Datenschleuse plus DLP: : So wird der USB-Stick zum sicheren Gast im Unternehmensnetz
Externe Speichermedien gelten inzwischen als harmlos und finden deswegen kaum noch Beachtung. Aber genau das macht sie zu einem unterschätzten Einfallstor für Malware. Mit einer Kombination aus intelligenter Datenschleuse, Manifest-Datei und Data Loss Prevention schaffen Unternehmen eine durchgängige Schutzkette vom Eingang bis zum Netzwerkanschluss.
USB-Sticks gelten in der öffentlichen Wahrnehmung längst nicht mehr als ernste Bedrohung – „Bad USB“ ist für viele ein abgehakter Angriffsvektor. Doch in der Praxis kommen externe Speichermedien nach wie vor überraschend häufig zum Einsatz: beim Kundentermin, im Krankenhaus, bei einem Software-Update im Produktionsnetz oder in der spontanen Zusammenarbeit mit Externen.
Alte Risiken in neuen Szenarien
Die Realität zeigt: Daten reisen physisch – und mit ihnen oft ein erhebliches Risiko. Eine Datei mit Malware genügt, um Netzwerke zu kompromittieren, Systeme zu stören oder Daten zu exfiltrieren. Zwar setzen viele Organisationen auf Eingangsscans mit sogenannten Datenschleusen, aber diese Abwehrmaßnahme allein greift zu kurz.
Warum Datenschleusen allein nicht genügen
Ob USB-Stick, CD oder externer Speicher – viele Unternehmen prüfen mobile Datenträger direkt beim Zugang ins Gebäude. Dabei kommt eine Datenschleuse zum Einsatz, die den Inhalt auf Malware untersucht. Doch diese Sicherheit ist nur so zuverlässig wie das Verhalten der Menschen, die sie nutzen: Was, wenn ein Besucher den Scan vergisst? Oder absichtlich umgeht? Was, wenn das Gerät durch einen Seiteneingang ins Gebäude gelangt?
Ein technisches Hilfsmittel ohne digitale Nachverfolgbarkeit kann leicht umgangen werden – und damit zur Scheinsicherheit werden.
Manifest-Datei: Das digitale Prüfsiegel
Hier kommt ein smarter Ansatz ins Spiel: die Kombination aus Datenschleuse und Data Loss Prevention. Beim Scan durch eine moderne Schleuse wird automatisch eine sogenannte Manifest-Datei erstellt. Sie dokumentiert exakt, welche Dateien auf dem Datenträger vorhanden sind und ob sie virenfrei geprüft wurden.
Kommt das Speichermedium später an einem Endgerät im Netzwerk zum Einsatz, prüft die DLP-Lösung ob die Manifest-Datei vorhanden und unverändert ist. Nur wenn das Prüfsiegel intakt ist, wird der Zugriff gewährt. Fehlt es oder wurde manipuliert, wird der Zugriff blockiert – unabhängig von Benutzerrechten oder individuellen Ausnahmen.
Diese Kombination sichert nicht nur den Eintrittspunkt, sondern schafft eine verbindliche Kontrolle bis zur Schnittstelle im Netz: So fungiert die Manifest-Datei als ein digitales Siegel für die erfolgte Prüfung und Integrität des Datenträgers. Das ist besonders interessant für Unternehmen mit hohen Compliance-Anforderungen, etwa in KRITIS-Umgebungen, bei Behörden oder im verarbeitenden Gewerbe mit komplexen heterogenen IT-/OT-Umgebungen und gegebenenfalls nur mäßigen Schutzniveau.
Multiscanning: Effizient und gründlich
Eines der Hauptargumente gegen Datenschleusen ist ihre vermeintliche Langsamkeit – gerade bei großen Dateien oder zeitkritischen Einsätzen. Der Trick liegt in der Art des Scans: Viele herkömmliche Lösungen prüfen nacheinander mit mehreren Malware-Engines – das verlängert die Wartezeit erheblich.
Fortschrittliche Systeme setzen auf paralleles Scannen. Dabei arbeiten alle Engines gleichzeitig. Die Scandauer wird nicht addiert, sondern richtet sich lediglich nach der langsamsten Engine. Das spart Zeit und erhöht zugleich die Erkennungsrate – bis zu 99,9 Prozent, wenn Engines mit unterschiedlichen geografischen Schwerpunkten kombiniert werden.
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
