Data Loss Prevention

Keine Gesetzeslücken, keine Sicherheitslücken

Seite: 2/2

Firmen zum Thema

Planung ist alles

Sanctuary erweitert das standardmäßige Windows-Sicherheitsmodell um die Kontrolle von E/A-Geräten und setzt dabei auf der Kernel-Ebene an, damit die Zugangsberechtigungen nicht manipulierbar sind. Für jeden PC in der bayerischen Justiz ist auf diese Weise geregelt, welche Hardware genutzt werden kann. Gesetzt den Fall, einzelne Justizbedienstete benötigen Zugriff auf eine bestimmte Hardware, schaltet der Administrator die gewünschten Geräte oder Geräteklassen für die jeweiligen Benutzer oder Benutzergruppen frei. Sollte ein Gerät unbekannt sein und keiner der vordefinierten Klassen angehören, so greift die Software auf das restriktive Konzept des „Least Privilege Principle“ zurück.

Nur die jeweils unbedingt benötigten Rechte werden eingeräumt und User haben solange keinen Zugriff, bis explizit das einzelne Peripheriegerät für den zugriffsberechtigten Mitarbeiter freigegeben wird. Sicherheit per Whitelist-Ansatz bedeutet also, dass der Zugriff auf ein Gerät für alle Benutzer zunächst standardmäßig untersagt ist.

Deshalb ist die Projektplanung auch der wichtigste Aspekt beim Einsatz der Sanctuary-Software. Hier wird genau festgelegt, welche Behörden, Abteilungen und Mitarbeiter mit welchen externen Geräten arbeiten dürfen. Dafür war eine exakte interne Analyse notwendig, um zu viele Anpassungen im Nachgang zu vermeiden. „Die gesamte Vorplanung dauerte rund drei Monate und innerhalb nur weniger Tage konnte das Projekt abgeschlossen werden“, resümiert Stephan Wolff, Senior Consultant von Unisys. „Die jetzt verfügbare Whitelist umfasst die Signaturen aller freigegebenen Geräte und wird im Rollout vom Server auf sämtliche Rechner und Laptops übertragen.“ Heute nutzen mehr als 120 Dienststellen an über 250 Standorten die Software Sanctuary Device Control, um insgesamt 14.500 Einzelrechner in allen Justiz-Dienststellen des Freistaats Bayern abzusichern.

Bitte schreiben Sie mit!

Angesichts der hohen Zahl an PC-Arbeitsplätzen kommen auf Administratorseite neben den Sicherheitsaspekten weitere Auswahlkriterien wie Bedienungsfreundlichkeit und Kostengünstigkeit hinzu. Laufwerke müssen freigeschaltet, neue Geräte eingepflegt und in den richtigen Gerätegruppen eingefügt werden.

Das Bedienungspersonal erhält dazu elektronische Tickets, wenn neue Hardware freigegeben werden soll. Aus der Ferne können die IT-Administratoren dann direkt auf dem Rechner nachschauen, welche Berechtigungen fehlen, eine aktualisierte Konfiguration erstellen und remote anwenden. „Administrationsarbeiten beschränken sich so auf weniger als einen Tag in der Woche, weil das benutzergruppenbezogene Anwenderkonzept unnötige Arbeitsschritte von vorneherein vermeidet“, fasst Wolff seine Erfahrungen zusammen. „Zudem ist die Konsole übersichtlich und alle Administrationsarbeiten gehen schnell von der Hand. Bei weiterführenden Technikfragen haben wir mit dem Hersteller-Support gute Erfahrungen gemacht.“

Die Protokollierungsfunktionalität ist bei der Überprüfung und Durchsetzung von Compliance-Richtlinien ein entscheidender Faktor, denn dadurch lässt sich die Einhaltung gesetzlicher und branchenweiter Richtlinien auf Knopfdruck dokumentieren.

Artikelfiles und Artikellinks

(ID:2013150)