Kombination Datenschleuse mit Data Loss Prevention zur Eindämmung der Bedrohung durch externe Speichermedien

Datenschleusen an jedem einzelnen Netzwerkeingang wären wünschenswert, sind aber unpraktikabel

[datensicherheit.de, 03.07.2025] Getreu der Devise „Bad USB“ sei doch schon ein alter Hut gelten USB-Sticks und andere tragbare Speichermedien mittlerweile kaum noch als Gefahrenquelle – indes finden externe Speichergeräte häufiger den Weg in Unternehmensnetzwerke, als sich die meisten vorstellen können: Beim Kundentermin, in der Entwicklung, bei Wartungseinsätzen oder spontan im Büroalltag…

Wenn ein Nebeneingang benutzt wird, könnte die Datenschleuse umgangen werden

Typische Szenarien aus dem Alltag: „Ein Techniker kommt mit Firmware-Updates in Ihre OT. Ein Designer schließt eine hochauflösende Prototyp-Präsentation direkt an. Oder ein Patient bringt wichtige Unterlagen in Form eines USB-Sticks oder einer CD zum behandelnden Arzt.“

• Diese Datenträger ohne vorherige Prüfung an das interne Netzwerk anzuschließen, birgt offenkundig große Risiken für die Sicherheit der Systeme. „Zwar lassen viele Unternehmen und Organisationen externe Speichermedien beim Betreten des Gebäudes üblicherweise auf Schadsoftware scannen – über eine Datenschleuse.“ Doch diese allein decke nicht alle Möglichkeiten einer Infiltration ab.

Beispielsweise könnte die Person schlicht vergessen, ein Gerät vorzuzeigen. Böswillige Akteure würden zudem absichtlich infizierte Speichermedien unterschlagen. Ein Besucher könnte das Gelände auch durch einen Nebeneingang betreten und so die Schleuse umgehen.

Erst eine Manifest-Datei sorgt für IT-Sicherheit vom Start- bis zu Endpunkt

Hier kommt laut ProSoft die Kombination aus Datenschleuse und komplementärer „Data Loss Prevention“ (DLP) ins Spiel. Dabei werde beim initialen Scan des externen Speichermediums durch eine Datenschleuse am Eingang eine Manifest-Datei erstellt. Diese Datei zeige das Inhaltsverzeichnis des Datenträgers und gebe an, „ob und welche Dateien darauf, basierend auf dem Malware-Scan virenfrei sind“.

• Soll der Wechseldatenträger danach an einem Endgerät im Netzwerk angeschlossen werden, suche die DLP-Lösung des deutschen Herstellers DriveLock nach dieser Manifest-Datei und erlaube nur dann den Zugriff, wenn sie unverändert vorhanden ist und alle Dateien als „virenfrei“ klassifiziert sind. Fehlt die Datei oder sind dort auch maliziöse Dateien vermerkt, werde die Verbindung des Datenträgers mit dem Endgerät bzw. dem Netzwerk durch die DLP-Lösung automatisch blockiert – unabhängig vom Anwender und individuellen Zugriffsrechten.

So fungiere diese Manifest-Datei als ein digitales Siegel für die erfolgte Prüfung und Integrität des Datenträgers. Dies sei besonders interessant für Unternehmen mit hohen „Compliance“-Anforderungen, etwa in KRITIS-Umgebungen, bei Behörden oder im verarbeitenden Gewerbe mit komplexen heterogenen IT-/OT-Umgebungen und ggf. nur mäßigen Schutzniveau.

Zur sichere Prüfung in der Praxis wird paralleles Scannen empfohlen

Gerade bei großen Datenmengen, etwa hochauflösenden Bildern oder technischen Prototypen, bedeute jedes zusätzliche Bit eine längere Scan-Dauer. Gängige Datenschleusen kombinierten mehrere Anti-Malware-„Engines“, welche nacheinander scannten.

• Bei dieser seriellen Prüfung multipliziere sich die Scan-Dauer mit der Anzahl der „Engines“ – es vergeht demnach noch mehr Zeit für jeden Scan, welche der Geschäftspartner dann unproduktiv warten muss. Fortschrittliche Datenschleusen wie „OPSWAT MetaDefender Kiosk“ mit Multiscanner-Funktion erlaubten dagegen paralleles Scannen. „Das bedeutet, dass alle Anti-Malware-,Engines’ gleichzeitig scannen und sich die Scan-Dauer nur nach der langsamsten ,Engine’ richtet.“

Mit der richtigen Kombination dieser „Engines“, z.B. mit einer möglichst breiten geographischen Abdeckung, spare das nicht nur viel Zeit, sondern erhöhe auch die Erkennungsrate auf bis zu 99,9 Prozent. Mit Datenschleuse, paralleler Prüfung und Manifest-Kontrolle entstehe somit eine durchgängige Schutzkette – vom Geräteeingang bis zur Netzfreigabe.

Weitere Informationen zum Thema:

ProSoft
Datenschleuse – unsere Expertise für Sie / Schützt kritische Infrastrukturen & sensible Bereiche

datensicherheit.de, 28.06.2025
USB-basierte Angriffe: Wie Unternehmen diesem Sicherheitsrisiko begegnen / Insbesondere in KRITIS-Branchen sind USB-Laufwerke nach wie vor beliebt, da sie bei isolierten Systemen eine praktische Möglichkeit für Datenaustausch und -sicherung bieten

datensicherheit.de, 06.06.2025
25 Jahre USB-Stick: Ein praktisches, fehleranfälliges Speichermedium / CBL Datenrettung gibt zum Jubiläumsjahr Tipps zum richtigen Umgang und bietet im Fall der Fälle bis einschließlich August 2025 einen Rettungsrabatt

datensicherheit.de, 16.06.2014
Data Loss Prevention: Unternehmensdaten von innen schützen / Datenverlust kann erheblich Konsequenzen nach sich ziehen