Wie effektiv ist das USB-Laufwerksverbot von IBM wirklich?

(unsicher ist eine wöchentliche Kolumne, die sich mit dem schnell eskalierenden Thema Cybersicherheit befasst.

Trotz der breiten Nutzung von Cloud-Diensten wie Dropbox ist manchmal ein praktischer alter USB-Stick der schnellste Weg, große Datenmengen von einem Computer auf einen anderen zu übertragen. Aber stellen Sie sich vor, Sie würden eines Tages zur Arbeit gehen und feststellen, dass alle USB-Laufwerke aus dem Büro verbannt wurden? Genau das ist kürzlich bei IBM passiert.

Ein kürzlich durchgesickertes Memo deutete darauf hin, dass IBM dies tun würde allen Mitarbeitern die Nutzung von USB-Sticks verbieten. Eine solche Reaktion mag angesichts des aktuellen Stands der Cybersicherheit verständlich sein, aber ist das wirklich die effektivste Strategie?

Eine schnelle Lösung für ein großes Problem

„Das ist der einfachste Weg, Ihren Hintern zu bedecken: Machen Sie eine Ankündigung, dass Sie alles zur Schau stellen wollen dass Sie eine Richtlinie eingeführt haben“, sagte Ruben Lugo, strategischer Produktmarketingmanager von Kingston, gegenüber Digital Trends. Tatsächlich, sagte er, können solche Richtlinien ein Unternehmen weit mehr behindern als dass sie ihm helfen.

„Unternehmen sind nicht darauf bedacht, von Anfang an die richtigen Ressourcen einzusetzen“, sagte er. „Es ist immer ‚Was ist die schnelle Lösung?‘ Muss ich wirklich etwas tun?‘ Und normalerweise geht es darum, Dinge zu verbieten […] Das haben wir herausgefunden beeinträchtigt tatsächlich die Produktivität und Effizienz, die die mobile Belegschaft benötigt, wenn sie unterwegs ist Feld."

In den letzten Jahren kam es zu einigen der größten Datendiebstähle und -verstöße aller Zeiten. Hunderte Millionen Menschen hinterlassen anfällig für Identitätsdiebstahl, Ausbeutung usw politische Manipulation. Dies hat dazu geführt, dass viele Unternehmen und Einzelpersonen Datenschutz und Datensicherheit im Internet ernster nehmen und sogar Politiker an einen Tisch gebracht haben, um darüber zu diskutieren, wie sie verbessert werden können. Aber nicht alle Vorgehensweisen sind unbedingt empfehlenswert. Das Verbot von USB-Laufwerken ist nur ein Beispiel für eine solche Praxis.

Das Verbot von USB-Laufwerken scheint eine einfache Möglichkeit zu sein, Lecks zu stoppen. Es macht den Datendiebstahl viel schwieriger, wenn die Personen, die mit den Daten arbeiten, sie nicht physisch aus dem Speicherort entfernen können. Einige würden jedoch argumentieren, dass eine solche Richtlinie Unternehmen wie IBM lediglich neue Angriffsmöglichkeiten eröffnet und nicht an der Wurzel des Problems ansetzt: der Verwundbarkeit ungesicherter Daten.

Pedro Bustamante, Vizepräsident für Produkte und Forschung bei Malwarebytes, teilt diese Meinung und sagte uns, dass „es auch sehr effektiv wäre, Systeme vom Zugriff auf das Internet zu trennen.“ In den meisten Fällen ist es einfach nicht praktikabel. Angesichts der Weiterentwicklung der Technologie und der Internetgeschwindigkeit stellen USB-Laufwerke derzeit ein relativ geringes Risiko dar. Die Frustration der Endbenutzer (oder Ihrer Mitarbeiter) ist die kleine Verbesserung Ihrer Sicherheitslage wahrscheinlich nicht wert.“

Der Grund für das Verbot von Wechselspeichern durch IBM sei angeblich die Reduzierung von Lecks und Datenverlusten, sei es durch absichtliche Informationsweitergabe oder durch verlegte Hardware. Wir haben IBM um einen Kommentar zum Verbot gebeten, aber keine Antwort erhalten.

So oder so ist Lugo von Kingston davon überzeugt, dass das Verbot externer Laufwerke die Menschen nicht davon abhalten wird, Daten aus dem Unternehmen zu holen, wenn sie das wollen oder müssen.

„Wo ein Wille ist, ist auch ein Weg“, sagte er. „Die Leute werden einfach anfangen, ihre eigenen zu verwenden Dropbox, ihr eigenes Google Drive Und dann fängt man an, die eigene Firewall und den eigenen Schutz zu umgehen, und das schafft eigentlich nur ein weiteres Problem.“

Die Medien kontrollieren

Nach Ansicht von Lugo wäre es für IBM und ähnliche Unternehmen weitaus besser, die physischen Medien und die darin enthaltenen Daten zu kontrollieren, als zu versuchen, die Geräte völlig zu verbieten. Er empfiehlt den Einsatz von Laufwerken wie Kingstons eigener Ironkey Geräte, die physische Schutzmaßnahmen wie Metallgehäuse und Epoxidbeschichtungen für die Laufwerke kombinieren Platine, mit hardwaregesteuerter Verschlüsselung, die die digitalen Daten völlig unlesbar macht neugierige Blicke.

Der Ironkey gehört zum äußersten Ende der von Kingston angebotenen Produkte, unabhängig von der Marke oder Marke Solange das Gerät eine hardwaregesteuerte Verschlüsselung nutzt, sollte es einen unbeabsichtigten Datenverlust nahezu verhindern vollständig. Es spielt keine Rolle, wenn ein Mitarbeiter ein Laufwerk mit sensiblen Daten verlegt, denn selbst wenn jemand es findet Wenn Sie darauf zugreifen und versuchen, auf diese Informationen zuzugreifen, wären die Daten ohne den richtigen Passcode völlig unlesbar.

Kingston verfügt außerdem über andere Maßnahmen, um den Zugriff auf diese Daten zu verhindern, wie z. B. eine Höchstzahl an Passworteingaben, die verhindert werden sollen Brute-Force-Hacking und Remote-Löschfunktionen – etwas, das einige absichtliche Lecks von verärgerten oder verärgerten Personen verhindern könnte ehemalige Mitarbeiter.

„Wir verfügen über eine Verwaltungssoftware, die die Geolokalisierung von Laufwerken ermöglicht, die Möglichkeit, die Laufwerke zu prüfen, um zu sehen, was sich dort befindet, und die Durchsetzung komplexer Passwörter“, sagte Lugo. „Wenn jemand das Unternehmen verlässt, entlassen wird oder unzufrieden ist, besteht die Möglichkeit, eine Nachricht an das Laufwerk zu senden, um es unbrauchbar zu machen und das Laufwerk zu löschen.“

Den Endpunkt kontrollieren

Die physischen Medien selbst sind jedoch nur ein Teil des Schutzes der Daten eines Unternehmens. Etwas, das eine Reihe von Wertpapierfirmen, darunter auch Unternehmen wie z Symantec, MalwareBytes, Und McAfee, die in den letzten Jahren entwickelt wurden, ist der Endpoint-Schutz.

Unter Endpoint Protection versteht man die Sicherung eines Netzwerks am Verbindungspunkt durch ein Gerät. Normalerweise kann dies der Fall sein, wenn ein neuer Laptop oder Smartphone an ein System angeschlossen ist, kann es auch auf physische Laufwerke wie USB-Geräte angewendet werden. Kingston glaubt, dass Unternehmen wie IBM dies nutzen könnten, um einen Teil des Datendiebstahls zu verhindern, den das Unternehmen mit seinem völligen Verbot verhindern möchte.

„[Endpoint Protection] ermöglicht es der Verwaltung, der IT und allen, die sich mit Cybersicherheit befassen, zu erkennen, wer Zugriff auf USB-Anschlüsse benötigt, wer Zugriff auf X-, Y- und Z-Daten benötigt“, sagte Lugo. „Dann können sie tatsächlich ein Benutzerprofil und eine Benutzergruppe erstellen, um dann nur ein bestimmtes USB-Laufwerk zuzulassen, sei es ein Kingston-Laufwerk oder … Wenn dieser Benutzer ein anderes USB-Laufwerk anschließt, prüft die Sicherheit des Endpunkts es und erkennt, dass es sich nicht um ein Problem handelt fahren. Somit kann der Benutzer keine Daten auf diesem Laufwerk hin- und hertransportieren.“

Durch die Kontrolle der physischen Medien selbst und des Kontaktpunkts, den sie mit dem internen Netzwerk haben, hat ein Unternehmen eine weitaus größere Kontrolle über die Daten, die in und aus seinen geschützten Systemen fließen, als dies der Fall ist, indem sie, zumindest vordergründig, die Nutzung jeglicher physischer Daten verbietet Medien.

Ein Teil des Neuen Gesetzgebung zur Datenschutz-Grundverordnung Das kürzlich in Kraft getretene Gesetz sieht vor, dass Unternehmen eine echte Verantwortung für Daten haben und kontrollieren, wer Zugriff darauf hat und wie sie gespeichert werden. Die Richtlinie, keine physischen Medien zu verwenden, macht es für IBM unmöglich, wirklich zur Rechenschaft gezogen zu werden, wenn jemand gegen eine solche Richtlinie verstößt und alle internen Schutzmaßnahmen umgeht.

Die Kombination aus einem verschlüsselten Laufwerk und starker Endpunktsicherheit würde eine leistungsstarke Prüfung physischer Geräte ermöglichen und so verhindern Verwendung nicht autorisierter physischer Medien und Schutz von Daten, die aus einem Netzwerk entfernt werden, indem sie für alle außer validiert unlesbar gemacht werden Parteien.

DSGVO und darüber hinaus

Jetzt wurde die DSGVO umgesetzt und ist für alle Unternehmen, die mit der EU Geschäfte tätigen, vollständig durchsetzbar Kunden müssen mehr Unternehmen denn je auf den Umgang mit der Digitalisierung achten Information. Völlige Verbote von USB-Geräten könnten ein gewisses Maß an Schutz vor einigen der härteren Bußgelder und Schlichtungssysteme bieten, die es gibt. Aber wie Lugo betont, geben sie Unternehmen nicht die Kontrolle, die sie benötigen, um ihre Daten und die ihrer Mitarbeiter wirklich zu schützen Benutzer.

Was IBM betrifft, so hofft Lugo, dass Kingston bei seinen jüngsten Richtlinienänderungen eine Wende schaffen kann, und ist bereits dabei, dies zu versuchen.

„IBM ist ein großartiges Unternehmen“, sagte er. „[Aber] einige unserer Vertriebsmitarbeiter sind im Moment [in Kontakt damit], also werden wir sehen, wie sich das entwickelt.“

Auch bei den Mitarbeitern ist es wichtig, das Bewusstsein für die Alternativen zum IBM-Verbot zu schärfen. Bustamante von MalwareBytes hat uns hervorgehoben, dass der beste Weg, ein Netzwerk zu sichern, eine Kombinationsstrategie ist bringt Menschen, Hardware und Software zusammen, um wichtige Daten und die darin gespeicherten Netzwerke umfassend zu sperren An.

„Unternehmen müssen sicherstellen, dass sie über die richtigen internen Prozesse verfügen, um mit einem Verstoß umzugehen, und dafür sorgen, dass die Mitarbeiter regelmäßig geschützt werden Schulung – schließlich sind Ihre Mitarbeiter Ihre erste Verteidigungslinie, also statten Sie sie mit dem Wissen aus, um eine fragwürdige E-Mail oder einen zweifelhaften Anhang erkennen zu können“, heißt es sagte. „Die besten Sicherheitsrichtlinien kombinieren Menschen, Prozesse und Technologie; das eine existiert nicht ohne die anderen beiden.“