+49 (0) 8171/405-0 info@proSoft.de

Datenschleuse: Du kommst hier nicht rein!

17.
Feb
2022
Anti-Malware Scan-Engines, Data Sanitization, Datenschleuse, Datentresor, MetaDefender-Kiosk, Operational Technology, OT, Wechseldatenträgerschleuse

Auf praktischen USB-Sticks lässt sich so manches in Ihr Unternehmen bringen: Firmware- und Software-Updates für Produktion und Fertigung, sensible Unternehmensdaten, Vertriebs- und Marketingunterlagen usw. Leider aber auch Malware – und über Speichermedien übertragene Schadsoftware wird wohl auch mittelfristig zu den großen Gefahren für IT und OT zählen. Doch Abhilfe ist möglich, beispielsweise über eine intelligente Datenschleuse.

Am Flughafen haben wir uns heute wie selbstverständlich daran gewöhnt: Der Weg zum Abflug-Gate führt unweigerlich durch die Sicherheitskontrolle, an der potenziell gefährliche Gegenstände erkannt werden. Auch in Unternehmen sind Zugangskontrollen nicht unüblich, gerade in sensiblen Bereichen. Doch es lauern Gefahren, die auf den ersten Blick eigentlich ganz harmlos aussehen: Mitgebrachte Speichermedien von Mitarbeitern oder Dienstleistern etwa, also beispielsweise USB-Sticks, externe Festplatten oder Speicherkarten. Doch diese sind, man ahnt es schon, leider geradezu optimale „Wirte“ für Malware.

Wer solche Risiken wirksam abschwächen möchte, muss eine entsprechende Strategie für das gesamte Unternehmen oder einzelne, besonders gefährdete Bereiche aufsetzen. Gleich doppelt betroffen sind hier beispielsweise Entwicklungsabteilungen oder Steuerungs- und Fertigungssysteme im Industrie-Umfeld – OT-Anlagen, die in vielen Fällen nicht über konventionelle Sicherheitslösungen geschützt werden können. Ein Ausfall ist extrem teuer, geht zu Lasten der Produktivität und kann ein Unternehmen buchstäblich zum Stillstand bringen.

Generelles Verbot von externen Speichermedien in der Regel nicht praktikabel

Eines gleich vorab: Oft kommt in diesem Zusammenhang die Frage auf, ob nicht ein generelles Verbot der Mitnahme entsprechender Speichermedien ins Unternehmen die sicherste und eleganteste Lösung wäre. Denn was nicht verwendet wird, kann erst gar keine Viren, Trojaner oder sonstige Malware übertragen. Klingt in der Theorie gut, zugegeben. Allein: Ein komplettes Verbot entsprechender Datenträger ist in den meisten Fällen nicht praktikabel und häufig auch schlicht unmöglich.

Operational Technology (OT), also Fertigungs- und Produktionsanlagen inkl. deren Steuerung sind mangels Abwehrmechanismen aus gutem Grund nicht Teil der Unternehmens IT. In Laboren und Entwicklungsabteilungen werden Grundsteine für die zukünftige Entwicklung ganzer Konzerne gelegt: Durch Wirtschaftsspionage, die teilweise staatlich gefördert wird, wird versucht, neue Ideen und Technologien zu stehlen.

Nur sichere Speichermedien zulassen

Wie also einerseits für Sicherheit sorgen, anderseits Mitarbeiter, Dienstleister, Besucher und Partner nicht stärker als unbedingt notwendig einschränken? Der Königsweg besteht darin, die USB-Sticks & Co. zwar ins Unternehmen zu lassen, vorher aber einer gründlichen Sicherheitsüberprüfung zu unterziehen. Zweckmäßig geschieht dies in Form einer sogenannten Datenschleuse (auch Wechseldatenträgerschleuse genannt) – und genau hier schließt sich wieder der Kreis zum Bild der Flughafen-Kontrolle.

Was ist eine Datenschleuse?

Eine Datenschleuse funktioniert vom Grundprinzip her ähnlich wie der erwähnte Sicherheitscheck am Airport: An einer Kontrollstation, die zum Beispiel am Eingang zu wichtigen, separierten Bereichen platziert wird, werden mitgebrachte Datenträger einem umfassenden, automatischen Sicherheitscheck unterzogen. Als eigenständige Kiosk-Lösung betrieben, kann eine Datenschleuse vollständig selbsterklärend genutzt werden. Das jeweilige Medium – unterstützt werden hier verschiedenste Medien von USB-Sticks, CDs/DVDs, Flash-Speicherkarten, externen Festplatten bis hin zu Disketten – wird einfach am System angesteckt bzw. eingelegt und anschließend geprüft. Je nach Ergebnis des Malware-Scans lassen sich über Workflows verschiedene Aktionen auslösen – von der Kopie der gescannten Daten auf ein vertrauenswürdiges Medium bis hin zum Secure File Transfer in einen verschlüsseltes Datentresor.

OPSWAT Datenschleuse Hardware Kiosk

Schwarm-Intelligenz:
8 bis 35 Anti-Malware-Engines parallel

Natürlich muss sichergestellt sein, dass eine solche Datenschleuse ihrer Aufgabe auch wirklich nachkommt. Gerade beim Zutritt zu neuralgischen Bereichen müssen sich Unternehmen auf die Scan-Qualität verlassen können. False Positives sind hier ebenso problematisch wie False Negatives.

Bei der MetaDefender Kiosk Datenschleuse von OPSWAT etwa kommen aus genau diesem Grunde mindestens 8 bis 35 Anti-Malware-Engines parallel zum Einsatz. Die auf API-Ebene eingebetteten Anti-Malware Lösungen verschiedener Hersteller  aus unterschiedlichen Regionen bündeln im Gesamtpaket ihre jeweiligen Stärken bei der Schadsoftware-Erkennung durch Signaturen, Heuristik und Machine Learning.

Das „Netz“ wird dadurch so engmaschig, dass es selbst für extrem seltene oder besonders neue Malware-Varianten nahezu unmöglich wird, unerkannt zu bleiben. Die Datenschleuse ist zusätzlich in der Lage, Details zu bisherigen Scans sicher zu archivieren, wodurch ein Abgleich mit historischen Hash-Werten möglich wird. Auf diese Weise bleiben selbst Veränderungen auf Dateiebene nicht unentdeckt. Ebenso lassen sich problemlos mehr als 30 Arten von Archivdateien verarbeiten, darunter auch verschlüsselte Archive mit Passwortschutz.

Data Sanitization, Secure File Transfer und Datentresor

Zero-Day Malware wird auch durch Heuristik und Machine Learning nicht immer erkannt. Data Sanitization (Datei-Desinfektion) eliminiert die Restrisiken, indem alle eingebetteten Objekte eliminiert und kritische Dateitypen in harmlose umgewandelt werden. Über sicheren Dateitransfer werden alle unbedenklichen Dateien in einen Datentresor übertragen, der dafür sorgt, dass auch OT-Umgebungen nicht kontaminiert werden. Alle im Datentresor gespeicherten Dateien werden weiterhin mit dem Anti-Malware Multiscanner überprüft.

 

Fazit: Auch wenn so mancher IT-Verantwortliche davon träumen würde: USB-Sticks und Speicherkarten werden sich auch morgen oder übermorgen nicht verbieten lassen. Unternehmen müssen deshalb dafür Sorge tragen, dass auf ihnen zumindest keine gefährliche Software in die sensible Firmenumgebung gelangt. Eine gute Datenschleuse ist deshalb idealerweise wie ein guter Türsteher: Freundlich und umgänglich zu Stammgästen, aber im Fall des Falles auch jederzeit dazu bereit, ein nachdrückliches „Du kommst hier nicht rein!“ auszusprechen.

Chefredakteur und Geschäftsführer der ProSoft GmbH

Derweil auf

@OPSWAT: Defining, dissecting, and securing your data and web applications is central to a zero-trust policy. Download the report to get an overview of the Zero Trust Framework from Forrester: https://t.co/IZywWfLB61 https://t.co/AiHHOtL91x
@heisec: Sicherheitsupdates: Schadcode-Lücken in GPU-Treibern von Nvidia geschlossen https://t.co/8J4aKnLTdf #Nvidia #Sicherheitslücke
Neue Energieformen - neue Verwundbarkeiten #Cyberangriffe über Smart-Grid Technologien auf erneuerbare Energien #Windkraft #Solar https://t.co/fgv6SejGzJ
@heisec: Massive Angriffe auf Lücke in WordPress-Plug-in Tatsu Builder https://t.co/uyUXpXeB6z #WordPressTatsuBuilder #Cyberangriff
Studie zur Kommunikationssicherheit: 5 Tipps für sichere Kommunikation bei Webseiten https://t.co/KHVvzr8p5r #Internet https://t.co/j0g9atuMAm
1526820800300470274
@heisec: Sicherheitslücken in Sonicwall SMA 1000 und SSL-VPN erlauben unbefugten Zugriff https://t.co/5wor8hXQco #Sonicwall #Sicherheitsupdate
@heiseonline: Versicherer Hiscox: Cybercrime für deutsche Unternehmen besonders teuer https://t.co/7Zu8U3WFAe #Hiscox #Cybercrime
@BSI_Bund: 📫✉Jetzt im aktuellen Verbraucherschutz-Newsletter📫✉:

BSI: BKA meldet Rekorde bei Cybercrime-Delikten, Deepfakes werden immer beliebter & IT-Sicherheitskennzeichen jetzt auch für smarte Verbraucherprodukte.

https://t.co/pPloGBk3Vn

#DeutschlandDigitalSicherBSI https://t.co/gr9wvLY9kB
Impressionen von der #AFCEA Messe in Bonn. #ProSoft war dabei https://t.co/y7c7CixNvX
Patchday Microsoft: Windows-Schwachstelle attackiert - Domain-Controller updaten https://t.co/Ncnexm4I1L
@heisec: Jetzt patchen! F5 BIG-IP-Systeme werden aktiv angegriffen https://t.co/3mtqhyxkO6 #BIGIP #Angriffe
Enemybot: Neues #Botnet missbraucht Router und IoT-Geräte für DDoS-Angriffe https://t.co/4zLOaHfIqJ
@heisec: Nach Fehlalarm: Trend Micro gibt Tipps zur Reparatur https://t.co/9bnbsqRMcV #TrendMicroFehlalarm #Reparatur
BKA: Cyberkriminalität legt im Jahresvergleich um zwölf Prozent zu https://t.co/nsGQ6qlXG1 https://t.co/L3AyLAhZRq
Security von Prosoft sorgt für stabile OT-Systeme https://t.co/VQuruKXoPO
12 % aller Cyberangriffe erfolgen über #Ransomware Tendenz stark steigend! Im aktuellen ProSoft Blog zeigen wir, welche Strategie gegen Ransomware-Angriffe hilft https://t.co/tnieIQ0SqQ #itsecurity #Malware https://t.co/kDdy8tGTZw

Der ProBlog Newsletter

Bleiben Sie auf dem Laufenden mit unseren interessanten News, Updates und Insights
zu modernen IT-Security & IT-Infrastruktur-Lösungen.

Members Only:
Alle Newsletter-Empfänger erhalten jetzt Zugriff auf exklusive Inhalte!

Bitte füllen Sie kurz das Formular aus.
Anschließend erhalten Sie eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.

 

 
Mit der Anmeldung akzeptiere ich die Datenschutzbestimmungen der ProSoft GmbH.

 

Share This