©Tumisu/Pixabay
Denn Datenschleusen an jedem einzelnen Netzwerkeingang sind wünschenswert, aber unpraktikabel.
USB-Sticks und andere tragbare Speichermedien gelten mittlerweile kaum noch als Gefahrenquelle – Bad USB sei doch schon ein alter Hut. Allerdings finden externe Speichergeräte häufiger den Weg in Unternehmensnetzwerke, als man denkt. Beim Kundentermin, in der Entwicklung, bei Wartungseinsätzen oder spontan im Büroalltag.
Typische Szenarien aus dem Alltag: Ein Techniker kommt mit Firmware-Updates in Ihre OT. Ein Designer schließt eine hochauflösende Prototyp-Präsentation direkt an. Oder ein Patient bringt wichtige Unterlagen in Form eines USB-Sticks oder einer CD zum behandelnden Arzt. Diese Datenträger ohne vorherige Prüfung an das interne Netzwerk anzuschließen, birgt große Risiken für die Sicherheit der Systeme. Zwar lassen viele Unternehmen und Organisationen externe Speichermedien beim Betreten des Gebäudes üblicherweise auf Schadsoftware scannen – über eine Datenschleuse. Doch diese allein deckt nicht alle Möglichkeiten einer Infiltration ab. Beispielsweise könnte die Person schlicht vergessen, ein Gerät vorzuzeigen. Böswillige Akteure würden absichtlich infizierte Speichermedien unterschlagen. Der Besucher könnte das Gelände auch durch einen Nebeneingang betreten und so die Schleuse umgehen.
Manifest-Dateien sorgen für IT-Sicherheit vom Start- bis zu Endpunkt
Hier kommt die Kombination aus Datenschleuse und komplementärer Data Loss Prevention (DLP) ins Spiel. Dabei wird beim initialen Scan des externen Speichermediums durch eine Datenschleuse am Eingang eine Manifest-Datei erstellt. Diese Datei zeigt das Inhaltsverzeichnis des Datenträgers und gibt an, ob und welche Dateien darauf, basierend auf dem Malware Scan virenfrei sind. Soll der Wechseldatenträger danach an einem Endgerät im Netzwerk angeschlossen werden, sucht die DLP-Lösung des deutschen Herstellers DriveLock nach dieser Manifest-Datei und erlaubt nur dann den Zugriff, wenn sie unverändert vorhanden ist und alle Dateien als „virenfrei“ klassifiziert sind. Fehlt die Datei oder sind dort auch maliziöse Dateien vermerkt, wird die Verbindung des Datenträgers mit dem Endgerät bzw. dem Netzwerk durch die DLP-Lösung automatisch blockiert – unabhängig vom Anwender und individuellen Zugriffsrechten. So fungiert die Manifest-Datei als ein digitales Siegel für die erfolgte Prüfung und Integrität des Datenträgers. Das ist besonders interessant für Unternehmen mit hohen Compliance-Anforderungen, etwa in KRITIS-Umgebungen, bei Behörden oder im verarbeitenden Gewerbe mit komplexen heterogenen IT-/OT-Umgebungen und ggf. nur mäßigen Schutzniveau.
Doch was bedeutet „sichere Prüfung“ in der Praxis, wenn es schnell gehen muss?
Gerade bei großen Datenmengen, etwa hochauflösenden Bildern oder technischen Prototypen, bedeutet jedes Bit eine längere Scan-Dauer. Gängige Datenschleusen kombinieren mehrere Anti-Malware-Engines die nacheinander scannen. Bei dieser seriellen Prüfung multipliziert sich die Scan-Dauer mit der Anzahl der Engines – sprich: es vergeht noch mehr Zeit für jeden Scan die Ihr Geschäftspartner unproduktiv warten muss. Fortschrittliche Datenschleusen wie OPSWAT MetaDefender Kiosk mit Multiscanner-Funktion erlauben dagegen paralleles Scannen. Das bedeutet, dass alle Anti-Malware-Engines gleichzeitig scannen und sich die Scan-Dauer nur nach der langsamsten Engine richtet. Mit der richtigen Kombination dieser Engines, z.B. mit einer möglichst breiten geographischen Abdeckung, spart das nicht nur viel Zeit, sondern erhöht auch die Erkennungsrate auf bis zu 99,9%.
Mit Datenschleuse, paralleler Prüfung und Manifest-Kontrolle entsteht eine durchgängige Schutzkette – vom Geräteeingang bis zur Netzfreigabe.
Mehr Informationen und aktuelle Use Cases finden Sie unter: www.prosoft.de
Disclaimer:
„Für den oben stehenden Beitrag sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Nutzer verantwortlich. Eine inhaltliche Kontrolle des Beitrags seitens der Seitenbetreiberin erfolgt weder vor noch nach der Veröffentlichung. Die Seitenbetreiberin macht sich den Inhalt insbesondere nicht zu eigen.“
