alice_photo - Fotolia
Welche Herausforderungen birgt ein Verbot von Wechselmedien?
Viele Unternehmen stehen vor der Entscheidung, wie sie mit der Nutzung von Wechseldatenträgern umgehen wollen. Ein Verbot umzusetzen, bringt auch Herausforderungen mit sich.
IBM hat ein für den gesamten Konzern geltendes Verbot von Wechseldatenträgern ausgesprochen. Dazu zählen USB-Sticks und -Laufwerke, aber auch SD-Karten, die in der firmeneigenen IT-Umgebung nicht mehr erlaubt sind. Die Mitarbeiter sollen stattdessen die intern angebotenen Dienste nutzen, um Dateien miteinander auszutauschen und zu teilen. Aber kann eine solche Vorschrift wirklich die Sicherheit in einem Unternehmen verbessern? Wie schwierig ist es für Firmen, ein solches Verbot auch wirklich unternehmensweit durchzusetzen?
Unabhängig davon, wie durchsetzbar oder effektiv eine Richtlinie sein mag, haben Unternehmen das Recht, neue Vorgaben einzuführen, die sie für richtig halten. Manche Firmen nutzen ein GRC-Programm (Governance, Risk and Compliance), um ihre Richtlinien zu priorisieren und einzuführen. Diese Art von Anstrengungen wird meist durch gesammelte Daten gestützt, die die jeweiligen Richtlinien untermauern. Häufig werden auch Erkenntnisse aus früheren Sicherheitsvorfällen sowie von anderen Anbietern erstellte Security-Reports genutzt, um die Risiken zu analysieren, denen sich ein Unternehmen gegenübersieht.
Richtlinien mit Bedacht umsetzen
Die Richtlinien einer Firma sind ein wesentlicher Teil ihrer IT-Sicherheitsstrategie. Zur Einhaltung aktueller Compliance-Vorgaben sind sie zudem meist unabdingbar, um die jeweils geltenden Gesetze, Regulierungen und andere Vorschriften einzuhalten. Eine Möglichkeit, um herauszufinden, wie durchsetzbar oder sinnvoll eine neue Direktive jedoch sein wird, ist sie vorher in einem begrenzten Pilotprojekt zu testen. In dieser Phase werden alle verfügbaren Daten gesammelt, um die Anstrengungen und Ergebnisse der Bemühungen bewerten zu können. Das alles ist Teil des üblichen GRC-Prozesses. Das eigentliche Erstellen der Richtlinie ist dabei dann nur noch ein kleiner Teil bei der Reduzierung der Risiken. Dabei muss trotzdem eine hohe Sorgfalt an den Tag gelegt werden, um das Ausmaß der Richtlinie und eventuelle Ausnahmen bestimmen zu können.
IBM hat laut Medienberichten im Frühjahr 2018 angekündigt, alle Wechseldatenträger zu verbieten und die Mitarbeiter zur Nutzung interner Netzwerk-Tools ermuntern zu wollen. Auch hier handelt es sich um eine Richtlinie, die vorher in einem begrenzten Umfeld getestet wurde. In Unternehmen wie IBM hat das dazu geführt, dass nicht nur bestimmte Geräte, sondern auch manche Software und Dienste als zu riskant eingestuft wurden. Innerhalb der IT-Umgebung des Unternehmens dürfen sie jetzt nicht mehr eingesetzt werden.
Aber nur wenn auch die dazu nötigen technischen Begleitmaßnahmen umgesetzt werden, kann ein solches Verbot zu mehr Sicherheit führen. Tragbare Speichermedien werden immer wieder in verschiedenen Angriffsszenarien genutzt. Nichtsdestotrotz müssen Maßnahmen ergriffen werden, um den Übergang zu der neuen Regelung möglichst fließend zu gestalten, so dass negative Auswirkungen vermieden werden können. Denn auch die Administratoren eines Unternehmens sind direkt betroffen, wenn sie keine Wechseldatenträger mehr verwenden dürfen, mit denen sie Betriebssysteme installieren, Daten wiederherstellen oder die sie benötigen, um andere wichtige Aufgaben zu erfüllen.
Risiken und Vorteile abwägen
Das Durchsetzen einer Richtlinie, die alle Wechseldatenträger aus einem Unternehmen verbannt, kann aus den genannten Gründen schwierig sein. Der Erfolg oder Misserfolg dieser Vorgabe hängt von den technischen Begleitmaßnahmen ab, die dafür sorgen sollen, dass das Verbot auch wirklich eingehalten wird. IBM nutzt dazu die eigene Software BigFix, die unter anderem eine Kontrolle externer Geräte ermöglicht, um alle Wechseldatenträger zu blockieren. Das erfordert jedoch, dass auf den Endgeräten der Nutzer Software zum Management dieser Vorgaben installiert wird. In der Praxis wird es auftreten, dass diese Clients nicht auf allen Geräten und von den Mitarbeitern genutzten Plattformen funktionieren.
IBM könnte natürlich zusätzlich noch eine Zugangslösung für das Netzwerk verwenden, die zuerst überprüft, ob diese Managementsoftware auf einem Client installiert und aktiv ist, bevor das jeweilige Gerät das Firmennetz nutzen darf. Alle diese Maßnahmen kosten jedoch Geld. Unternehmen sollten deswegen die Aufwendungen mit den erwarteten geringeren Risiken gegenüberstellen, um herauszufinden, ob sich für sie selbst die relativ harten Maßnahmen zum Blockieren von Wechseldatenträgern wirklich auszahlen.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
