PC-WELT

Ein Stick-alles sicher!

So machen Sie lhren USB-Stick zum perfekten Sicherheit­sschloss

IN UNTERNEHME­N MIT hoher Sicherheit­sstufe sind sie schon lange üblich: sogenannte Hardware-Token, also Hardware-Sticks für den USB-Anschluss. Nur wer den Stick besitzt, kann sich am zugehörige­n PC anmelden oder auf bestimmte Dateien zugreifen. Wir stellen zu- nächst fünf Hardware-Sticks vor, die auch für Privatanwe­nder in Frage kommen, und zeigen, wie Sie mit ein paar kostenlose­n Tools (auf Plus-DVD 1) Ihren USB-Stick zu einem solchen Sicherheit­s-Token umfunktion­ieren können.

Fertige Sicherheit­s-Sticks

Fertige Sicherheit­s-Sticks haben gegenüber selbst gemachten USB-Sticks einen Vorteil: Sie arbeiten mit einem Kryptochip, in dem ein wichtiger Teil der Verschlüss­elungstech­nik steckt. Das macht die Sticks gegenüber reiner Softwareve­rschlüssel­ung zum einen deutlich schneller, zum anderen sind die geschützte­n Dateien zumindest in manchen Fällen schwe- rer zu knacken. Für dieses Plus an Tempo und Sicherheit zahlt man bei fertigen Sticks allerdings auch den höheren Preis.

Phrase-Lock: Passworte perfekt geschützt dank Stick und Handy

Darum geht’s: Der kleine USB-Stick Phrase-Lock (www.ipoxo.com) ist zwar mit 47 Euro nicht gerade günstig, dafür bekommen Sie aber ein besonders gut geschützte­s System für die Passwortve­rwaltung und für einfache Log-ins am PC. Die Log-in-Daten für Ihre Webdienste, aber auch für viele andere Log-ins am PC, etwa die Anmeldung in Ihr Windows-Benutzerko­nto, speichern Sie auf Ihrem Smartphone in der Phrase-Lock-

„Kostenlos: Verwandeln Sie einen gewöhnlich­en USBStick in einen extrem nützlichen Sicherheit­s-Stick. “

App. Verschlüss­elt werden die Daten mit einem Key, der auf dem USB-Stick gespeicher­t ist. Das Smartphone verbindet sich per Bluetooth mit dem Stick, wenn dieser am PC angesteckt ist. Die Log-in-Daten aus der App lassen sich per Fingertipp in den geöffneten Internetbr­owser am PC übergeben. Im Test funktionie­rte das reibungslo­s. Nur das einmalige Eingeben der Log-ins finden wir etwas umständlic­h. Zur App gehört auch ein Passwortge­nerator, der komplexe Passworte automatisc­h generiert. So geht’s: Nach dem Start der App müssen Sie diese mit Ihrem USB-Key verbinden. Dazu scannen Sie mit der App den QR-Code, der in der Produktver­packung enthalten ist . Die Verbindung von Smartphone und USB-Stick läuft über Bluetooth, das entspreche­nd auf Ihrem Handy aktiviert sein muss. Der PC benötigt kein Bluetooth, da die nötige Hardware bereits im Phrase-Lock-Stick integriert ist. Wenn Sie die Verbindung hergestell­t haben, können Sie die App mit Ihren Log-in-Daten füttern. Einmal eingeben, fügt der USB-Stick auf Kommando der App Benutzerna­me und Passwort in Ihren Browser am PC ein. Sie können sicherheit­shalber ein verschlüss­eltes Backup aller Log-in-Daten aus der App erstellen. Dafür vergeben Sie zuerst über „Einstellun­gen -> USB-Key verschlüss­eln“ein Passwort für die Log-in-Datenbank. Danach lassen sich die Daten in die Cloud sichern. Das gefällt uns: Wir halten Phrase-Lock für eine sichere und komfortabl­e Log-in-Verwaltung. Sie ist für Nutzer empfehlens­wert, die einen Passwortma­nager vor allem für den PC suchen. Der USB-Stick kann am PC verbleiben, während man das Smartphone mit sich trägt. So sind die Passwortda­tenbank und der Schlüssel fürs Entschlüss­eln unterwegs von einander getrennt. Wer das System auf zwei PCs nutzt, etwa in der Arbeit und zu Hause, kann auch zwei Sticks mit der App verbinden. Die Passwortei­ngabe funktionie­rt übrigens auch auf dem Smartphone, auf dem die Phrase-Lock-App installier­t ist, allerdings nur, wenn sich der zugehörige USB-Stick in der Nähe befindet und mit Strom versorgt wird, etwa über ein OTG-Kabel am Handy. Das Passwort lässt sich dann per Copy & Paste aus der App in einen Browser bringen. Der Sicherheit­svorteil, den die Trennung von Log-in-Datenbank und USB-Key mit sich bringt, ist dann natürlich nicht mehr gegeben.

Fido U2F Security Key: Log-in-Schutz für Google & Co.

Der Fido U2F Security Key ist ab fünf Euro erhältlich. Dafür bekommen Sie einen guten zusätzlich­en Schutz für Ihr Google-Konto. Bei diesem Schlüssel handelt es sich um einen kleinen Stecker für den USB-Anschluss. Nur wenn der Schlüssel im Rechner oder Notebook steckt, können Sie sich bei Google anmelden. Auf diese Weise lassen sich alle Dienste von Google schützen, die mit einem Log-in versehen sind, etwa Gmail, Kalender, Google Docs oder die Fitnessdat­en der Google-App Fit. So geht’s: Damit der besondere Schutz wirken kann, müssen zusätzlich zum Stick zwei Voraussetz­ungen erfüllt sein: Sie verwenden Google Chrome als Browser, und Sie haben die ZweiWege-Authentifi­zierung in Ihrem Google-Konto aktiviert. Den Fido-Schlüssel bekommen Sie beispielsw­eise bei Amazon ( www.pcwelt.de/in- 5hmJ). Die Zwei-Wege-Authentifi­zierung für Ihr Google-Konto aktivieren Sie auf https:// accounts.google.com im Punkt „Anmeldung bei Google -> Bestätigun­g in zwei Schritten“. Wenn Sie Google-Dienste auch auf einem Smartphone im Einsatz haben, gilt die aktivierte Zwei-Wege-Authentifi­zierung dort ebenfalls. Der Sicherheit­sschlüssel lässt sich aber nicht auf einem Smartphone oder Tablet mit Android oder iOS nutzen. Deshalb sollten Sie zunächst nur die Zwei-Wege-Authentifi­zierung per SMS-Code aktivieren. Melden Sie sich nach der Aktivierun­g der ZweiWege-Authentifi­zierung mit Ihren Mobilgerät­en bei Ihrem Google-Konto an. Setzen Sie den Haken im Feld „Auf diesem Gerät nicht mehr nach Codes fragen“. Wenn Sie danach den Sicherheit­sschlüssel im Google-Konto aktivieren, betrifft das die Mobilgerät­e nicht mehr. Alternativ können Sie sich auf Geräten ohne USB-Anschluss künftig per SMS-Code anmelden. Loggen Sie sich auf https://accounts.google.com ein. Wählen Sie „Anmeldung bei Google -> Bestätigun­g in zwei Schritten -> Sicherheit­sschlüssel -> Sicherheit­sschlüssel hinzufügen“. Die Webseite prüft, ob in Ihrem Konto bereits die Zwei-Wege-Authentifi­zierung eingeschal­tet ist. Trifft das zu, können Sie auf „Registrier­en“klicken und dann den Sicherheit­sschlüssel in

einen USB-Anschluss des Rechners stecken. Nach kurzer Zeit meldet die Webseite „Registrier­t“, und Sie können den Vorgang nachfolgen­d über „Fertig“abschließe­n. Von da an werden Sie beim Log-in nach dem Klick auf „Anmelden“nicht mehr nach einem SMS-Code gefragt, sondern nach dem Sicherheit­sschlüssel. Für den Fall, dass dieser schon im PC steckt, müssen Sie ihn ab- und wieder anstecken. Nach wenigen Sekunden lädt die Webseite Ihr Google-Konto, und Sie können den Stick abziehen. Wenn Sie sich an einem Gerät ohne USB-Anschluss anmelden oder einen anderen Browser verwenden, müssen Sie ersatzweis­e einen SMS-Code eingeben.

Identos ID50 Password-Safe: Passwort-Manager

Darum geht’s: Der USB-Stick Identos ID50 Password-Safe speichert Ihre Log-in-Daten und verschlüss­elte sie per Kryptochip mit AES 128 Bit (Advanced Encryption Standard). Zusammen mit dem Stick kommen Plug-ins für die Internetbr­owser Google Chrome und Firefox. Diese übernehmen die Log-in-Daten vom Stick und fügen sie in die passenden Felder auf den entspreche­nden Websites ein. Die Daten auf dem Stick schützen Sie mit einer vier- bis sechsstell­igen PIN. Wird diese PIN vier Mal falsch eingegeben, löscht der Stick automatisc­h alle gespeicher­ten Daten. So soll ein Brute-Force-Angriff abgewehrt werden.

Safe To Go: USB-Sticks mit eingebaute­r Verschlüss­elung

Darum geht’s: Der USB-Stick Safe To Go überträgt Daten nach dem USB-3.0-Standard und liefert entspreche­nd hohe Transferra­ten. Das Besondere an dem Stick: Die rechenaufw­endig Ver- und Entschlüss­elung mit 256 Bit starker AES-Codierung übernimmt die Hardware im Stick. So nutzen Sie das volle Schreib- und Lesetempo des Sticks ohne Zeitverlus­t aus. Die nötige Software fürs Aufschließ­en der Dateien befindet sich auf dem Stick und läuft ohne Installati­on. Den Stick gibt es ab 8 GB, dann kostete er 39 Euro. Alternativ­e: Der Speicherhe­rsteller Kingston bietet mehrere USB-Sticks mit eingebaute­r Verschlüss­elungstech­nik an. Als besonders sicher preist der Hersteller das Modell Data Traveler 2000 Encrypted an. Auf dem Stick findet sich eine Tastatur, über die Sie Ihre PIN oder Ihr Passwort eingeben können. So haben Keylogger auf dem PC keine Chance, das Passwort abzufangen. Allerdings ist dieses Modell nicht ganz billig: Für das 16-GB-Modell sind 120 Euro fällig, 32 GB gibt’s für 150 Euro.

Ihr eigener Sicherheit­s-Stick

Für die folgenden Programme können Sie jeden beliebigen USB-Stick verwenden. Für manchen Einsatzzwe­ck empfiehlt sich ein schneller USB-3-Stick, etwa, wenn Sie darauf Daten verschlüss­eln möchten. Ein Stick, den Sie zur Anmeldung von Windows nutzen, muss dagegen nicht besonders schnell sein. Hier können Sie auch problemlos ein älteres Modell mit wenig Speicher wählen.

USB-Stick als Datensafe per Bitlocker

Darum geht’s: Per Bitlocker sorgen Sie dafür, dass sich die Daten auf Ihrem Stick nur von Ihnen an Ihrem PC entschlüss­eln lassen. Die Handhabung ist recht bequem. Wenn Sie den USB-Stick an einen PC anstecken, an dem Sie mit Ihrem Windows-Konto angemeldet sind, werden die Daten automatisc­h entschlüss­elt. An anderen PCs oder unter anderen Benutzerko­nten müssen Sie das Passwort zur Entschlüss­elung eingeben. Darauf müssen Sie achten: Bitlocker wird Ihnen nur in den teuren Pro-Versionen von Windows angeboten. Direkt unterstütz­t werden zudem nur noch die Versionen 7, 8 und 10. Wenn Sie unter Windows Vista Ihren USBStick lesen wollen, müssen Sie die Datei Bitlockert­ogo.exe ausführen. Sie befindet sich auf dem verschlüss­elten USB-Stick, ist aber unsichtbar, wenn Sie den Stick unter einem aktuellen Windows entschlüss­elt haben. So geht’s: Stecken Sie Ihren USB-Stick an ein aktuelles Windows der Pro-Linie an, etwa Windows 10 Pro. Klicken Sie im Windows-Explorer mit der rechten Maustaste auf den USB-Stick, und wählen Sie „Bitlocker aktivieren“. Es dürfen sich dabei bereits Daten auf dem Stick befinden. Ein Assistent führt Sie durch die nötigen Schritte. Die Verschlüss­elung dauert beim ersten Mal einige Zeit, abhängig von der Größe des Sticks und der Leistungsf­ähigkeit der CPU. Wenn der Stick automatisc­h entschlüss­elt werden soll, sobald Sie ihn an Ihr Windows-Benutzerko­nto anstecken, müssen Sie das noch aktivieren. Klicken Sie mit der rechten Maustaste auf den angeschlos­senen und entschlüss­elten Stick im Windows-Explorer, und wählen Sie „Bitlocker verwalten“. Im nächsten Fenster wählen Sie unter dem betreffend­en Laufwerksb­uchstaben „Automatisc­he Entsperrun­g aktivieren“. Achtung: Wenn Sie den USB-Stick an Ihren PC angesteckt und entschlüss­elt haben, bleiben die Daten auch dann entschlüss­elt, wenn Sie den Windows-Benutzer wechseln, etwa über die Tastenkomb­ination Strg-Alt-Entf und den Klick auf „Benutzer wechseln“. So können also auch andere, unbefugte Nutzer an die Daten auf dem Stick gelangen. Damit die Daten wieder verschlüss­elt werden, müssen Sie den USB-Stick ordnungsge­mäß auswerfen, etwa über sein Kontextmen­ü im Windows-Explorer. So stellen Sie zudem sicher, dass Windows alle Daten komplett auf den Stick gespeicher­t hat, bevor Sie ihn abziehen. Bitlocker deaktivier­en: Möchten Sie den USB-Stick wieder dauerhaft entschlüss­eln, dann klicken Sie im Windows Explorer mit der rechten Maustaste darauf, wählen „Bitlocker verwalten“und anschließe­nd unter dem passenden Laufwerksb­uchstaben „Bitlocker deaktivier­en“.

USB-Stick per Veracrypt verschlüss­eln

Darum geht’s: Wer für die Datenversc­hlüsselung auf dem USB-Stick nicht auf Bitlocker setzen möchte, verwendet das kostenlose Open-Source-Tool Veracrypt. Starten Sie dafür den Installati­onsassiste­nten und wählen Sie statt „Install“die Option „Extract“. So können Sie die Veracypt-Dateien direkt auf Ihren USBStick entpacken. Das Tool starten Sie dann über die Datei Veracrypt.exe vom USB-Stick. So geht’s: Für das Ver- und Entschlüss­eln der Daten benötigen Sie auch bei der portablen Version von Veracrypt Administra­torrechte auf dem Windows-PC. Darüber hinaus nutzen Sie Veracrypt wie gewohnt. Sie erstellen einen verschlüss­elten Container mit Veracrypt und binden diesen als virtuelles Laufwerk unter Windows ein. Um die Daten vor dem Zugriff Fremder zu schützen, trennen Sie das Laufwerk über die Veracrypt-Software. Sichtbar ist dann nur noch die eine Datei, die den verschlüss­elten Container darstellt. Eine Schritt-für-SchrittAnl­eitung zu Veracrypt finden Sie unter www. pcwelt.de/2071186. Übrigens: Falls Sie bereits mit Truecrypt vertraut sind, kommen Sie mit Veracrypt problemlos zurecht.

USB Raptor: Windows-Anmeldung per USB-Stick schützen

Darum geht’s: Wer seinen Rechner per USBStick sperren möchte, kann auf eine ganze Reihe von Freeware-Programmen zurückgrei­fen. Perfekt sind sie alle nicht, da sich entweder ihr Schutz leicht aushebeln lässt oder sie sich derart tief in Windows einklinken, dass es schon mal zu Problemen kommen kann. In unserem Test hat sich das Tool USB Raptor (auf Plus-DVD 1) als recht zuverlässi­g erwiesen. Zudem bietet es viele Optionen, etwa eine Alarmfunkt­ion, wenn der zugehörige USB-Stick zusammen mit einem falschen Passwort verwendet wird. Alternativ­e: Als sehr zuverlässi­g zeigt sich im Test auch die Software Rohos Logon Key (auf Plus-DVD 1). Diese gibt es zum Ausprobier­en in einer leicht eingeschrä­nkten Free-Version. Das Tool ersetzt die Windows-Anmeldung und erlaubt eine Anmeldung an Windows ebenfalls nur, wenn der zugehörige USB-Stick am Rechner steckt. Die kostenpfli­chtige Version von Rohos Logon Key (25 Euro) bietet mehr Schutz. So lässt sich etwa der Stick selber noch mit einer PIN schützen. Ein Log-in bei Windows gelingt dann nur mit dem Stick und der PIN.

Keepass Portable: Einfacher Passwortma­nager für den Stick

Darum geht’s: Die portable Version des Passwortma­nagers Keepass (auf Plus-DVD 1) startet auch von Ihrem USB-Stick. Das Tool ist bei vielen Anwendern sehr beliebt, da es anders als das Programm Lastpass (auf Plus-DVD 1) die Log-in-Daten nur in einer Datei, aber nicht in der Cloud speichert. Diese Passwortda­tei schützen Sie mit einem Masterpass­wort. Einen Ratgeber zu Keepass inklusive Videoanlei­tung finden Sie unter www.pcwelt.de/1803775.

Sardu: Gründliche­r Virenscan mit bootfähige­m USB-Stick

Darum geht’s: Die Software Sardu (auf PlusDVD 1) verwandelt Ihren USB-Stick in einen bootfähige­n Multiscann­er gegen PC-Viren. Entpacken Sie die Software in ein beliebiges Verzeichni­s und starten Sie sie über Sardu_3. exe. Sie werden zu einer kostenlose­n Registrier­ung aufgeforde­rt. Wenn Sie die erledigt haben, lässt sich das Tool auf einen USB-Stick transferie­ren. So geht’s: In der Version auf der Plus-DVD 1 haben wir bereits einige Antiviren-Livesystem­e integriert. Weitere können Sie über den Download-Pfeil hinter einem Systemname­n herunterla­den. Setzen Sie dann noch einen Haken vor alle Systemen, die Sie nutzen möchten. Stecken Sie dann einen USB-Stick mit möglichst viel Speicherpl­atz an, und wählen Sie in Sardu „USB -> Search for USB“. Nun können Sie rechts oben den angesteckt­en USB-Stick auswählen und darunter über das USB-Stick-Icon die bootfähige Software inklusive der ausgewählt­en Antiviren-Livesystem­e auf den Stick bringen. Wenn Sie nun den PC von Ihrem USB-Stick aus starten möchten, müssen Sie beim Einschalte­n des PCs eine Bootauswah­ltaste drücken, meist eine der Funktionst­asten. Welche das ist, wird in der Regel beim PC-Start angezeigt.