Sicherheitsrisiko durch unverschlüsselte USB-Sticks

USB-Geräte richtig absichern

07.03.2017
Von  und
Thomas Bär, der seit Ende der neunziger Jahre in der IT tätig ist, bringt weit reichende Erfahrungen bei der Einführung und Umsetzung von IT-Prozessen im Gesundheitswesen mit. Dieses in der Praxis gewonnene Wissen hat er seit Anfang 2000 in zahlreichen Publikationen als Fachjournalist in einer großen Zahl von Artikeln umgesetzt. Er lebt und arbeitet in Günzburg.
Frank-Michael Schlede arbeitet seit den achtziger Jahren in der IT und ist seit 1990 als Trainer und Fachjournalist tätig. Nach unterschiedlichen Tätigkeiten als Redakteur und Chefredakteur in verschiedenen Verlagen arbeitet er seit Ende 2009 als freier IT-Journalist für verschiedene Online- und Print-Publikationen. Er lebt und arbeitet in Pfaffenhofen an der Ilm.
CD/DVDs oder gar Disketten werden nur noch sehr selten zum Datentransport eingesetzt. Was nicht direkt über das Netzwerk geht, landet auf USB-Sticks - das kann aber mit erheblichen Risiken verbunden sein.

Wer sich einmal in den Firmen und Büros umschaut, wird feststellen, dass ein Speichermedien an fast allen Arbeitsplätzen zu finden ist: USB-Sticks kommen in allen Formen, Farben und Ausprägungen zum Einsatz. Zudem stehen solche Geräte aktuell auch mit 32 oder 64 GByte bis hin zu 128 GByte Speicherplatz und USB-3.0-Anschluss recht preiswert zur Verfügung. Somit haben sich die kleinen Geräte zu den idealen Datenspeichern entwickelt, auf denen dann auch schon mal der Inhalt einer ganzen Datenbank oder Web-Seite abgespeichert und mitgenommen werden kann.

Auch die Daten auf einem USB-Stick sollten wirksam vor unberechtigtem Zugriff geschützt werden.
Auch die Daten auf einem USB-Stick sollten wirksam vor unberechtigtem Zugriff geschützt werden.
Foto: alice-photo - shutterstock.com

Jeder nutzt sie - auch für sensible Daten

So kommt es dann auch, dass diese Datenträger heute für alle Zwecke genutzt werden und dadurch auch Sicherheitsprobleme auftauchen können. Einem Großteil der Nutzer dürfte es dabei in der Zwischenzeit klargeworden sein, dass es grundsätzlich keine gute Idee ist, einen unbekannten USB-Stick, der "zufällig" auf dem Parkplatz der Firma lag, mit dem eigenen PC zu verbinden - auch wenn die meisten AV-Programme heute diesen Bereich überwachen und dann wenigsten den Autostart von Programmen auf solchen Geräten verhindern können.

Doch beim alltäglichen Einsatz von USB-Sticks gibt es noch andere Risiken, die leider nach wie vor von vielen Firmen nicht beachtet werden. Wo die Risiken bei der Sicherheit der Daten auf den USB-Sticks liegen, wollten die Spezialisten der Firma Kingston wissen und haben bereits im Jahr 2016 Mitarbeiter von Unternehmen der verschiedensten Branchen dazu befragt. Nicht besonders erstaunlich war dabei das Ergebnis, dass die Mitarbeiter auch im Zeitalter der Cloud nicht auf diese Medien verzichten wollen und werden. Die Untersuchung zeigte zudem, dass hierbei vielfach das bekannte BYOD-Prinzip (Bring Your Device) greift: Die Mehrheit der Befragten (58 Prozent) gab an, dass sie kaum eine Trennung zwischen privaten und beruflichen USB-Sticks vornimmt.

So landen die wichtigen Geschäftsdaten schnell auf einem ganz normalen USB-Stick, der dann in der Tasche auch mit nach Hause wandert. Bei der Befragung gaben sogar drei von fünf Mitarbeitern an, dass sie berufliche Daten auf diesen Speichermedien sichern und ein Viertel der Befragten sagte, dass in ihrem Unternehmen durchaus auch vertrauliche und schützenswerte geschäftliche Daten auf USB-Sticks abgespeichert werden.

Die Gefahr - was passiert beim Verlust?

Eigentlich sollten Firmen grundsätzlich verhindern, dass Daten auf diese Weise "abfließen" und ist der Gebrauch von portablen USB-Geräten in einigen Unternehmen auch ganz verboten oder doch stark eingeschränkt. Trotzdem konnte die Kingston-Studie auch zeigen, dass vielen IT-Verantwortlichen und Anwendern das Gefahrenpotenzial an dieser Stelle nicht bewusst ist: So gaben fast 73 Prozent der Befragten unumwunden zu, dass in ihrer Firma schon mal USB-Sticks mit den darauf befindlichen Informationen nicht mehr auffindbar.

Was dann genau mit diesen Medien geschah, konnten dann 57 Prozent nicht sagen: Sie wussten einfach nicht, wo diese Geräte geblieben waren. Zwar gingen dabei weniger als 4 Prozent der Mitarbeiter davon aus, dass die USB-Sticks gestohlen worden, sondern nahmen in der Regel an, dass sich "einfach verloren" worden - woran sich immerhin 39 Prozent der Befragten in konkreten Fällen erinnern konnten.

USB-Sticks: Universelle Medien zur Speicherung und zum Transport von Daten, die aber schnell zur Gefahr werden können, wie eine Studie von Kingston Technology zeigt. (Quelle: Kingston Technology)
USB-Sticks: Universelle Medien zur Speicherung und zum Transport von Daten, die aber schnell zur Gefahr werden können, wie eine Studie von Kingston Technology zeigt. (Quelle: Kingston Technology)
Foto: Kingston Technology

Die Gefahr, dass also USB-Sticks und mit ihnen die darauf befindlichen Daten verloren gehen und dann zufällig in die falschen Hände gelangen ist also nicht zu unterschätzen. Wer einmal in der eigenen Firma nachforscht, wird schnell feststellen, dass immer wieder solcher Medien "einfach verlorengehen". Deshalb ist es sehr sinnvoll, die geschäftlichen Daten nur auf solchen USB-Sticks abzulegen, die eine Verschlüsselung anbieten, die zudem möglichst einfach zu nutzen ist und für die Anwender transparent arbeitet.

Verschlüsselung: Hard- oder Software?

Ist der Entschluss gefallen, die geschäftlich eingesetzten USB-Sticks durch eine Verschlüsselung zu schützen, so bleibt die Wahl zwischen einer Software-gestützten Lösung und Geräten, bei denen dieser Sicherheitsmechanismus direkt in die Hardware integriert wurde. Rein vom Standpunkt der Kosten aus betrachtet, scheint eine Verschlüsselung durch eine Softwarelösung zunächst die günstigere Variante zu sein: Entweder steht sie bereits standardmäßig im Betriebssystem bereit oder eine Free- beziehungsweise Share-Lösung kann diese Funktionalität zur Verfügung stellen. Aus diesem Grund kommen solche Lösungen gerade in kleineren Unternehmen häufiger zum Einsatz. Ein weiterer Vorteil: Eine Software-Lösung ist nicht an das Speichermedium gebunden, kann also beispielsweise auch zur Verschlüsselung von SD-Karten oder externen USB-Festplatten eingesetzt werden. Allerdings gibt es auch Nachteile beim Einsatz einer derartigen Software:

  • Sie arbeitet immer im Kontext des entsprechenden Betriebssystems, ist also im Zweifelsfall nur so sicher wie das Betriebssystem selbst.

  • Zudem ist dabei häufig kein Plattform-übergreifender Einsatz des verschlüsselten USB-Sticks mehr möglich: Arbeitet die eingesetzte Software nur unter Windows, können Nutzer mit einem MacOS-Systeme die Daten nicht entschlüsseln, auch wenn sie im Prinzip vielleicht mit den Daten an sich durchaus auf ihrer Plattform arbeiten könnten.

  • Vielfacht kommt Standard-Passwort des Nutzers auch Schlüssel für den USB-Sticks zum Einsatz, mit all den daraus entstehenden Nachteilen wie beispielsweise unsichere, schwache Passwörter.

  • Die Lösung kann regelmäßige Software-Updates benötigen, damit sie weiterhin sicher arbeitet.

Wer also nicht auf diese Art der Verschlüsselung setzen will, kann bei einer ganzen Reihe von Lösungen in Form von USB-Sticks mit Hardwareverschlüsselung finden.

Eingebaute Verschlüsselung: Bitlocker

Obwohl Microsoft bereits seit Windows 7 die Betriebssysteme mit der Software Bitlocker ausstattet, scheuen viele Anwender und IT-Profis nach wie vor den Einsatz dieser Verschlüsselungslösung. Aber gerade mit der Variante "Bitlocker To Go" steht fast allen Windows-Anwendern eine entsprechende Möglichkeit zur Verfügung, USB-Sticks standardmäßig und transparent zu verschlüsseln. Allerdings müssen die Nutzer dazu die Professional- oder Enterprise- beziehungsweise bei Windows 7 auch noch die Ultimate-Version des jeweiligen Betriebssystems einsetzen. Die Home-Versionen der Windows-Systeme können zwar derart verschlüsselte Laufwerke öffnen, aber nicht selbst anlegen.

Da Bitlocker fest in das Betriebssystem integriert ist, kann ein derart verschlüsselter USB-Stick also an jedem Windows-Rechner gelesen werden, so der Nutzer das Passwort kennt. Wer es noch sicherer haben will, kann dabei zusätzlich auch den Einsatz einer Smartcard für das Ver- und Entschlüsseln verlangen. Das Bundesamt für Sicherheit in der Informationstechnik gibt sehr genaue Empfehlungen, wie Firmen Bitlocker To Go im Rahmen des IT-Grundschutzes richtig einsetzen können.

Bitlocker To Go ist eine elegante Methode, USB-Sticks sicherer zu machen und Teil (fast) aller Windows-Versionen: Sie wird leider nur viel zu selten eingesetzt.
Bitlocker To Go ist eine elegante Methode, USB-Sticks sicherer zu machen und Teil (fast) aller Windows-Versionen: Sie wird leider nur viel zu selten eingesetzt.

Die Software ermöglicht es dabei nicht, einzelne Dateien zu verschlüsseln, sondern sie verschlüsselt die Medien komplett. Eine Wiederherstellung ist über das Passwort beziehungsweise eine Smartcard mit Verschlüsselungszertifikat oder die Wiederherstellungsinformationen möglich, die beim Anlegen des verschlüsselten Laufwerks abgespeichert werden müssen.

Bitlocker kann durch die Integration in Active Directory von Administratoren zentral verwaltet werden, so dass die IT-Profis im Zweifelsfall mit der im AD abgespeicherten Wiederherstellungsinformation den Inhalt wiederherstellen können, wenn ein Nutzer beispielsweise das Passwort vergisst. Zudem können Administratoren mittels GPOs (Group Policy Objects festlegen, ob ihre Nutzer diese Verschlüsselung nutzen dürfen und sie vor allen Dingen auf diesem Weg auch festlegen, dass sie an den Workstations nur mit Bitlocker To Go verschlüsselte USB-Sticks einsetzen können.

Seit der Version 1511 nutzt Microsoft standardmäßig die AES-Verschlüsselung in XTS-Blockchiffrierungsmodus. Diese Art der Verschlüsselung soll nicht nur schneller arbeiten, sondern auch mehr Sicherheit bei den verschiedensten Angriffen bieten. Bitlocker unterstützt 128-Bit- und 256-Bit-XTS AES-Schlüssel. Allerdings sind mit AES XTS verschlüsselte Laufwerke dadurch nicht mehr zu Betriebssystemversionen vor Windows 10 Version 1511 kompatibel. Deshalb sollten Administratoren und Anwender für die USB-Sticks nach wie vor die bisherigen ES-CBC-128- und -256-Bit-Algorithmen (CBC = Cipher Block Chaining) einsetzen, so dass die Medien an allen Windows-Geräten eingesetzt werden können.