Im 1. Teil habe ich eine Möglichkeit vorgestellt, USB-Ports zu sperren und trotzdem eine Möglichkeit für Anwender offen zu lassen, Daten ins Netz einzuspielen. Man kann natürlich auch anders an die Sache herangehen:
Es gibt Device-Management-Software, die den Zugriff auf USB-Ports regeln kann. Gleichzeitig kann man über die Software zentral Policies festlegen, was auf den USB-Stick darf und was nicht (bzw. was davon ins LAN eingespielt werden darf und was nicht). Als problematisch sehe ich bei einer solchen Lösung jedoch die Durchsetzung der Policies an.
Angenommen, dass System verfügt über einen Virenscanner, die stets aktuelle Signaturen vorhält und ein Content-Type-Scanning/Blocking nach Inhalten und nicht nach Dateiendungen anbietet. Kann dieses System auch verhindern, dass Malware über Exploits eingeschleußt werden kann? Was passiert, wenn Maliciouscode über ZIP/RAR-Archive eingeschleppt wird?
In den seltensten Fällen kommen die Produkte mit solchen Anforderungen klar. Aber dies sind die Bedrohungen der heutigen Zeit.

Die Einführung von Device-Management erfordert also umfangreiche Tests im Unternehmen. Ein hilfreiches Tool zum Testen ist das Metasploit-Framework.