Schlagwort-Archive: Sicherheit

Wolf im Schafspelz. EgoSecure erklärt den sicheren Umgang mit USB-Sticks

Das ARD-Fernsehmagazin „MONITOR“ berichtete am vergangenen Donnerstag über eine neue Möglichkeit, Rechner via USB-Stick auszuspionieren. Demnach kann sich ein mit Malware bestückter Stick gegenüber einem Anti-Viren-Programm etwa als Tastatur, Webcam oder Netzwerkkarte tarnen. So lassen sich Informationen entweder über Screenshots mit Hilfe der Webcam oder einen Tastaturspion (Keylogger) abfangen.
Das Fazit: Die Angriffsszenarien sind unermesslich, USB-Sticks nicht mehr vertrauenswürdig – und damit als Datenträger für Unternehmen de facto ungeeignet.

Perfekte Tarnung?

Derartige Hiobsbotschaften stärken die Unsicherheit in Unternehmen. Viele sind durch den NSA-Skandal ohnehin schon beunruhigt. Doch Firmen sind solchen Manipulationsversuchen keineswegs schutzlos ausgeliefert. EgoSecure nennt die vier Grundpfeiler zum sicheren Umgang mit USB-Sticks:

1.Firmen sollten zentral festlegen, wer USB-Sticks überhaupt nutzen darf – so wird der Kreis derer, die Schadsoftware einschleppen könnten, deutlich reduziert.
2. Ebenso sollte vereinbart werden, welche Geräte zum Einsatz kommen dürfen – auf die Art können Unternehmen das Eindringen manipulierter Geräte erschweren.
3. Jegliche Schadsoftware muss nach dem Whitelist-Verfahren aktiv blockiert werden. Aktiv bedeutet nicht, dass die Schadsoftware, wie es bei einer Antivirus-Lösung der Fall wäre, bereits bekannt sein muss. Es kann grundsätzlich alles blockiert werden, was im entsprechenden Unternehmens-Netzwerk nicht zugelassen ist.
4. Nahtlose Protokollierung – Sollten Informationen dennoch verloren gehen, lässt sich über eine Protokollierung feststellen, wer wann auf die Informationen zugriff.

Laut dem MONITOR-Bericht liegt die primäre Gefahr in der Tatsache, dass ein entsprechend präparierter USB-Stick vom Sicherheits-System gar nicht als solcher erkannt wird. Diese Möglichkeit zur „Vorspielung falscher Tatsachen“ wurde von EgoSecure jedoch schon lange erkannt. „Aus genau diesem Grund kontrolliert die Lösung EgoSecure Endpoint alle Geräteklassen – nicht nur USB-Sticks sondern auch Tastaturen oder Mäuse“, sagt Sergej Schlotthauer, CEO bei EgoSecure. „Die Folge: Egal als was sich der USB-Stick ausgibt, er kann erkannt und sicher geblockt werden.“ Für eine lückenlose Abdeckung sorgt die Kategorie „unbekannt“, in der EgoSecure Endpoint all jene Devices prüft, die sich keiner bekannten Klasse zuordnen lassen. Ein weiterer Eckpfeiler im Datenschutz ist die konsequente Verschlüsselung von Informationen. Sie verhindert, dass illegal abgegriffene Daten verwendet werden können.

Fazit: Firmen brauchen Sicherheitsmaßnahmen, die sich ergänzen. So entstehen keine „blinde Flecken“ über die sich Datendiebe Zugang verschaffen können.

Völlig überraschend wurde die Entwicklung von Truecrypt eingestellt.

Die beliebte und weitverbreitete Festplattenverschlüsselungs-Software Truecrypt hat vor kurzem die offizielle Website in eine Sicherheitswarnung umgewandelt.

Auf der Webseite von TrueCrypt heißt es jetzt:

Image

TrueCrypt nimmt seine Software vom Markt und empfiehlt seinen Benutzern auf einen anderen Anbieter umzusteigen, als einziger Grund wurde die Abkündigung von Windows XP genannt.

Die TrueCrypt-Fans  verwenden das Produkt, um ganze Festplatten zu verschlüsseln, auch um Sicherheit und Datenschutz zu gewährleisten. Viele von ihnen fragen jetzt, warum die Entwicklung  so plötzlich eingestellt wurde.

Da das Datum der Einstellung  des Microsoft-Support für Windows XP bereits seit langem  bekannt ist , machte es wenig Sinn die TrueCrypt-Entwicklung so plötzlich und dazu auch ohne Warnung zu beenden.

Doch stellt sich die Frage, warum die neue für Windows, OS X und Linux verfügbare Version 7.2 nur «entschlüsseln» kann. Ist  sie nur dazu entwickelt, um den Benutzern beim Wechseln zu einem integrierten Festplattenverschlüsselungssystem auf allen unterstützten Betriebssystemen Hilfe zu leisten, für die TrueCrypt zur Verfügung stand?

Es ist seltsam, dass die Version 7.2 eine Reihe von Meldungen „TrueCrypt ist unsicher“ hat und im Allgemeinen scheint die neue Version unvollständig zu sein ohne Funktion verschlüsselte Datenträger und Laufwerke zu erstellen.

Was ist, wenn die Version 7.2 ein Fake  ist und die Website gehackt wurde. Einige vermuten es, aber es ist kaum zu glauben, dass der Hacker die TrueCrypt-Entwickler gefunden hat, ihre Schlüssel gestohlen hat  und die Webseite hacken konnte.

Ist es möglich, dass TrueCrypt-Entwickler gebeten wurden zu BitLocker überzugehen? Niemand kann sie jetzt erreichen, weil sie anonym sind.

Was ist, wenn TrueCrypt einen so großen Fehler hat, dass es einfacher ist, Downloads zu entfernen als das Problem zu lösen. Vielleicht ist es besser, sicherzustellen, dass Ihre Benutzer auf einen sicheren Anbieter umgestiegen sind, bevor Sie einen Report mit Schwachstellen veröffentlichen.

Was ist, wenn es ein Werbegag ist? Ist es nicht seltsam, das eigene Produkt zu begraben, um Aufmerksamkeit zu bekommen?

Fragen über Fragen und wir sind gespannt, ob wir je eine Antwort bekommen.

 

Tutorial: Installation von EgoSecure Endpoint

EgoSecure Endpoint bietet eine benutzer- sowie administrationsfreundliche IT Security rund um das Thema DLP. Diese Freundlichkeit begegnet Ihnen schon bereits bei der Installation. Sehe Sie wie schnell der EgoSecure Server, sowie EgoSecure Agent betriebsbereit ist.
Anschließend steht Ihnen sofort die Verwaltung der Module Access Control, Audit, Filter, Encryption (C.A.F.E.-Prinzip), sowie AntiVirus, Application Control, Data Destruction, Power Management, Mobile Device Management zur Verfügung.

Videodauer: 03,03 min
Aufnahmedatum: 25.07.2013
Sprache: Deutsch
Herausgeber: EgoSecure GmbH
Sprecher: Daniel Döring (Head of Professional Services)
http://egosecure.com

Tutorial: Zugriffe bei Kameras auf Bilder beschränken – EgoSecure Endpoint

http://www.youtube.com/watch?v=NLI1FOzwkdQ

Laut Empfehlung des Bundesamt für Sicherheit in der Informationstechnologie (BSI) wird in Behörden und Unternehmen empfohlen, den Zugriff auf USB Einzuschränken. Hierzu dient auch eine Datenschleuße, welche verhindert, dass schädliche oder unautorisierte Daten in die Infrastruktur gelangen.

Jedoch gibt es überall einige Mitarbeiter, welche direkt an ihren Arbeitsplätzen auf Daten, welche weiterverarbeitet werden, über entsprechende Schnittstellen zugreifen müssen. In diesem Beispiel sehen Sie den Fall, dass Mitarbeiter nur mit autorisierten Digitalkameras arbeiten sollen und der Zugriff lediglich auf Bilder oder Videos möglich ist.

Videodauer: 05,13 min
Aufnahmedatum: 11.07.2013
Sprache: Deutsch
Herausgeber: EgoSecure GmbH
Sprecher: Daniel Döring (Head of Professional Services)
http://egosecure.com

Aussagen der SAP Führung über die Bedrohungen von Unternehmen decken sich mit EgoSecure Produktphilosophie

Dietmar Meding, Vice President Cloud Solutions bei SAP für EMEA sieht nicht nur das Internet als „böse“ an. Die Hauptgefahr für die Sicherheit der Unternems-IT ist die Einschleusung von schädlicher Software über Datenwege wie USB, sowie selbstgestrickte IT.

„IT-Sicherheitsexperten betonen immer wieder, dass nicht das ‚böse Internet‘ die große Bedrohung für Datensicherheit und Datenschutz darstellt, sondern der ‚böse USB-Stick'“, so Meding. Diese Erkenntnis kommt jedoch nur spärlich bei IT Verantwortlichen bzw. Geschäftsleitungen an. Meist wird davon ausgegangen, dass ein normaler Virenscanner und eine Unternehmensfirewall ausreichend ist. Sieht man jedoch die Fakten, dass in Deutschland jedes 3. Unternehmen bereits schon zu einem Opfer eines Datenverlustes bzw. Datendiebstahles wurde, stellt man recht schnell fest, dass diese beiden bekannten Schutzmaßnahmen nicht mehr ausreichend sind.

Es bedarf heutzutage einen mehrschichten Schutz vor Angriffen und Risiken innerhalb und außerhalb des Unternehmens. Bei diesem Schutzsystem muss sichergestellt werden, dass Bedrohungen an allen Schnittstellen eines IT Systems deutlich minimiert werden müssen. Hierzu gehört unter anderem neben dem klassischen Virenschutz und der Firewall die Sicherung von Datenübertragungen auf Speichermedien, in das Internet, die Cloud und im Netzwerk. Sensible Daten wie Unternehmens Know-How dürfen nicht in die Hände des Mitbewerbers gelangen und die Speicherung von personenbezogenen Daten muss laut Bundesamt für Sicherheit in der Informationstechnologie (BSI) und dem Bundesdatenschutzgesetz (BDSG) vor dem Zugriff unautorisierter Personen oder schädlicher Software geschützt sein. Die Installation und Ausführung schädliche bzw. nicht bekannter Software darf im Unternehmen nicht unberechtigt gestartet werden. Rechner sollten nachts kontrolliert heruntergefahren werden, damit Sicherheitsupdates ordnungsgemäß installiert werden und der Rechner nicht unbemerkt von Hackern angegriffen werden kann. Datenträger die nicht komplett verschlüsselt sind sollten vor dem Entsorgen nach dem BSI Standard VSITR vollständig bereinigt werden.

Diese und weitere Schutzmaßnahmen bietet EgoSecure in einer zentral verwalteten Endpoint Security Lösung. Mit dem Modulen Access Control, Audit und Device Encryption wird mittels C.A.F.E.-Prinzip ein optimaler Schutz an allen Schnittstellen erreicht, ohne den Mitarbeiter unnötig in seinem gewohnten Arbeitsfluss zu stören. C.A.F.E. steht für die Initialen aus Control, Audit, Filterung und Encryption. Mit diesen Maßnahmen werden nur noch autorisierte Datenübertragungen erlaubt und im Hintergrund automatisiert verschlüsselt. Im Verdachtsfall können Datenwege betriebsratskonform nach dem 4- oder 6- Augen Prinzip nachvollzogen werden. Weitere Schutzmaßnahmen in EgoSecure Endpoint ist ein AntiViren Scanner, Application Control, Data Destruction, HDD Encryption, Mobile Device Management und Power Management.

Bei der Verwirklichung der C.A.F.E. Management Produktphilosophie achtet der deutsche IT Security Spezialist EgoSecure stets auf die Stringenz, Skalierbarkeit und Induktivität seiner Endpoint Protection Lösungen. EgoSecure bietet auf der Website http://egosecure.com eine kostenlose Testlizenz für 5 Benutzer/Rechner an.

Quellenangabe: http://www.golem.de/news/sap-nicht-das-internet-ist-boese-sondern-der-usb-stick-1305-99308.html

http://egosecure.com/de/unternehmen/aktuelles/aussagen-der-sap-fuehrung-ueber-die-bedrohungen-von-unternehmen/#.UdKJpZw6tRY