Sicherheitsrisiko durch unverschlüsselte USB-Sticks

USB-Geräte richtig absichern

07.03.2017
Von  und
Thomas Bär, der seit Ende der neunziger Jahre in der IT tätig ist, bringt weit reichende Erfahrungen bei der Einführung und Umsetzung von IT-Prozessen im Gesundheitswesen mit. Dieses in der Praxis gewonnene Wissen hat er seit Anfang 2000 in zahlreichen Publikationen als Fachjournalist in einer großen Zahl von Artikeln umgesetzt. Er lebt und arbeitet in Günzburg.
Frank-Michael Schlede arbeitet seit den achtziger Jahren in der IT und ist seit 1990 als Trainer und Fachjournalist tätig. Nach unterschiedlichen Tätigkeiten als Redakteur und Chefredakteur in verschiedenen Verlagen arbeitet er seit Ende 2009 als freier IT-Journalist für verschiedene Online- und Print-Publikationen. Er lebt und arbeitet in Pfaffenhofen an der Ilm.

Software-gestützte Verschlüsselung mittels Freeware

Anwender und Firmen, die aus den verschiedensten Gründen zwar eine Software-gestützte Verschlüsselung für ihre USB-Sticks einsetzen wollen aber nicht auf Bitlocker zurückgreifen möchten, finden auf dem weiten Feld der Free- und Shareware eine große Auswahl von Lösungen, die in den meisten Fällen ähnlich arbeiten, wie es viele Nutzer wahrscheinlich noch von der Software TrueCrypt her kennen: Sie legen verschlüsselte, durch ein Passwort geschützte Container auf den USB-Sticks ab. Dazu kann beispielsweise auch der TrueCrypt-Nachfolger VeraCrypt zum Einsatz kommen.

Ein weiteres Beispiel aus dieser Kategorie ist die freie Lösung Rohos Mini Drive. Sie steht kostenlos zum Download bereit und bietet einige Möglichkeiten:

  • So können die Nutzer damit eine virtuelle Partition anlegen, die dann auf dem USB-Stick verschlüsselt wird. Die freie Version der Software erlaubt es dabei Partitionen bis zu einer Größe von 8 GByte anzulegen.

  • Ein Setup-Assistent erkennt automatisch vorhandene USB-Laufwerke und installiert die entsprechenden Einstellungen.

  • Eine Anwendung Rohos-Mini.exe kommt dabei mit auf den USB-Stick und ermöglicht es den Nutzern auf diese Weise, den Datenträger auch an Windows-Rechner einzusetzen und zu entschlüsseln, auf denen die Software nicht installiert ist.

Als Verschlüsselungsalgorithmus kommt laut Anbieter AES mit 256 Bit Schlüssellänge und Verwendung von NIST-kompatiblen Verschlüsselungsstandards.

Die Freeware Rohos Mini Drive ermöglicht es Nutzern mit wenigen Mausklicks Daten auf einem USB-Stick (bis zu 8 GByte in der freien Version) zu verschlüsseln.
Die Freeware Rohos Mini Drive ermöglicht es Nutzern mit wenigen Mausklicks Daten auf einem USB-Stick (bis zu 8 GByte in der freien Version) zu verschlüsseln.

Wer sich mit Security-Profis unterhält wird allerdings schnell erfahren, dass sie häufig dieser Art von Lösung misstrauen, weil die meisten Anbieter ihre Verschlüsselungsalgorithmen und den Source-Code ihrer Programme nicht offenlegen. Wer also mit hochsensiblen Daten arbeitet, sollte sich sehr genau überlegen, welche Lösung von welchem Anbieter er für eine Software-gestützte Verschlüsselung seiner USB-Sticks verwendet und im Zweifelsfall die benötigten Informationen zum Source-Code beim Anbieter seiner Wahl einfordern.

Königsdiziplin: Alles in Hardware

Viele Probleme und Unsicherheit, die beim Einsatz einer Software-gestützten Verschlüsselung der USB-Sticks die Sicherheit oder wenigstens doch den leichten Einsatz einschränken, können durch den Einsatz spezieller Medien umgangen werden, die mit einer Verschlüsselung auf Hardware-Basis ausgestattet sind. Eine ganze Reihe von Herstellern bietet ein breite Palette dieser Geräte an. Dazu gehören neben der Firma Kingston, die im letzten Jahr mit dem Hersteller Ironkey einen weiteren Anbieter aus diesem Bereich übernommen hat, auch Unternehmen wie der deutsche Anbieter Prosoft mit seiner Lösung SafeToGo 3.0 oder das Systemhaus Optimal mit Hardware-verschlüsselten USB-Sticks und Festplatten unter der Bezeichnung "Kanguru".

Hardware mit Tasten: Kingston Data Traveller 2000. Das Laufwerk wird mit einem Wort oder einer Nummernkombination über die alphanumerische Tastatur gesperrt. (Quelle: Kingston Technology)
Hardware mit Tasten: Kingston Data Traveller 2000. Das Laufwerk wird mit einem Wort oder einer Nummernkombination über die alphanumerische Tastatur gesperrt. (Quelle: Kingston Technology)
Foto: Kingston Technology

Alle diese Hersteller können entsprechende Zertifizierungen vorweisen und bieten zudem entsprechende Management-Software an, die es Administratoren erlaubt, die USB-Sticks zentral zu verwalten und zu betreuen. Noch viel mehr als bei den Software-gestützten Lösungen müssen sich die Firmen und Anwender hier auf den Anbieter und seine Informationspolitik verlassen können, was die Implementierung der Chiffrierung und der Verschlüsselungsalgorithmen angeht. Deshalb sollte IT-Verantwortliche hier genau nachfragen und entsprechende Nachweise fordern, dass die Geräte beispielsweise keine Backdoors oder Master-Passwörter beinhalten, durch die die angestrebte Sicherheit konterkariert würde.

Kann der Hersteller beispielsweise die von den Anwendern vergebenen Passwörter ausschließlich über ein Master-Passwort zurücksetzen, so kann durchaus eine Sicherheitslücke darstellen. Auch die Abspeicherung von Passwörter in der Cloud sollte bei dieser Art der Lösung nicht vorgenommen werden. Fast alle Anbieter bieten die Möglichkeit, zunächst Musterexemplare der USB-Sticks zu bekommen, damit die IT-Mannschaft in der Praxis feststellen kann, ob die Geräte dem Sicherheitskonzept des eigenen Unternehmens genügen.

Fazit: Es geht deutlich sicherer

IT-Verantwortliche und Anwender auch in kleineren Firmen sollten sich unbedingt Gedanken darüber machen, wie sie mit den Daten auf USB-Sticks umgehen. Es ist relativ unrealistisch, den Einsatz dieser Speichermedien einfach grundsätzlich und kategorisch zu verbieten - zumal ihr Gebrauch im täglichen Betrieb viele Vorteile bietet.

Neben Schulungen, die dabei helfen den Nutzern deutlich zu machen, wie schnell wichtige Daten auf USB-Sticks aus der Firma verschwinden und in falsche Hände gelangen können, ist es sinnvoll über eine generelle Richtlinie nachzudenken, mit der die Anwender dazu verpflichtet die Daten auf den USB-Sticks zu verschlüsseln.

Für Firmen, in denen sicherheitsrelevante Daten auf diesen Medien transportiert werden, gibt kaum eine Alternative: Sie sollten für diese Einsätze spezielle USB-Sticks mit Hardware-Verschlüsselung anschaffen und einsetzen. Der Einsatz dieser Geräte sollte dabei um eine Verwaltungslösung ergänzt werden, die es den Administratoren erlaubt, sie entsprechend sicher zu verwalten. So können dann beispielsweise auch Sicherheitsrichtlinien zentral auf alle Geräte ausgerollt und dort durchgesetzt werden.

Aber auch Firmen, die "nur" ihre normalen Daten - wie etwa Geschäftsberichte, Kundenlisten oder Angebote - auf diese Weise transportieren, sollten auf eine Verschlüsselung dieser USB-Sticks setzen. Auch wenn eine Software-basierte Lösung wie die in den Windows-Systemen integrierte Software Bitlocker nicht das hohe Sicherheitsniveau der Hardware-gestützten Ansätze erreichen kann: Ein versehentlich verlorener USB-Stick, der so verschlüsselt wurde, ist dadurch aber auf jedem Fall sinnvoll vor "Zufallsfunden" geschützt. Die Firma ist auf diese Art davor geschützt, dass beispielsweise Geschäftsdaten ebenso zufällig in falsche Hände geraten.