Horrorszenario «Geschäftsgeheimnis geklaut» – um dies zu verhindern, setzen viele Unternehmen heute «Legacy-Free»-PCs ohne Diskettenlaufwerk ein. Das Dumme ist nur, dass gerade solche modernen Arbeitsstationen massenhaft mit Schnittstellen wie USB und FireWire glänzen. Auch ein CD- oder DVD-Brenner ist meist eingebaut. Fazit: Auch wenn die Diskette fehlt, hat der Datendieb heute eher mehr Gelegenheit fürs schändliche Tun als früher. Am einfachsten geht es mit einem USB-Speicherstick – der ist blitzschnell geladen und noch schneller in der kleinsten Hemdentasche verschwunden. Auch eine CD ist im Nu gebrannt und kostet fast nichts.
Der vernünftigste Weg, die unbefugte Informationsentnahme zu verhindern, ist die softwaretechnische Sperrung der betroffenen Laufwerke. Zwar lassen sich die Schnittstellen auch hardwaremässig ausser Kraft setzen, via BIOS oder im Extremfall per Lötkolben – aber dann stehen sie auch für legitime Zwecke nicht mehr bereit, zum Beispiel zum Anschluss eines Druckers oder für den Bildtransfer ab einer Digicam.
DriveLock installiert sich unter Windows 2000 und XP als Systemdienst und überwacht permanent den Zugriff auf Wechseldatenträger aller Art. Dabei berücksichtigt DriveLock Disketten- und CD/DVD-Laufwerke ebenso wie sämtliche über USB- und FireWire-Schnittstellen angeschlossene Geräte.
In der Grundeinstellung sperrt DriveLock, solange der Systemdienst läuft, den Zugriff auf sämtliche CD/DVD-Laufwerke, USB-Geräte und andere Wechselmedien. Diese erscheinen zwar im Explorer und auf dem Desktop, können aber weder gelesen noch beschrieben werden, und ihr Inhalt bleibt dem User verborgen: Schon bei einem einfachen Mausklick erscheint die Meldung «Zugriff verweigert». Etwas verwirrend: Damit auch während des Betriebs neu angeschlossene Geräte gesperrt werden, muss die Option «Dynamisch Laufwerke sperren deaktivieren» deaktiviert werden – alles klar?
Die Parameter von DriveLock lassen sich auf drei Arten einstellen: Lokal auf der jeweiligen Station über ein MMC-Snapin, zentral mit Hilfe einer Active-Directory-Gruppenrichtlinie sowie ferngesteuert von einem anderen PC aus.
Die Konfigurationsoptionen sind sehr klar gegliedert. In den «Globalen Einstellungen» verwaltet man die Lizenzen und vergibt Berechtigungen für die Fernkontrolle. Auch die Fernkonfiguration eines anderen mit DriveLock ausgestatteten Computers erfolgt von der MMC-Oberfläche aus; hierzu dient die Option «Agenten-Fernkontrolle».
Was genau für welche User zu sperren oder freizugeben ist, wird in den «Sperr-Einstellungen» im Abschnitt «Laufwerke» definiert. Hier lässt sich der Zugriff auf die Gerätekategorien Disketten-, CD-ROM-, via USB und via FireWire angeschlossene Laufwerke sowie andere Wechseldatenträger in drei Stufen festlegen: Gesperrt, gesperrt mit Ausnahme bestimmter User und Gruppen oder erlaubt für alle User. Diese Einstellungen gelten jeweils für alle Geräte der betreffenden Kategorie.
Unter «Ausnahmen» lassen sich einzelne Geräte für alle oder auch nur für bestimmte User freigeben, auch wenn der Zugriff auf die betreffende Schnittstelle sonst gesperrt ist. Massgeblich für die Freigabe sind bis zu drei Parameter: Hersteller-ID, Produkt-ID und Seriennummer. Um die korrekten Angaben herauszufinden, schliesst man das Gerät am besten kurz an und konsultiert danach die Windows-Ereignisanzeige – hier protokolliert DriveLock, falls nichts anderes konfiguriert wurde, jedes An- und Abhängen eines Geräts.
Im Test funktionierte die Erkennung einer bestimmten Digicam tadellos. Allerdings liefert nicht jedes Gerät alle Angaben; oft fehlt die Seriennummer. Dann kann man nur generell Geräte eines bestimmten Typs zulassen, zum Beispiel alle HP-Photosmart-1315-Drucker.
Ein weiteres Problem zeigt sich bei Speicherkartenlesern: DriveLock erkennt den Leser und nicht die eingesetzte Speicherkarte als Gerät. Es ist also nicht möglich, nur eine bestimmte Speicherkarte freizugeben – entweder hat man Zugriff auf jede beliebige Karte, die im Leser eingesetzt ist, oder auf gar keine. USB-Sticks dagegen werden direkt an die Schnittstelle angeschlossen und als eigenständiges Gerät erkannt.
