USB-Ge­rä­te ab­si­chern

Auf CDs, DVDs oder gar Dis­ket­ten wer­den Da­ten nur noch sel­ten trans­por­tiert. Was nicht di­rekt über das Netz­werk geht, lan­det meist auf USB-Sticks – das kann aber mit er­heb­li­chen Ri­si­ken ver­bun­den sein.

Computerwoche - - Inhalt - Von Tho­mas Bär, IT-Fach­jour­na­list in Günz­burg, und Frank-Micha­el Sch­le­de, IT-Fach­jour­na­list in Pfaf­fen­ho­fen an der Ilm

USB-Sticks sind heu­te der viel­leicht wich­tigs­te Da­ten­trä­ger im Ge­schäfts­all­tag. Ihr Ein­satz kann mit er­heb­li­chen Si­cher­heits­ri­si­ken ver­bun­den sein. Hard­ware­ver­schlüs­sel­te Da­ten­trä­ger sind ei­ne von meh­re­ren Lö­sun­gen.

Wer sich in Fir­men­bü­ros um­schaut, wird fest­stel­len, dass ein Spei­cher­me­di­um an fast al­len Ar­beits­plät­zen zu fin­den ist: USB-Sticks kom­men in vie­len For­men, Far­ben und Au­s­prä­gun­gen zum Ein­satz. Die Spei­cher­me­di­en ste­hen mitt­ler­wei­le mit 32, 64 oder gar 512 GB Spei­cher­platz so­wie schnel­lem USB-3.0-An­schluss recht preis­wert zur Ver­fü­gung. Klei­ne USB-Sticks ha­ben sich zu idea­len Da­ten­spei­chern ent­wi­ckelt, auf de­nen man auch den In­halt ei­ner gan­zen Da­ten­bank oder Web­site mit­neh­men kann.

Je­der nutzt sie – auch für sen­si­ble Da­ten

So kommt es, dass die­se Da­ten­trä­ger heu­te für vie­le Zwe­cke ge­nutzt wer­den und da­durch auch Si­cher­heits­pro­ble­me auf­tre­ten kön­nen. Ei­nem Groß­teil der Nut­zer dürf­te mitt­ler­wei­le klar ge­wor­den sein, dass es grund­sätz­lich kei­ne gu­te Idee ist, ei­nen un­be­kann­ten USB-Stick, der „zu­fäl­lig“auf dem Park­platz der Fir­ma lag, mit dem ei­ge­nen PC zu ver­bin­den – auch wenn die meis­ten An­ti­vi­ren­pro­gram­me heu­te auf­pas­sen und dann we­nigs­tens den Au­to­start von Pro­gram­men auf sol­chen Ge­rä­ten ver­hin­dern kön­nen.

Doch mit USB-Sticks sind noch an­de­re Ri­si­ken ver­bun­den, die nach wie vor von vie­len Fir­men kaum be­ach­tet wer­den. Wo die Ge­fah­ren lie­gen, woll­ten die Spe­zia­lis­ten des USB-SticksAn­bie­ters Kings­ton wis­sen und ha­ben im ver­gan­ge­nen Jahr Mit­ar­bei­ter von Un­ter­neh­men ver­schie­de­ner Bran­chen da­zu be­fragt. Nicht be­son­ders er­staunt hat das Er­geb­nis, dass die Mit­ar­bei­ter auch im Zeit­al­ter der Cloud nicht auf die­se Me­di­en ver­zich­ten wol­len und wer­den. Die Un­ter­su­chung zeig­te zu­dem, dass hier­bei viel­fach das ByoD-Prin­zip (Bring your own De­vice) greift: 58 Pro­zent der Be­frag­ten ga­ben an, dass sie kaum zwi­schen pri­va­ten und be­ruf­li­chen USB-Sticks un­ter­schei­den.

So lan­den die wich­ti­gen Ge­schäfts­da­ten schnell auf ei­nem ganz nor­ma­len USB-Stick, der dann in der Ta­sche mit nach Hau­se wan­dert. Bei der Be­fra­gung ga­ben drei von fünf Mit­ar­bei­tern an, dass sie be­ruf­li­che Da­ten auf die­sen Spei­cher­me­di­en si­chern, und ein Vier­tel der Be­frag­ten sag­te, dass in ih­rem Un­ter­neh­men durch­aus auch ver­trau­li­che und

schüt­zens­wer­te ge­schäft­li­che Da­ten auf USBS­ticks ab­ge­spei­chert wer­den.

Was pas­siert beim Ver­lust?

Ei­gent­lich soll­ten Fir­men grund­sätz­lich ver­hin­dern, dass Da­ten auf die­se Wei­se „ab­flie­ßen“. Da­her ist der Ge­brauch von por­ta­blen USB-Ge­rä­ten in ei­ni­gen Un­ter­neh­men ver­bo­ten oder stark ein­ge­schränkt. Trotz­dem zeig­te die Kings­ton-Stu­die, dass vie­len IT-Ver­ant­wort­li­chen und An­wen­dern das Ge­fah­ren­po­ten­zi­al nicht be­wusst ist: So ga­ben fast 73 Pro­zent der Be­frag­ten zu, dass in ih­rer Fir­ma schon USBS­ticks mit den dar­auf be­find­li­chen In­for­ma­tio­nen ver­lo­ren wur­den und nicht mehr auf­find­bar wa­ren. Was genau mit die­sen Me­di­en ge­schah, konn­ten dann 57 Pro­zent nicht sa­gen: Sie wuss­ten ein­fach nicht, wo die Ge­rä­te ge­blie­ben wa­ren. We­ni­ger als vier Pro­zent der Mit­ar­bei­ter gin­gen da­von aus, dass die USB-Sticks ge­stoh­len wur­den, die gro­ße Mehr­heit nahm in der Re­gel an, dass sie „ein­fach ver­lo­ren“wur­den – woran sich im­mer­hin 39 Pro­zent der Be­frag­ten kon­kret er­in­nern konn­ten.

Die Ge­fahr, dass USB-Sticks und mit ih­nen die dar­auf be­find­li­chen Da­ten ver­schwin­den und dann zu­fäl­lig in die fal­schen Hän­de ge­lan­gen, ist al­so nicht zu un­ter­schät­zen. Wer ein­mal in der ei­ge­nen Fir­ma nach­forscht, wird schnell fest­stel­len, dass im­mer wie­der sol­che Me­di­en „ein­fach ver­lo­ren ge­hen“. Des­halb ist es sehr sinn­voll, die ge­schäft­li­chen Da­ten nur auf sol­chen USB-Sticks ab­zu­le­gen, die ei­ne Ver­schlüs­se­lung an­bie­ten, die ein­fach zu nut­zen ist und für die An­wen­der trans­pa­rent ar­bei­tet.

Ver­schlüs­se­lung: Hard- oder Soft­ware?

Ist der Ent­schluss ge­fal­len, die ge­schäft­lich ein­ge­setz­ten USB-Sticks durch ei­ne Ver­schlüs­se­lung zu schüt­zen, bleibt die Wahl zwi­schen ei­ner soft­ware­ge­stütz­ten Lö­sung und Ge­rä­ten, bei de­nen die­ser Si­cher­heits­me­cha­nis­mus di­rekt in die Hard­ware in­te­griert wur­de. Mit Blick auf die Kos­ten scheint ei­ne Ver­schlüs­se­lung durch ei­ne Soft­ware­lö­sung zu­nächst die güns­ti­ge­re Va­ri­an­te zu sein: Ent­we­der steht sie be­reits stan­dard­mä­ßig im Be­triebs­sys­tem be­reit, oder die Funk­tio­na­li­tät lässt sich durch ei­ne Free- be­zie­hungs­wei­se Sha­re-Lö­sung zur Ver­fü­gung stel­len. Aus die­sem Grund kom­men sol­che Lö­sun­gen gera­de in klei­ne­ren Un­ter- neh­men häu­fi­ger zum Ein­satz. Ein wei­te­rer Vor­teil: Ei­ne Soft­ware­lö­sung ist nicht an das Spei­cher­me­di­um ge­bun­den, kann al­so bei­spiels­wei­se auch zur Ver­schlüs­se­lung von SDKar­ten oder ex­ter­nen USB-Fest­plat­ten ein­ge­setzt wer­den. Al­ler­dings hat sol­che Soft­ware auch Nach­tei­le: Sie ar­bei­tet im­mer im Kon­text des ent­spre­chen­den Be­triebs­sys­tems, ist al­so im Zwei­fels­fall nur so si­cher wie das Be­triebs­sys­tem selbst. Zu­dem ist häu­fig kein platt­form­über­grei­fen­der Ein­satz des ver­schlüs­sel­ten USB-Sticks mehr mög­lich: Ar­bei­tet die ein­ge­setz­te Soft­ware nur un­ter Win­dows, kön­nen Nut­zer mit ei­nem Mac-OS-Sys­tem die Da­ten nicht ent­schlüs­seln, auch wenn sie mit den Da­ten durch­aus auch auf ih­rer ei­ge­nen Platt­form ar­bei­ten könn­ten. Oft ver­wen­det der Nut­zer sein Stan­dar­dPass­wort auch als Schlüs­sel für den USBS­tick. Da­mit kön­nen al­le gän­gi­gen Nach­tei­le ver­bun­den sein, wie bei­spiels­wei­se un­si­che­re, schwa­che Pass­wör­ter. Die Lö­sung kann re­gel­mä­ßi­ge Soft­ware-Up­dates be­nö­ti­gen, da­mit sie wei­ter­hin si­cher ar­bei­tet.

Wer nicht auf die­se Art der Ver­schlüs­se­lung set­zen will, kann sich al­ter­na­tiv für USB-Sticks mit Hard­ware­ver­schlüs­se­lung ent­schei­den.

Ein­ge­bau­te Ver­schlüs­se­lung: Bit­lo­cker

Ob­wohl Mi­cro­soft be­reits seit Win­dows 7 sei­ne Be­triebs­sys­te­me mit der Soft­ware Bit­lo­cker aus­stat­tet, scheuen vie­le An­wen­der und IT-Pro­fis nach wie vor den Ein­satz die­ser Ver­schlüs­se­lungs­lö­sung. Aber mit der Va­ri­an­te „Bit­lo­cker To Go“steht fast al­len Win­dows-An­wen­dern ei­ne Mög­lich­keit zur Ver­fü­gung, USB-Sticks stan­dard­mä­ßig und trans­pa­rent zu ver­schlüs­seln. Al­ler­dings müs­sen die Nut­zer da­zu die Pro­fes­sio­nal- oder En­ter­pri­se- be­zie­hungs­wei­se bei Win­dows 7 auch noch die Ul­ti­ma­te-Ver­si­on des je­wei­li­gen Be­triebs­sys­tems ein­set­zen. Die Ho­me-Ver­sio­nen der Win­dows-Sys­te­me kön­nen zwar der­art ver­schlüs­sel­te Lauf­wer­ke öff­nen, aber nicht selbst an­le­gen.

Da Bit­lo­cker fest in das Be­triebs­sys­tem in­te­griert ist, kann ein der­art ver­schlüs­sel­ter USB-Stick al­so an je­dem Win­dows-Rech­ner ge­le­sen wer­den, so der Nut­zer das Pass­wort kennt. Wer es noch si­che­rer ha­ben will, kann zu­sätz­lich auch den Ein­satz ei­ner Smart­card für das Ver- und Ent­schlüs­seln ver­lan­gen. Das Bun­des­amt für Sicherheit in der In­for­ma­ti­ons­tech­nik (BSI) gibt sehr ge­naue Empfehlungen, wie Fir­men Bit­lo­cker To Go im Rah­men ih­res IT-Grund­schut­zes rich­tig ein­set­zen kön­nen.

Die Soft­ware er­mög­licht es nicht, ein­zel­ne Da­tei­en zu ver­schlüs­seln, son­dern sie ver­schlüs­selt die Me­di­en kom­plett. Ei­ne Wie­der­her­stel­lung ist über das Pass­wort be­zie­hungs­wei­se ei­ne Smart­card mit Ver­schlüs­se­lungs­zer­ti­fi­kat oder die Wie­der­her­stel­lungs­in­for­ma­tio­nen mög­lich, die beim An­le­gen des ver­schlüs­sel­ten Lauf­werks ab­ge­spei­chert wer­den müs­sen. Bit­lo­cker kann durch die In­te­gra­ti­on in Ac­tive Di­rec­to­ry (AD) von Ad­mi­nis­tra­to­ren zen­tral ver­wal­tet wer­den, so dass IT-Pro­fis im Zwei­fels­fall mit der im AD ab­ge­spei­cher­ten Wie­der­hers­tel- lungs­in­for­ma­ti­on den In­halt wie­der­her­stel­len kön­nen, wenn ein Nut­zer bei­spiels­wei­se das Pass­wort ver­gisst. Zu­dem kön­nen Ad­mi­nis­tra­to­ren mit­tels Group Po­li­cy Ob­jects (GPOs) fest­le­gen, ob ih­re Nut­zer die­se Ver­schlüs­se­lung nut­zen dür­fen. Auch lässt sich auf die­sem Weg de­fi­nie­ren, dass Nut­zer an den Work­sta­tions nur mit Bit­lo­cker To Go ver­schlüs­sel­te USBS­ticks ein­set­zen kön­nen.

Seit der Win­dows-10-Ver­si­on 1511 nutzt Mi­cro­soft stan­dard­mä­ßig die AES-Ver­schlüs­se­lung im XTS-Block­chif­frie­rungs­mo­dus. Die­se Art der Ver­schlüs­se­lung soll nicht nur schnel­ler ar­bei­ten, son­dern auch mehr Sicherheit bei den ver­schie­dens­ten An­grif­fen bie­ten. Bit­lo­cker un­ter­stützt 128-Bit- und 256-Bit-XTS-AES-Schlüs­sel. Al­ler­dings sind mit AES XTS ver­schlüs­sel­te Lauf­wer­ke nicht mehr zu Be­triebs­sys­tem-Ver­sio­nen vor Win­dows 10 Ver­si­on 1511 kom­pa­ti­bel. Des­halb soll­ten Ad­mi­nis­tra­to­ren und An­wen­der für die USB-Sticks nach wie vor die bis­he­ri­gen AES-CBC-128- und -256-Bit-Al­go­rith­men (CBC = Ci­pher Block Chai­ning) ein­set­zen, so dass die Me­di­en an al­len Win­dows-Ge­rä­ten ver­wen­det wer­den kön­nen.

Soft­ware­ge­stütz­te Ver­schlüs­se­lung mit­tels Free­ware

An­wen­der und Fir­men, die zwar ei­ne soft­ware­ge­stütz­te Ver­schlüs­se­lung für ih­re USBS­ticks, nicht aber Bit­lo­cker nut­zen möch­ten, fin­den auf dem wei­ten Feld der Free- und Sha­re­ware ei­ne gro­ße Aus­wahl von Lö­sun­gen, die in den meis­ten Fäl­len ähn­lich ar­bei­ten, wie es vie­le Nut­zer wahr­schein­lich noch von der Soft­ware Tru­e­crypt ken­nen: Sie le­gen ver­schlüs­sel­te, durch ein Pass­wort ge­schütz­te Con­tai­ner auf den USB-Sticks ab. Da­zu kann bei­spiels­wei­se auch der Tru­e­crypt-Nach­fol­ger Ver­a­crypt zum Ein­satz kom­men.

Ein wei­te­res Bei­spiel aus die­ser Ka­te­go­rie ist die freie Lö­sung Ro­hos Mi­ni Dri­ve. Sie steht kos­ten­los zum Down­load be­reit und bie­tet ei­ni­ge Mög­lich­kei­ten:

So kön­nen die Nut­zer da­mit ei­ne vir­tu­el­le Par­ti­ti­on an­le­gen, die dann auf dem USBS­tick ver­schlüs­selt wird. Die freie Ver­si­on der Soft­ware er­laubt Par­ti­tio­nen bis zu ei­ner Grö­ße von 8 GB. Ein Se­t­up-As­sis­tent er­kennt vor­han­de­ne USB-Lauf­wer­ke au­to­ma­tisch und in­stal­liert die ent­spre­chen­den Ein­stel­lun­gen. Ei­ne An­wen­dung Ro­hos-Mi­ni.exe kommt da­bei mit auf den USB-Stick und er­mög­licht es den Nut­zern auf die­se Wei­se, den Da­ten­trä­ger auch an Win­dows-Rech­nern ein­zu­set­zen und zu ent­schlüs­seln, auf de­nen die Soft­ware nicht in­stal­liert ist.

Als Ver­schlüs­se­lungs­al­go­rith­mus kom­men laut An­bie­ter AES mit 256 Bit Schlüs­sel­län­ge so­wie NIST-kom­pa­ti­ble Ver­schlüs­se­lungs­stan­dards zum Ein­satz.

Wer sich mit Se­cu­ri­ty-Pro­fis un­ter­hält, wird al­ler­dings schnell er­fah­ren, dass sie häu­fig die­ser Art von Lö­sung miss­trau­en, weil die meis­ten An­bie­ter ih­re Ver­schlüs­se­lungs­al­go­rith­men und den Source­code ih­rer Pro­gram­me nicht of­fen­le­gen. Wer al­so mit hoch­sen­si­blen Da­ten ar­bei­tet, soll­te sich sehr genau über­le­gen, wel­che Lö­sung von wel­chem An­bie­ter er für ei­ne soft­ware­ge­stütz­te Ver­schlüs­se­lung sei­ner USBS­ticks ver­wen­det, und im Zwei­fels­fall die be­nö­tig­ten In­for­ma­tio­nen zum Source­code beim An­bie­ter sei­ner Wahl ein­for­dern.

Al­ter­na­ti­ve: Al­les in Hard­ware

Vie­le Pro­ble­me und Un­si­cher­hei­ten, die bei ei­ner soft­ware­ge­stütz­ten Ver­schlüs­se­lung der USB-Sticks die Sicherheit oder we­nigs­tens doch den leich­ten Ein­satz ein­schrän­ken, kön­nen mit Hil­fe spe­zi­el­ler Me­di­en um­gan­gen wer­den, die mit ei­ner Ver­schlüs­se­lung auf Hard­ware­ba­sis aus­ge­stat­tet sind. Ei­ne Rei­he von Her­stel­lern bie­ten sol­che Ge­rä­te in un­ter­schied­li­chen Aus­füh­run­gen an. Da­zu ge­hö­ren ne­ben der Fir­ma Kings­ton, die im letz­ten Jahr mit dem Her­stel­ler Iron­key ei­nen wei­te­ren An­bie­ter aus die­sem Be­reich über­nom­men hat, auch Un­ter­neh- men wie der deut­sche An­bie­ter Pro­soft mit sei­ner Lö­sung „Sa­feToGo 3.0“oder das Sys­tem­haus Op­ti­mal mit hard­ware­ver­schlüs­sel­ten USB-Sticks und Fest­plat­ten un­ter der Be­zeich­nung „Kan­gu­ru“.

Al­le die­se Her­stel­ler kön­nen ent­spre­chen­de Zer­ti­fi­zie­run­gen vor­wei­sen und bie­ten zu­dem pas­sen­de Ma­nage­ment-Soft­ware an, die es Ad­mi­nis­tra­to­ren er­laubt, die USB-Sticks zen­tral zu ver­wal­ten und zu be­treu­en. Noch viel mehr als bei den soft­ware­ge­stütz­ten Lö­sun­gen müs­sen sich die Fir­men und An­wen­der hier auf den An­bie­ter und sei­ne In­for­ma­ti­ons­po­li­tik ver­las­sen kön­nen, was die Im­ple­men­tie­rung der Chif­frie­rung und der Ver­schlüs­se­lungs­al­go­rith­men an­geht. Des­halb soll­ten IT-Ver­ant­wort­li­che auch genau nach­fra­gen und ent­spre­chen­de Nach- wei­se for­dern, dass die Ge­rä­te bei­spiels­wei­se kei­ne Back­doors oder Mas­ter-Pass­wör­ter be­inhal­ten, durch die die an­ge­streb­te Sicherheit kon­ter­ka­riert wür­de. Kann der Her­stel­ler die von den An­wen­dern ver­ge­be­nen Pass­wör­ter aus­schließ­lich über ein Mas­ter-Pass­wort zu­rück­set­zen, so stellt dies un­ter Um­stän­den durch­aus ei­ne Si­cher­heits­lü­cke dar. Pass­wör­ter soll­ten bei sol­chen Lö­sun­gen nicht in der Cloud ge­spei­chert wer­den. Fast al­le An­bie­ter bie­ten die Mög­lich­keit, zu­nächst Mus­ter­ex­em­pla­re der USB-Sticks zu be­kom­men, da­mit die IT-Mann­schaft in der Pra­xis fest­stel­len kann, ob die Ge­rä­te dem Si­cher­heits­kon­zept des Un­ter­neh­mens ge­nü­gen.

Bit­lo­cker To Go ist ei ne ele­gan­te Me­tho­de, USB-Sticks si­che­rer zu ma­chen, und Teil ( fast) al­ler Win­dow­sVer­sio­nen. An­wen­der­un­ter­neh­men set­zen sie nur lei­der viel zu sel­ten ein.

Der Kings­ton Da­ta Tra­vel­ler 2000 lässt sich über die al­pha­nu­me­ri­sche Tas­ta­tur mit ei­nem Wort oder ei­ner Zah­len­kom­bi­na­ti­on sper­ren und ent­sper­ren.

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.