Bausteine für sicheres Surfen
Dateischleuse – Dateien sicher übertragen
Zentrales Konzept eines Remote-Controlled Browser Systems (ReCoBS) wie TightGate-Pro ist die physische Trennung von Internet und lokalem Unternehmensnetzwerk. Dieses Konzept soll verhindern, dass Schadcode aus dem Internet ins lokale Netzwerk gelangen kann, sei es direkt über den Browser oder eingeschleust über eine Dateischleuse. Zusätzlich soll verhindert werden, dass Daten aus dem Unternehmensnetz ohne Berechtigung nach außen abfließen („Data Leakage“).
Praktisch bedeutet dies, dass sämtliche Webinhalte auf einem speziellen, gehärteten TightGate-Pro Server in einer demilitarisierten Zone ausgeführt werden. Auch die Bearbeitungen von Dateien (etwa aus E-Mail-Anhängen oder Internet-Downloads) kann mit entsprechenden Hilfsprogrammen direkt dort erfolgen. Für die Bearbeitung von Office-Dokumenten stellt TightGate-Pro beispielsweise die Software-Suite LibreOffice zur Verfügung.
Aber was, wenn man eine Datei auf dem Arbeitsplatzrechner benötigt, um sie mit einem speziellen Programm – etwa einer CAD-Software – zu bearbeiten oder um sie lokal zu archivieren? Kein Problem, denn hierfür verfügt TightGate-Pro über eine Dateischleuse. In diesem Blogbeitrag lesen Sie, was eine Dateischleuse ist, und welche Möglichkeiten sie in Hinblick auf Daten- und Cybersecurity bietet.
Was ist eine Dateischleuse?
Eine Dateischleuse ist ein dediziertes Verfahren, welches dazu dient, Daten in das geschützte interne Netzwerk hinein oder aus ihm heraus zu transferieren. Gleichzeitig soll verhindert werden, dass Dateien unbeabsichtigt bzw. versehentlich aus dem Internet in das interne Netz gelangen.
Die Dateischleuse wird von der Systemadministration auf den Arbeitsplatzrechnern installiert und kann nutzerspezifisch konfiguriert werden. So ist es z. B. möglich, den Dateitransfer für einzelne Benutzer oder Benutzergruppen auf eine bestimmte Übertragungsrichtung oder auf bestimmte Dateitypen zu beschränken. Mehr zur Konfiguration der Dateischleuse erfahren Sie im Adminhandbuch für TightGate-Pro.
Wie sieht der Schleusungsvorgang praktisch aus?
Eine zentrale Rolle bei der Dateischleuse spielt ein benutzereigener Transferordner auf TightGate-Pro. In diesen werden alle zu schleusenden Dateien kopiert. Geöffnet wird die Dateischleuse zunächst per Doppelklick auf das Desktop-Icon „Dateischleuse“. Das Hauptfenster der Schleuse ist zweigeteilt und zeigt im linken Bereich die Verzeichnisstruktur des Arbeitsplatz-Computers, im rechten Bereich die Verzeichnisse des Transferordners. Dateien können nun manuell per Drag and Drop zwischen den beiden Bereichen transferiert werden. Mehr zur Nutzung der Dateischleuse finden Sie in Kapitel 8 des TightGate-Pro-Benutzerhandbuchs.
Mehr Sicherheit durch Anti-Automation
Aus Sicherheitsperspektive stellt die Dateischleuse damit eine zusätzliche Instanz dar, mit der automatische Downloads oder versehentliche One-Klick-Downloads auf einen Arbeitsplatz-Computer oder einen lokalen Server ebenso verhindert werden, wie das versehentliche Öffnen eines E-Mail-Anhangs. Aber Dateischleusen bieten in Hinblick auf Daten- und Cybersicherheit noch einiges mehr.
Erkennen von Risiken bei einer Dateischleuse
Im Schiffsverkehr dienen Schleusen dazu, Wasserfahrzeuge auf ein anderes Wasserstandsniveau zu heben (bzw. zu senken). Mit einer Dateischleuse ist Ähnliches möglich. Denn sie kann – um im Bild zu bleiben – eine Datei sicher aus dem externen in das interne Netz überführen und umgekehrt.
Wie das?
In einem ersten Schritt wird zunächst der MIME-Typ (Multipurpose Internet Mail Extensions) der Datei geprüft. Je nach Konfiguration der Schleuse können dabei bestimmte MIME-Typen (z. B. „text“-Dateien mit ASCII-Text oder „image“-Dateien wie Fotos oder Grafiken) für die Schleusung zugelassen oder blockiert werden.
Ist der MIME-Typ für die Dateischleuse in das interne Netzwerk zugelassen, wird im nächsten Schritt der Schleusungsprozess gestartet. Dabei prüfen installierte Virenscanner die Datei auf Viren und Schadprogramme. Erst, wenn dieser keinen potenziell schädlichen Inhalt gefunden hat, öffnet sich das Schleusentor und die Dateien können auf den lokalen Computer übertragen werden. So wird dafür gesorgt, dass von bekannter Malware keine Gefahr für das Unternehmensnetz ausgeht.
Präventive Bereinigung von Restrisiken
Allerdings bleibt ein Restrisiko: Gegenüber Zero-Day-Malware, die bisher unbekannte Sicherheitslücken ausnutzt bzw. deren Schadcode bisher nicht bekannt ist, sind herkömmliche Antiviren-Programme blind. Denn signaturbasierte Antiviren-Software prüft Dateien nur auf bereits bekannten Schadcode bzw. auf bestimmte Malware-Muster.
Um auch die Risiken durch unbekannte Malware zu reduzieren, können die Dateien während der Schleusung mithilfe einer Zusatzfunktion präventiv „entschärft“ werden. Bei einer solchen Dateibereinigung werden potenziell schädliche Komponenten wie Makros oder Programmcode präventiv beseitigt. Potenziell gefährliche Dateitypen (wie z. B. docx, xlsx oder pdf) werden so bereinigt, bzw. auf einen risikolosen Zustand zurückgesetzt („normalisiert“). Die eigentlichen Dateiinhalte bleiben dabei unverändert.
Für eine präventive Dateibereinigung können Nutzer von TightGate-Pro auf die nahtlos integrierbare Erweiterungen, wie VAITHEX oder OPSWAT zurückgreifen.
Fazit zur Dateischleuse
Eine Dateischleuse ermöglicht den kontrollierten, auf Schadsoftware geprüften Dateitransfer zwischen einem TightGate-Pro Server und einem Arbeitsplatz-Computer. Je nach Sicherheitsanforderungen können dabei Berechtigungen – z. B. für den Transfer bestimmter Dateitypen (MIME-Typen) – nutzerspezifisch konfiguriert sowie Restrisiken durch systematische Malware-Scans und eine präventive Dateibereinigung deutlich verringert werden.
Ihr Ansprechpartner
Lars Lehmann
Leiter Vertrieb
Telefon: +49 30 243423-35
E-Mail: l.lehmann@m-privacy.de