Natürlich steht die USB Schnittstelle mit den daran befindlichen Memory Sticks im Bewusstsein der IT-Betreiber exemplarisch für die stetig wachsende Zahl der Geräteschnittstellen (USB, PCMCIA, Infrarot, Bluetooth, Firewire, WLAN usw.). Der Vielfalt interessanter Peripheriegeräte und dem nutzbringenden Einsatzspektrum in den wertschöpfenden Geschäftsprozessen sind keine Grenzen gesetzt. Digitale Kameras, digitale Diktiergeräte, USB-WLAN Konverter, PDAs mit Email an Bluetooth, USB oder WLAN, WebCams und viele weitere "Devices" helfen den Nutzern und dem Unternehmen, Zeit und Geld zu sparen. IT-Leiter sind daher mit komplexen Herausforderungen beim Management dieser Peripheriegeräte konfrontiert - die Sicherheit ist nur eines der anstehenden Themen. Gerade durch den Einsatz scheinbar komfortabler Betriebssysteme mit Plug & Play Mechanismen ergibt sich ein erheblicher Bedarf an Kontroll- und Steuerungsfunktionen, da der Plug&Play Kern des Microsoft Betriebssystemes (übrigens auch Vista) hier keine hochwertigen netzweiten Managementfunktionen anbietet.
Zuerst begnügte man sich mit der Kontrolle darüber, wer welches Gerät wann an welchem PC nutzen darf. Heute reicht diese Funktionalität den großen Unternehmen schon lange nicht mehr aus. Hat man nämlich die Sicherheit im Griff, müssen die Devices auch im täglichen Betrieb einfach zu managen sein. Anforderungen wie automatisierte Inventarisierung, Asset Management aller volatilen Geräte, das Device Driver Management on Demand und viele weitere Funktionen sind zu erfüllen. Nur die automatisierte Nutzung und die effiziente Einbindung in die Geschäftsprozesse der Unternehmen erlauben einen kostengünstigen Einsatz (z.B. durch Reduzierung der Calls im Help Desk). So hat beispielsweise die Polizei Bayern (siehe auch http://www.kes.info/...) das Einsparpotenzial aus der automatisierten Verarbeitung digitaler Fotos am Tatort mit den Produkten DeviceWatch, XRayWatch und DEvCon der itWatch GmbH realisiert. Trotzdem konnten die hohen durch das Justizministerium vorgegebenen Sicherheitsanforderungen voll erfüllt werden. Die Einsparungen durch die Umstellung von Polaroid auf digitale Fotografie konnten nur realisiert werden, indem die Fotos vom Entstehungsort, der Kamera, bis zur gerichtlichen Verwertbarkeit ohne weitere Interaktion durch den einzelnen Nutzer automatisiert verarbeitet werden.
Ein weiteres Beispiel verdeutlicht die Verbindung Kostensenkung, Usability und Sicherheit: Dienstbeginn des Chefarztes: vollautomatisch und revisionssicher werden die relevanten Patientendaten der vergangenen Nachtschicht auf den PDA oder Handheld geladen. Der Chefarzt legt dazu lediglich den PDA neben den Computer - die Synchronisation über Bluetooth startet automatisch, wobei Randbedingungen, wie z.B. die korrekte Verschlüsselung des PDAs, die korrekte Authentisierung an allen beteiligten Geräten und viele weitere Systemzustände automatisch vorab geprüft werden.
Der Schutz firmeneigener Informationen auf dem Transportweg birgt ein altbekanntes Spannungsfeld: der Benutzer kann zwar die Sensibilität der Information selbst am besten einschätzen, hat aber weder Expertise im Umgang mit Verschlüsselungstechnologien, noch die Zeit für eine "Sonderbehandlung" der Information. Mit nur wenigen Mausklicks erzwingt das Unternehmen die Verschlüsselung schützenswerter Daten auf dem Transportweg.
Personalisierung und Individualisierung von externen Datenträgern unterstützt das Arbeiten in kleinen (Vorstand und Sekretariat) oder großen Gruppen (Projekte) mit besonders vertraulichen Informationen. Das Auslagern und der Zugriff auf individualisierte Medien werden wiederum je Content und berechtigtem User unterstützt, so dass auch Projektrollen wie z.B. Zuständigkeiten für Finanzen oder Patente technisch abgebildet werden können.
Die Compliance oder Einhaltung der notwendigen Vorgaben aus dem Gesetz und anderen Regelwerken wie z.B. HIPAA, Bundesdatenschutzgesetz, SOX, KonTraG und vielen anderen kann dadurch nicht nur technisch unterstützt sondern auch beweissicher, also belastbar bei Prüfungen durch Dritte belegt werden.
So hat beispielsweise ein STOXX notiertes Allfinanzunternehmen seine Compliance Anforderungen auf 40.000 Notebook Arbeitsplätzen des Außendienstes mit dem Produkt PDWatch der itWatch GmbH umgesetzt.
Um den Sicherheitsanforderungen an das Plug&Play gerecht zu werden, benötigt man verschiedene zentral verwaltete Funktionen:
1. Proaktives Blockieren von Geräten und Dateien, die natürlich nicht nur an deren Namen erkannt werden sondern durch eine kundenspezifisch erweiterbare Patternprüfung individuell gefiltert werden.
2. Verschlüsselung mobiler Datenträger nach zentralen Richtlinien
3. Automatisierte Verarbeitung von CDs und DVDs außerhalb des Benutzerrechteraumes
4. Erkennung von ungewöhnlichem oder der Unternehmensrichtlinie widersprechendem Verhalten oder auch Angriffen in Echtzeit durch Intrusion Detection und geeignete Schnittstellen zu Drittsystemen
5. Maßnahmen der Beweissicherung wie Logging und Shadowing und das Aufbereiten der Auditdaten für die Revision.
Durch DeviceWatch (Gerätesicherheit), PDWatch (Verschlüsselung) ,XRayWatch (Contentkontrolle, Patternprüfung, Shadowing), DEvCon (Systems Management) und CDWatch (medienbasierte Sicherheit) sind diese Anforderungen abgedeckt.
Dem im Titel angesprochenen Kontrollverlust durch das Plug&Play begegnet man aber nicht nur durch Maßnahmen aus dem Bereich der IT-Sicherheit. Die automatisierte sichere Integration der Unternehmensprozesse, z.B. PDA-Synchronisation, ist ebenso wichtig. Unternehmensprozesse finden nicht nur auf den PCs statt (z.B. Change- und Systems-Management). Im Change Management ist es z.B. wichtig, die Veränderungen an der Security Policy nicht in der produktiven Umgebung ungetestet durchzuführen. Die Produkte müssen es ermöglichen, dauerhafte Veränderungen an der Security Policy vorher zu testen und dann nur die Änderungen automatisiert aus der Testumgebung zu übernehmen. Einfache Export- und Import-Funktionen sind wesentlich für den Langzeitbetrieb. Auch die Erstellung einer Security Policy sollte durch den Einsatz von Werkzeugen vorbereitet werden. Der DeviceWatch Scanner ermittelt den Bestand der bisher im Unternehmen verwendeten Devices, ohne auf den PCs eine Veränderung vorzunehmen. Dadurch ist die Security Policy für den IST-Stand des Unternehmens konzipiert und enthält keine überflüssigen Elemente. Noch wichtiger ist die Möglichkeit die Security Policy "sanft" in Betrieb zu nehmen. Dazu sind Benutzer-Nachrichten in Echtzeit sowohl beim Anstecken eines verbotenen als auch beim Anstecken eines "noch" erlaubten Gerätes notwendig. In den Nachrichten der "noch" erlaubten Devices wird darauf hingewiesen, dass sich die Regelung in Zukunft ändern wird - der Text kann jeweils individuelle Handlungsanweisungen mit zeitlicher Gültigkeit und Alternativen beinhalten.
Neben diesen Beispielen für Prozessintegrationen ist auch den aktuellen Themen Applikationskontrolle und Information Leakage Prevention mit diesen Produkten Rechnung getragen.
Für die "High End"-Kunden aus den Bereichen Militär, Nachrichtendienst, Stoxx, Dax und NYSE sind die Produkte besonders effizient und sicher. Der Mittelstand profitiert dabei von Funktionen, die es in nur fünf Minuten erlauben zu definieren, welche Information die Mitarbeiter auf mobilen Datenträgern nutzen dürfen.
So kann das Einbringen von Executables durch den Benutzer auf CDs, DVDs, Memorysticks, Flashkarten etc. mit nur wenigen Mausklicks effizient verhindert werden.
Zuerst begnügte man sich mit der Kontrolle darüber, wer welches Gerät wann an welchem PC nutzen darf. Heute reicht diese Funktionalität den großen Unternehmen schon lange nicht mehr aus. Hat man nämlich die Sicherheit im Griff, müssen die Devices auch im täglichen Betrieb einfach zu managen sein. Anforderungen wie automatisierte Inventarisierung, Asset Management aller volatilen Geräte, das Device Driver Management on Demand und viele weitere Funktionen sind zu erfüllen. Nur die automatisierte Nutzung und die effiziente Einbindung in die Geschäftsprozesse der Unternehmen erlauben einen kostengünstigen Einsatz (z.B. durch Reduzierung der Calls im Help Desk). So hat beispielsweise die Polizei Bayern (siehe auch http://www.kes.info/...) das Einsparpotenzial aus der automatisierten Verarbeitung digitaler Fotos am Tatort mit den Produkten DeviceWatch, XRayWatch und DEvCon der itWatch GmbH realisiert. Trotzdem konnten die hohen durch das Justizministerium vorgegebenen Sicherheitsanforderungen voll erfüllt werden. Die Einsparungen durch die Umstellung von Polaroid auf digitale Fotografie konnten nur realisiert werden, indem die Fotos vom Entstehungsort, der Kamera, bis zur gerichtlichen Verwertbarkeit ohne weitere Interaktion durch den einzelnen Nutzer automatisiert verarbeitet werden.
Ein weiteres Beispiel verdeutlicht die Verbindung Kostensenkung, Usability und Sicherheit: Dienstbeginn des Chefarztes: vollautomatisch und revisionssicher werden die relevanten Patientendaten der vergangenen Nachtschicht auf den PDA oder Handheld geladen. Der Chefarzt legt dazu lediglich den PDA neben den Computer - die Synchronisation über Bluetooth startet automatisch, wobei Randbedingungen, wie z.B. die korrekte Verschlüsselung des PDAs, die korrekte Authentisierung an allen beteiligten Geräten und viele weitere Systemzustände automatisch vorab geprüft werden.
Der Schutz firmeneigener Informationen auf dem Transportweg birgt ein altbekanntes Spannungsfeld: der Benutzer kann zwar die Sensibilität der Information selbst am besten einschätzen, hat aber weder Expertise im Umgang mit Verschlüsselungstechnologien, noch die Zeit für eine "Sonderbehandlung" der Information. Mit nur wenigen Mausklicks erzwingt das Unternehmen die Verschlüsselung schützenswerter Daten auf dem Transportweg.
Personalisierung und Individualisierung von externen Datenträgern unterstützt das Arbeiten in kleinen (Vorstand und Sekretariat) oder großen Gruppen (Projekte) mit besonders vertraulichen Informationen. Das Auslagern und der Zugriff auf individualisierte Medien werden wiederum je Content und berechtigtem User unterstützt, so dass auch Projektrollen wie z.B. Zuständigkeiten für Finanzen oder Patente technisch abgebildet werden können.
Die Compliance oder Einhaltung der notwendigen Vorgaben aus dem Gesetz und anderen Regelwerken wie z.B. HIPAA, Bundesdatenschutzgesetz, SOX, KonTraG und vielen anderen kann dadurch nicht nur technisch unterstützt sondern auch beweissicher, also belastbar bei Prüfungen durch Dritte belegt werden.
So hat beispielsweise ein STOXX notiertes Allfinanzunternehmen seine Compliance Anforderungen auf 40.000 Notebook Arbeitsplätzen des Außendienstes mit dem Produkt PDWatch der itWatch GmbH umgesetzt.
Um den Sicherheitsanforderungen an das Plug&Play gerecht zu werden, benötigt man verschiedene zentral verwaltete Funktionen:
1. Proaktives Blockieren von Geräten und Dateien, die natürlich nicht nur an deren Namen erkannt werden sondern durch eine kundenspezifisch erweiterbare Patternprüfung individuell gefiltert werden.
2. Verschlüsselung mobiler Datenträger nach zentralen Richtlinien
3. Automatisierte Verarbeitung von CDs und DVDs außerhalb des Benutzerrechteraumes
4. Erkennung von ungewöhnlichem oder der Unternehmensrichtlinie widersprechendem Verhalten oder auch Angriffen in Echtzeit durch Intrusion Detection und geeignete Schnittstellen zu Drittsystemen
5. Maßnahmen der Beweissicherung wie Logging und Shadowing und das Aufbereiten der Auditdaten für die Revision.
Durch DeviceWatch (Gerätesicherheit), PDWatch (Verschlüsselung) ,XRayWatch (Contentkontrolle, Patternprüfung, Shadowing), DEvCon (Systems Management) und CDWatch (medienbasierte Sicherheit) sind diese Anforderungen abgedeckt.
Dem im Titel angesprochenen Kontrollverlust durch das Plug&Play begegnet man aber nicht nur durch Maßnahmen aus dem Bereich der IT-Sicherheit. Die automatisierte sichere Integration der Unternehmensprozesse, z.B. PDA-Synchronisation, ist ebenso wichtig. Unternehmensprozesse finden nicht nur auf den PCs statt (z.B. Change- und Systems-Management). Im Change Management ist es z.B. wichtig, die Veränderungen an der Security Policy nicht in der produktiven Umgebung ungetestet durchzuführen. Die Produkte müssen es ermöglichen, dauerhafte Veränderungen an der Security Policy vorher zu testen und dann nur die Änderungen automatisiert aus der Testumgebung zu übernehmen. Einfache Export- und Import-Funktionen sind wesentlich für den Langzeitbetrieb. Auch die Erstellung einer Security Policy sollte durch den Einsatz von Werkzeugen vorbereitet werden. Der DeviceWatch Scanner ermittelt den Bestand der bisher im Unternehmen verwendeten Devices, ohne auf den PCs eine Veränderung vorzunehmen. Dadurch ist die Security Policy für den IST-Stand des Unternehmens konzipiert und enthält keine überflüssigen Elemente. Noch wichtiger ist die Möglichkeit die Security Policy "sanft" in Betrieb zu nehmen. Dazu sind Benutzer-Nachrichten in Echtzeit sowohl beim Anstecken eines verbotenen als auch beim Anstecken eines "noch" erlaubten Gerätes notwendig. In den Nachrichten der "noch" erlaubten Devices wird darauf hingewiesen, dass sich die Regelung in Zukunft ändern wird - der Text kann jeweils individuelle Handlungsanweisungen mit zeitlicher Gültigkeit und Alternativen beinhalten.
Neben diesen Beispielen für Prozessintegrationen ist auch den aktuellen Themen Applikationskontrolle und Information Leakage Prevention mit diesen Produkten Rechnung getragen.
Für die "High End"-Kunden aus den Bereichen Militär, Nachrichtendienst, Stoxx, Dax und NYSE sind die Produkte besonders effizient und sicher. Der Mittelstand profitiert dabei von Funktionen, die es in nur fünf Minuten erlauben zu definieren, welche Information die Mitarbeiter auf mobilen Datenträgern nutzen dürfen.
So kann das Einbringen von Executables durch den Benutzer auf CDs, DVDs, Memorysticks, Flashkarten etc. mit nur wenigen Mausklicks effizient verhindert werden.
