Kleine Ursache, großer Schaden - Wie dem Einschleusen von Schadsoftware über USB-Stick & Co. entgegenwirken

By:
Posted: 1. April 2020
Category: Industrial Security , News

Hey, like this? Why not share it with a buddy?

 

Technik und Prozess führen zum Erfolg

Wichtig ist, dass es einen sauberen Prozess, eine klare Richtlinie zum Einsatz der Lösung gibt. Beispielsweise könnte dieser folgendermaßen aussehen.

Grundsätzlich ist das Einbringen von Wechseldatenträgern verboten. Ist dies nicht vermeidbar, müssen diese zuvor an der vorhandenen Datenschleuse gescannt werden und ihre Verwendung abhängig vom Ergebnis von einer befugten Person erlaubt oder untersagt werden. Zusätzlich sollten Prozesse für die erwartbaren Scanergebnisse vorab definiert werden. Etwa:

1. Das Medium wird von der Datenschleuse ZUGELASSEN: Der Scanner hat alle auf dem USB-Stick vorhandenen Dateien (incl. der in Archiven vorhandenen) auf Schadsoftware untersucht und hat keine Schadsoftware gefunden. Man kann davon ausgehen, dass auf dem Medium keine bekannten Schädlinge vorhanden sind.

2. Das Medium wird von der Datenschleuse zurückgewiesen, ein RISIKO wird gemeldet: Der Scanner hat alle auf dem Medium vorhandenen Dateien (incl. der in Archiven vorhandenen) auf Schadsoftware untersucht. Schadsoftware wurde zwar nicht gefunden, allerdings konnte mindestens eine Datei nicht oder nicht vollständig gescannt werden (z. B. nicht normgerecht gepackte oder verschlüsselte .zip Dateien, die der Scanner nicht entpacken kann). In diesem Fall muss ein festgelegter Prozess starten, der vorschreibt, was zu tun ist. Dieser Prozess kann nur vom Betreiber der Datenschleuse an Hand seiner Security Policy festgelegt werden. Möglichkeiten sind z. B.:

  • Das Medium darf grundsätzlich nicht verwendet werden.
  • Das Medium darf verwendet werden, wenn ein Entscheidungsträger dies genehmigt. Dieser Genehmigungsprozess sollte dokumentiert werden.
  • Wurden nicht benötigte Dateien beanstandet, die aktuell benötigten Dateien jedoch als „sauber“ klassifiziert, können die „sauberen“ Dateien mit Hilfe der Datenschleuse auf ein sicheres Medium kopiert werden, das nach nochmaligem Scan dann zugelassen wird.

3. Das Medium wird von der Datenschleuse zurückgewiesen, ein VIRUS wird gemeldet: Der Scanner hat alle auf dem USB-Stick oder der SD-Card vorhandenen Dateien (incl. der in Archiven vorhandenen) auf Schadsoftware untersucht und hat Schadsoftware gefunden. Auch hier sollte ein festgelegter Prozess starten, der vorschreibt, was zu tun ist. Dieser Prozess kann nur vom Betreiber der Datenschleuse an Hand seiner Security Policy festgelegt werden. Die Möglichkeiten sind z. B.:

  • Das Medium darf grundsätzlich nicht verwendet werden.
  • Die infizierten Dateien werden mit Hilfe der Datenschleuse gelöscht, danach muss das Scanergebnis nochmals bewertet werden.
  • Wurden nicht benötigte Dateien als infiziert gemeldet, die aktuell benötigten Dateien jedoch als „sauber“ klassifiziert, können die „sauberen“ Dateien mit Hilfe der Datenschleuse auf ein leeres sauberes Medium kopiert werden, das dann zugelassen wird.
Das Dashboard der KORAMIS Datenschleuse
Foto: Alles im Blick – Über das Dashboard lassen sich alle relevanten Daten abrufen.

Auch einfache Regeln helfen

Die volle Wirksamkeit entfaltet eine solche Kombination aus technischer Lösung und passenden Prozessen dann, wann dabei auch einfache, auf den ersten Blick ersichtliche Maßnahmen berücksichtigt werden. So sinkt beispielsweise das Risiko eines Vorfalls, wenn die Datenmenge auf dem Wechselmedium gering gehalten wird. Im Idealfall befinden sich auf dem Medium nur die aktuell benötigten Daten.

Grafik: Einfaches Prozessbeispiel für den Einsatz der InDEx
Grafik: Einfaches Prozessbeispiel für den Einsatz der InDEx

Related Posts