktionierende USB-Schnittstelle (etwa für Betriebssystemunabhängige Analyseprogramm-Testläufe) benötigt
Problemlösung: Reversible Blockierung der USB-Schnittstellen
Für diese Einsatzszenarien kommt am besten eine reversible Methode zum Einsatz. Mit dem USB-Portblocker“ steht eine kostengünstige und effiziente Lösung für derartige Probleme bereit. Dabei werden mittels eines „USB-Sticks“ spezielle „Schlösser“ in Standard-USB-Ports platziert. Diese sichern dann die Schnittstellen entsprechend ab.
Das Einstecken weitere Geräte wird so verhindert. Falls die „USB-Sperre“ aufgehoben werden soll, können die Systembetreuer die „Blocker“ wieder mit dem Stick entfernen. Damit lassen sich die bereits angesprochenen Probleme elegant umgehen, den Mitarbeitern sowie betriebsfremden Personen wird der schnelle Zugang zu USB verwehrt, Benutzer mit Administrator-Berechtigungen stehen vor einer zusätzlichen Hürde, und die Systembetreuer können die Sperre bei Bedarf mit dem entsprechenden USB-Key aufheben.
Fazit
Um Systeme wirkungsvoll gegen die Verwendung von USB-Peripherie abzusichern ist ein mehrstufiges Konzept von Nöten: Zunächst legen die Systembetreuer mit Gruppenrichtlinien fest, dass keine USB-Geräte an Domänen-Systemen verwendet werden dürfen. Weiterhin ist eine mechanischen „Sperre“ sinnvoll, um den Zugriff auf die Systeme zu erschweren. Hier bewährte sich der USB Portblocker im Test.
Aber auch die Peripherie-Geräte müssen entsprechend angepasst werden, denn was hilft es, die offenen USB-Ports zu blockieren, aber für Maus und Tastatur zwei USB-Ports zu reservieren? Schließlich kann hier ein USB-Hub zwischengeschaltet werden, oder die Ports direkt zur Datenübertragung heranzuziehen. Um nun nicht auf (inzwischen veraltete) serielle Schnittstellen zurückgreifen zu müssen, setzten die Systembetreuer hier oftmals auf drahtlose Übertragungssysteme (wie etwa Bluetooth). Die Systembetreuer sollten darauf besonderes Augenmerk legen, und sicherstellen, dass diese „Einfallstore“ ebenfalls entsprechend abgesichert werden, und die Datenübertragung standardmäßig verschlüsselt wird. Der USB-Portblocker inklusive vier Dongles ist für etwa 20 Euro erhältlich. Bezugsquellen, weiter Informationen und ein Anwendungsvideo sind auf der Herstellerseite zu finden.