Unterschiedliche Mitarbeitergruppen stellen unterschiedliche Anforderungen an IT-Produkte, so auch an eine DLP-Lösung. Für IT-Administratoren ist wichtig, dass eine Lösung wenig Administrationsaufwand verursacht. In Endpoint Protector gibt es deshalb smarte Funktionen, die Abläufe straffen und die Arbeit erleichtern.
Die Situation: Das Unternehmen hat strenge DLP-Richtlinien umgesetzt; zum Schutz vor einem Datenleck und zum Schutz des Firmennetzes vor Schadcode können mobile Geräte – gedacht ist in erster Linie an das klassische Daten-Transporttool USB-Stick – nicht an der USB-Schnittstelle benutzt werden. Kein Arbeitsprozess im Unternehmen ist auf die Verwendung von USB-Sticks angewiesen; wer von zuhause arbeiten will, transportiert keine Daten auf einem Stick hin und her, sondern geht remote ins Firmennetz.
Umgang mit USB-Sticks
Trotzdem gibt es Situationen, in denen Mitarbeiter einen USB-Stick benötigen, beispielsweise um eine Präsentation darauf zu kopieren. In unserem Beispiel-Unternehmen kommt das selten vor, und es sind meist unterschiedliche Mitarbeiter. Falls in einem Unternehmen häufig dieselbe Person eine Ausnahme benötigt, weil es zu ihren Aufgaben gehört, bei Kunden oder auf Kongressen zu präsentieren, kann es unter Umständen gerechtfertigt sein, ihr diese Möglichkeit dauerhaft freizuschalten. Aber das ist hier nicht der Fall. Wer Daten auf einen USB-Stick kopieren muss, macht deshalb Folgendes:
Der Mitarbeiter kontaktiert die IT-Administration, denn er braucht einen Stick. Mit einem privaten Stick wird er an keinem Rechner im Betrieb zum Ziel kommen, denn ein unternehmensfremder Stick kann Schadcode enthalten. Der Stick, den ihm der Administrator aushändigt, ist sauber und in der DLP-Lösung in der Liste der zugelassenen Geräte registriert. Der Mitarbeiter kann ihn jederzeit verwenden. Grundsätzlich kann ein Stick nutzerspezifisch freigegeben werden, so dass der Mitarbeiter ihn an jedem PC nutzen darf, an dem er sich anmeldet, oder computerspezifisch. Dann kann der Stick nur an diesem einen Rechner verwendet werden.
Wenn sich der Mitarbeiter mit einem Firmen-Laptop außerhalb des Netzwerks aufhält und einen USB Stick benutzen möchte, der nicht freigegeben ist, kontaktiert er die IT Administration und fordert eine Freigabe für den Stick an. Das ist über unterschiedliche Wege möglich. Unter anderem kann er dafür direkt aus dem auf seinem Rechner installierten Endpoint-Protector-Client eine E-Mail generieren.
Dieser Weg ist der komfortabelste für den Administrator, denn diese E-Mail enthält alle Informationen, die er für die Freischaltung benötigt, beispielsweise auch den Rechnernamen. Der Arbeitsschritt ist in Sekunden erledigt, wenn er nicht erst nachfragen muss, um welchen Rechner es sich eigentlich handelt, da die meisten PC-Nutzer den Rechnernamen nicht kennen und nicht wissen, wo sie ihn finden.
Fire and forget
Freischaltungen kann der Administrator zeitlich festlegen und sogar befristen, beispielsweise für die nächsten zwei Stunden, den morgigen Nachmittag oder die kommenden 30 Tage. Mit dem diesjährigen Update von Endpoint Protector kann er auch ein sehr schmales Zeitfenster von 15 Minuten einrichten – völlig ausreichend, um eine Präsentation auf einen Stick zu kopieren. Da die Freischaltung erlischt, sobald die Frist abgelaufen ist, wird das Zurücksetzen nicht vergessen, und der Administrator muss nicht erneut ins System, um sie zu beenden.
