Sicherheit für USB-Sticks

USB-Verschlüsselung via Soft- und Hardware



Andreas Th. Fischer ist freier Journalist im Süden von München. Er verfügt über langjährige Erfahrung als Redakteur bei verschiedenen IT-Fachmedien, darunter NetworkWorld Germany, com! professional und ChannelPartner. Seine fachlichen Schwerpunkte liegen in den Bereichen IT-Security,  Betriebssysteme, Netzwerke, Virtualisierung, Cloud Computing und KI. 
USB-Sticks gehören noch lange nicht zum alten Eisen. Welche Lösungen gibt es zur Verschlüsselung der auf ihnen gespeicherten Daten?

Selbst in Zeiten schneller Internet-Verbindungen und nahezu allgegenwärtiger Cloud-Dienste bleiben USB-Sticks nützliche Helfer, so dass sie auch in Unternehmen noch häufig anzutreffen sind. Im Handumdrehen lassen sich wichtige Dokumente auf sie kopieren, die dann etwa mit zum Kunden oder übers Wochenende mit nach Hause genommen werden können. Aber was ist, wenn der Stick verloren geht oder gestohlen wird?

Unternehmen, die USB-Sticks einsetzen, müssen für eine sichere Verschlüsselung der auf den Sticks gespeicherten Daten sorgen.
Unternehmen, die USB-Sticks einsetzen, müssen für eine sichere Verschlüsselung der auf den Sticks gespeicherten Daten sorgen.
Foto: Victor Moussa - shutterstock.com

Die Absicherung von auf USB-Sticks gespeicherten geschäftlichen Daten ist auch in Anbetracht der seit Mai 2018 in der Europäischen Union geltenden Datenschutzgrundverordnung (DSGVO) ein wichtiges Thema. Unter Umständen muss beim Verlust eines USB-Sticks nämlich nachgewiesen werden können, dass keine personenbezogenen Daten in fremde Hände gelangt sind. Ein solcher Datenverlust lässt sich nur mit Verschlüsselung verhindern.

Prinzipiell gibt es zwei Möglichkeiten, um Daten auf USB-Sticks zu verschlüsseln: Entweder mit Software oder mit Hardware. Beide haben ihre Vor- und Nachteile. So ist eine Software-Verschlüsselung meist leichter und auch mit handelsüblichen USB-Sticks umzusetzen. Allerdings lässt sich dann nicht immer vermeiden, dass ein Mitarbeiter lieber doch den schnellen Weg wählt und zumindest gelegentlich unverschlüsselte Daten auf seinen Stick kopiert.

Das funktioniert bei speziellen USB-Sticks mit Hardware-Verschlüsselung nicht. Sie sind zum Beispiel mit einem Keypad ausgestattet, das die Zugriffe zuverlässig kontrollieren soll.

USB-Sticks per Software verschlüsseln

In diesem Bereich gibt es verschiedene Möglichkeiten, die meist sogar kostenlos eingesetzt werden können und die sich durchaus auch für Unternehmen eignen. So bietet Microsoft für sein Windows-Betriebssystem seit einigen Jahren BitLocker to Go an. Diese Verschlüsselungsmethode steht in praktisch allen Pro- und Enterprise-Versionen seit Windows 7 zur Verfügung. Ist der Stick erst einmal verschlüsselt, kann er dann auch unter Windows Home gemountet und genutzt werden. Nur das Anlegen neuer Volumes ist unter Home nicht möglich.

Rohos Mini Drive ist eine kostenlose Verschlüsselungs-Software für USB-Sticks.
Rohos Mini Drive ist eine kostenlose Verschlüsselungs-Software für USB-Sticks.

Eine Alternative zu BitLocker to Go ist das kostenlose Rohos Mini Drive. Es funktioniert auf fremden PCs ohne Admin-Rechte. Auch eine Archivierungs-Software wie 7-Zip kann genutzt werden, um Dateien vor dem Kopieren auf den USB-Stick zu verschlüsseln. Dabei muss jede einzelne Datei aber separat oder als 7-Zip-Verzeichnis ver- und später wieder entschlüsselt werden. Das ist umständlich und nach dem Entschlüsseln auf einem anderen PC bleiben möglicherweise lesbare Daten übrig.

Der Truecrypt-Nachfolger Veracrypt erledigt dies eleganter. Mit der Software lassen sich verschlüsselte Container erstellen, die zusammen mit einer portablen EXE-Datei von Veracrypt auf dem USB-Stick abgelegt werden können. Auf Computern, auf denen der Anwender zumindest vorübergehend auch Admin-Rechte erhält, kann der Container dann geöffnet werden, um auf die darin enthaltenen Daten zuzugreifen. Sobald der Stick abgezogen wird, ist auch kein Zugriff mehr auf den Container und die darin enthaltenen Daten möglich.

USB-Sticks mit Hardware-Verschlüsselung

Software-Lösungen zur Verschlüsselung von Daten auf USB-Sticks lassen sich zwar meist kostenlos nutzen, aber auf Dauer überzeugen sie nicht im Unternehmenseinsatz. Einzelne Anwender mögen den teilweise aufwändigen Prozess des Ver- und Entschlüsselns ihrer Dateien einhalten. Viele andere werden aber über kurz oder lang wieder zum bequemeren einfachen Kopieren der Daten zurückkehren.

Bei USB-Sticks mit eingebauter Hardware-Verschlüsselung, die zum Beispiel einen Zugriff erst nach Eingabe einer PIN erlauben, ist dies von vornherein nicht möglich. Sie bieten eine höhere Sicherheit, sind aber in der Anschaffung teurer. So kostet etwa der Datashur Pro von iStorage schon in der kleinsten Variante mit 4 GByte Kapazität und USB 3.0 mehr als 60 Euro. Die größte Version mit 64 GByte Kapazität kostet sogar mehr als 150 Euro. Vergleichbar große USB-Sticks von Markenherstellern gibt es aktuell schon für unter 15 Euro, allerdings ohne Keypad und ohne eingebaute Verschlüsselung.

Der Datashur Pro arbeitet nach Angaben des Herstellers mit einer AES-XTS-Verschlüsselung mit 256 Bit, die den gesamten verfügbaren Speicherplatz abdeckt. Eine rote LED auf der Vorderseite des Sticks leuchtet, wenn der Stick gesperrt ist. Erst nach Eingabe der passenden PIN wird der Stick freigegeben. Dann leuchtet eine grüne LED. Eine dritte LED in blauer Farbe blinkt, wenn der Stick an einen PC angeschlossen wurde und Daten übertragen werden.

Der USB-Stick lässt sich nicht nur an Windows-Computern nutzen, sondern auch an Rechnern mit Mac OS oder Linux. Da er OS-unabhängig arbeitet, soll er auch an Chromebooks und Android-Geräten mit USB-Port arbeiten. Er kann laut Hersteller sogar zum Booten eines PC verwendet werden, wenn vorher ein bootfähiges Image auf ihm installiert wurde. Laut iStorage wurde er zudem nach FIPS 140-2 Level 3, NLNCSA DEP-V und NATO Restricted Level zertifiziert. Das Aluminium-Gehäuse ist darüber hinaus Wasser- und Staub-resistent nach IP57.

Standardmäßig ist der Datashur Pro mit einer acht-stelligen PIN geschützt. Der Verpackung liegt eine kleine Anleitung bei, die beschreibt, wie die PIN geändert werden kann. Erlaubt sind zwischen 7 und 15 Stellen, wobei leicht zu erratende PINs wie 1-2-3-4-5-6-7 vom USB-Stick nicht akzeptiert werden. Nach Eingabe der richtigen PIN hat der Anwender 30 Sekunden Zeit, um den USB-Stick an einem PC anzuschließen. Ansonsten wird der Stick wieder gesperrt.

Nach zehnmaliger Eingabe einer falschen PIN löscht der Stick alle Daten automatisch. Er lässt sich danach aber wieder weiternutzen und neu mit Daten beschreiben. Wird versucht, den USB-Stick auseinanderzunehmen, um auf andere Weise an die darauf abgelegten Informationen zu kommen, werden nach Angaben des Herstellers ebenfalls alle Daten zerstört.

In Deutschland arbeitet der in Großbritannien ansässige Hersteller iStorage unter anderem bereits mit Bechtle, Cyberport, MCE-ETV und Misco zusammen. Interessierte Partner können sich nach Aussage von Mario Hadad, German PR Executive bei iStorage, an die Mail-Adresse info@istorage-uk.com wenden, wenn sie an einer Zusammenarbeit interessiert sind. Ein neues Partnerprogramm sei gerade in Entwicklung. Sobald es fertig ist, soll es auf der Webseite des Unternehmens veröffentlicht werden.

Lesen Sie auch: Die 10 besten Tipps für eine sichere E-Mail-Verschlüsselung

Zur Startseite