Sicherheitsrisiko durch unverschlüsselte USB-Sticks

USB-Geräte richtig absichern

07.04.2017 von Thomas Bär und Frank-Michael Schlede
CD/DVDs oder gar Disketten werden nur noch sehr selten zum Datentransport eingesetzt. Was nicht direkt über das Netzwerk geht, landet auf USB-Sticks - das kann aber mit erheblichen Risiken verbunden sein.

Wer sich einmal in den Firmen und Büros umschaut, wird feststellen, dass ein Speichermedien an fast allen Arbeitsplätzen zu finden ist: USB-Sticks kommen in allen Formen, Farben und Ausprägungen zum Einsatz. Zudem stehen solche Geräte aktuell auch mit 32 oder 64 GByte bis hin zu 128 GByte Speicherplatz und USB-3.0-Anschluss recht preiswert zur Verfügung. Somit haben sich die kleinen Geräte zu den idealen Datenspeichern entwickelt, auf denen dann auch schon mal der Inhalt einer ganzen Datenbank oder Web-Seite abgespeichert und mitgenommen werden kann.

Auch die Daten auf einem USB-Stick sollten wirksam vor unberechtigtem Zugriff geschützt werden.
Foto: alice-photo - shutterstock.com

Jeder nutzt sie - auch für sensible Daten

So kommt es dann auch, dass diese Datenträger heute für alle Zwecke genutzt werden und dadurch auch Sicherheitsprobleme auftauchen können. Einem Großteil der Nutzer dürfte es dabei in der Zwischenzeit klargeworden sein, dass es grundsätzlich keine gute Idee ist, einen unbekannten USB-Stick, der "zufällig" auf dem Parkplatz der Firma lag, mit dem eigenen PC zu verbinden - auch wenn die meisten AV-Programme heute diesen Bereich überwachen und dann wenigsten den Autostart von Programmen auf solchen Geräten verhindern können.

Doch beim alltäglichen Einsatz von USB-Sticks gibt es noch andere Risiken, die leider nach wie vor von vielen Firmen nicht beachtet werden. Wo die Risiken bei der Sicherheit der Daten auf den USB-Sticks liegen, wollten die Spezialisten der Firma Kingston wissen und haben bereits im Jahr 2016 Mitarbeiter von Unternehmen der verschiedensten Branchen dazu befragt. Nicht besonders erstaunlich war dabei das Ergebnis, dass die Mitarbeiter auch im Zeitalter der Cloud nicht auf diese Medien verzichten wollen und werden. Die Untersuchung zeigte zudem, dass hierbei vielfach das bekannte BYOD-Prinzip (Bring Your Device) greift: Die Mehrheit der Befragten (58 Prozent) gab an, dass sie kaum eine Trennung zwischen privaten und beruflichen USB-Sticks vornimmt.

Gefahr unverschlüsselter USB-Sticks
USB-Sticks: Nützlich aber manchmal auch ein Datenleck
USB-Sticks: Universelle Medien zur Speicherung und zum Transport von Daten, die aber schnell zur Gefahr werden können, wie eine Studie von Kingston Technology zeigt. (Quelle: Kingston Technology)
USB Sticks in Gefahr
Virus- und Malware-Infektionen machen auch vor einem USB-Stick nicht halt.
Software-gestützte Verschlüssung auf (fast) allen Windows-Systemen.
Bitlocker To Go ist eine elegante Methode, USB-Sticks sicherer zu machen: Sie wird leider nur viel zu selten eingesetzt.
Bitlocker sichert den Zugriff
Kein Rankommen: Wurde der USB-Stick mit Bitlocker verschlüsselt, so muss der Nutzer zunächst das Passwort wissen oder die entsprechende Smartcard einsetzen, um den Inhalt zu entschlüsseln.
Bitlocker-Einsatz über GPO erzwingen
Administratoren können mit Hilfe eines Gruppenrichtlinien-Objekts (GPO) bindend festlegen, dass die Nutzer nur mittels Bitlocker verschlüsselte USB-Sticks verwenden dürfen.
Freeware Rohos Mini Drive
Rohos Mini Drive: Ein Beispiel für eine Freeware, die einen verschlüsselten Container auf einem USB-Stick anlegen kann.
Verschlüsselte Laufwerke einfach anlegen
Die Freeware Rohos Mini Drive ermöglicht es Nutzern mit wenigen Mausklicks Daten auf einem USB-Stick (bis zu 8 GByte in der freien Version) zu verschlüsseln.
Sicher wieder entschlüsseln
Rohos Mini Drive installiert eine ausführbare Datei auf dem USB-Stick, die dann das Entschlüsseln an jedem Windows-Rechner ermöglicht. Zudem bietet sie als Schutz vor Keylogger eine virtuelle Tastatur.
Prosoft SafeToGo 3.0
Ein gutes Beispiel für einen USB-Stick mit Hardware-Verschlüsselung mittels einen integrierten Onboard-CPU. (Quelle: ProSoft GmbH)
Hardware mit Tasten: Kingston Data Traveller 2000
Das Laufwerk wird mit einem Wort oder einer Nummernkombination über die alphanumerische Tastatur gesperrt. Der USB-Stick ist mit einer kompletten 256-Bit AES-Datenverschlüsselung im XTS-Modus ausgestattet. (Quelle Kingston Technology)
Zentrale Verwaltung der Kanguru-Sticks mittels Konsole
Wichtig für den professionellen Einsatz: Die verschlüsselten USB-Sticks können vom Administrator über eine zentrale Konsole verwaltet werden. (Quelle: Optimal Systemberatung GmbH)

So landen die wichtigen Geschäftsdaten schnell auf einem ganz normalen USB-Stick, der dann in der Tasche auch mit nach Hause wandert. Bei der Befragung gaben sogar drei von fünf Mitarbeitern an, dass sie berufliche Daten auf diesen Speichermedien sichern und ein Viertel der Befragten sagte, dass in ihrem Unternehmen durchaus auch vertrauliche und schützenswerte geschäftliche Daten auf USB-Sticks abgespeichert werden.

Die Gefahr - was passiert beim Verlust?

Eigentlich sollten Firmen grundsätzlich verhindern, dass Daten auf diese Weise "abfließen" und ist der Gebrauch von portablen USB-Geräten in einigen Unternehmen auch ganz verboten oder doch stark eingeschränkt. Trotzdem konnte die Kingston-Studie auch zeigen, dass vielen IT-Verantwortlichen und Anwendern das Gefahrenpotenzial an dieser Stelle nicht bewusst ist: So gaben fast 73 Prozent der Befragten unumwunden zu, dass in ihrer Firma schon mal USB-Sticks mit den darauf befindlichen Informationen nicht mehr auffindbar.

Was dann genau mit diesen Medien geschah, konnten dann 57 Prozent nicht sagen: Sie wussten einfach nicht, wo diese Geräte geblieben waren. Zwar gingen dabei weniger als 4 Prozent der Mitarbeiter davon aus, dass die USB-Sticks gestohlen worden, sondern nahmen in der Regel an, dass sich "einfach verloren" worden - woran sich immerhin 39 Prozent der Befragten in konkreten Fällen erinnern konnten.

USB-Sticks: Universelle Medien zur Speicherung und zum Transport von Daten, die aber schnell zur Gefahr werden können, wie eine Studie von Kingston Technology zeigt. (Quelle: Kingston Technology)
Foto: Kingston Technology

Die Gefahr, dass also USB-Sticks und mit ihnen die darauf befindlichen Daten verloren gehen und dann zufällig in die falschen Hände gelangen ist also nicht zu unterschätzen. Wer einmal in der eigenen Firma nachforscht, wird schnell feststellen, dass immer wieder solcher Medien "einfach verlorengehen". Deshalb ist es sehr sinnvoll, die geschäftlichen Daten nur auf solchen USB-Sticks abzulegen, die eine Verschlüsselung anbieten, die zudem möglichst einfach zu nutzen ist und für die Anwender transparent arbeitet.

Verschlüsselung: Hard- oder Software?

Ist der Entschluss gefallen, die geschäftlich eingesetzten USB-Sticks durch eine Verschlüsselung zu schützen, so bleibt die Wahl zwischen einer Software-gestützten Lösung und Geräten, bei denen dieser Sicherheitsmechanismus direkt in die Hardware integriert wurde. Rein vom Standpunkt der Kosten aus betrachtet, scheint eine Verschlüsselung durch eine Softwarelösung zunächst die günstigere Variante zu sein: Entweder steht sie bereits standardmäßig im Betriebssystem bereit oder eine Free- beziehungsweise Share-Lösung kann diese Funktionalität zur Verfügung stellen. Aus diesem Grund kommen solche Lösungen gerade in kleineren Unternehmen häufiger zum Einsatz. Ein weiterer Vorteil: Eine Software-Lösung ist nicht an das Speichermedium gebunden, kann also beispielsweise auch zur Verschlüsselung von SD-Karten oder externen USB-Festplatten eingesetzt werden. Allerdings gibt es auch Nachteile beim Einsatz einer derartigen Software:

Wer also nicht auf diese Art der Verschlüsselung setzen will, kann bei einer ganzen Reihe von Lösungen in Form von USB-Sticks mit Hardwareverschlüsselung finden.

Eingebaute Verschlüsselung: Bitlocker

Obwohl Microsoft bereits seit Windows 7 die Betriebssysteme mit der Software Bitlocker ausstattet, scheuen viele Anwender und IT-Profis nach wie vor den Einsatz dieser Verschlüsselungslösung. Aber gerade mit der Variante "Bitlocker To Go" steht fast allen Windows-Anwendern eine entsprechende Möglichkeit zur Verfügung, USB-Sticks standardmäßig und transparent zu verschlüsseln. Allerdings müssen die Nutzer dazu die Professional- oder Enterprise- beziehungsweise bei Windows 7 auch noch die Ultimate-Version des jeweiligen Betriebssystems einsetzen. Die Home-Versionen der Windows-Systeme können zwar derart verschlüsselte Laufwerke öffnen, aber nicht selbst anlegen.

Da Bitlocker fest in das Betriebssystem integriert ist, kann ein derart verschlüsselter USB-Stick also an jedem Windows-Rechner gelesen werden, so der Nutzer das Passwort kennt. Wer es noch sicherer haben will, kann dabei zusätzlich auch den Einsatz einer Smartcard für das Ver- und Entschlüsseln verlangen. Das Bundesamt für Sicherheit in der Informationstechnik gibt sehr genaue Empfehlungen, wie Firmen Bitlocker To Go im Rahmen des IT-Grundschutzes richtig einsetzen können.

Bitlocker To Go ist eine elegante Methode, USB-Sticks sicherer zu machen und Teil (fast) aller Windows-Versionen: Sie wird leider nur viel zu selten eingesetzt.

Die Software ermöglicht es dabei nicht, einzelne Dateien zu verschlüsseln, sondern sie verschlüsselt die Medien komplett. Eine Wiederherstellung ist über das Passwort beziehungsweise eine Smartcard mit Verschlüsselungszertifikat oder die Wiederherstellungsinformationen möglich, die beim Anlegen des verschlüsselten Laufwerks abgespeichert werden müssen.

Bitlocker kann durch die Integration in Active Directory von Administratoren zentral verwaltet werden, so dass die IT-Profis im Zweifelsfall mit der im AD abgespeicherten Wiederherstellungsinformation den Inhalt wiederherstellen können, wenn ein Nutzer beispielsweise das Passwort vergisst. Zudem können Administratoren mittels GPOs (Group Policy Objects festlegen, ob ihre Nutzer diese Verschlüsselung nutzen dürfen und sie vor allen Dingen auf diesem Weg auch festlegen, dass sie an den Workstations nur mit Bitlocker To Go verschlüsselte USB-Sticks einsetzen können.

Seit der Version 1511 nutzt Microsoft standardmäßig die AES-Verschlüsselung in XTS-Blockchiffrierungsmodus. Diese Art der Verschlüsselung soll nicht nur schneller arbeiten, sondern auch mehr Sicherheit bei den verschiedensten Angriffen bieten. Bitlocker unterstützt 128-Bit- und 256-Bit-XTS AES-Schlüssel. Allerdings sind mit AES XTS verschlüsselte Laufwerke dadurch nicht mehr zu Betriebssystemversionen vor Windows 10 Version 1511 kompatibel. Deshalb sollten Administratoren und Anwender für die USB-Sticks nach wie vor die bisherigen ES-CBC-128- und -256-Bit-Algorithmen (CBC = Cipher Block Chaining) einsetzen, so dass die Medien an allen Windows-Geräten eingesetzt werden können.

Software-gestützte Verschlüsselung mittels Freeware

Anwender und Firmen, die aus den verschiedensten Gründen zwar eine Software-gestützte Verschlüsselung für ihre USB-Sticks einsetzen wollen aber nicht auf Bitlocker zurückgreifen möchten, finden auf dem weiten Feld der Free- und Shareware eine große Auswahl von Lösungen, die in den meisten Fällen ähnlich arbeiten, wie es viele Nutzer wahrscheinlich noch von der Software TrueCrypt her kennen: Sie legen verschlüsselte, durch ein Passwort geschützte Container auf den USB-Sticks ab. Dazu kann beispielsweise auch der TrueCrypt-Nachfolger VeraCrypt zum Einsatz kommen.

Ein weiteres Beispiel aus dieser Kategorie ist die freie Lösung Rohos Mini Drive. Sie steht kostenlos zum Download bereit und bietet einige Möglichkeiten:

Als Verschlüsselungsalgorithmus kommt laut Anbieter AES mit 256 Bit Schlüssellänge und Verwendung von NIST-kompatiblen Verschlüsselungsstandards.

Die Freeware Rohos Mini Drive ermöglicht es Nutzern mit wenigen Mausklicks Daten auf einem USB-Stick (bis zu 8 GByte in der freien Version) zu verschlüsseln.

Wer sich mit Security-Profis unterhält wird allerdings schnell erfahren, dass sie häufig dieser Art von Lösung misstrauen, weil die meisten Anbieter ihre Verschlüsselungsalgorithmen und den Source-Code ihrer Programme nicht offenlegen. Wer also mit hochsensiblen Daten arbeitet, sollte sich sehr genau überlegen, welche Lösung von welchem Anbieter er für eine Software-gestützte Verschlüsselung seiner USB-Sticks verwendet und im Zweifelsfall die benötigten Informationen zum Source-Code beim Anbieter seiner Wahl einfordern.

Königsdiziplin: Alles in Hardware

Viele Probleme und Unsicherheit, die beim Einsatz einer Software-gestützten Verschlüsselung der USB-Sticks die Sicherheit oder wenigstens doch den leichten Einsatz einschränken, können durch den Einsatz spezieller Medien umgangen werden, die mit einer Verschlüsselung auf Hardware-Basis ausgestattet sind. Eine ganze Reihe von Herstellern bietet ein breite Palette dieser Geräte an. Dazu gehören neben der Firma Kingston, die im letzten Jahr mit dem Hersteller Ironkey einen weiteren Anbieter aus diesem Bereich übernommen hat, auch Unternehmen wie der deutsche Anbieter Prosoft mit seiner Lösung SafeToGo 3.0 oder das Systemhaus Optimal mit Hardware-verschlüsselten USB-Sticks und Festplatten unter der Bezeichnung "Kanguru".

Hardware mit Tasten: Kingston Data Traveller 2000. Das Laufwerk wird mit einem Wort oder einer Nummernkombination über die alphanumerische Tastatur gesperrt. (Quelle: Kingston Technology)
Foto: Kingston Technology

Alle diese Hersteller können entsprechende Zertifizierungen vorweisen und bieten zudem entsprechende Management-Software an, die es Administratoren erlaubt, die USB-Sticks zentral zu verwalten und zu betreuen. Noch viel mehr als bei den Software-gestützten Lösungen müssen sich die Firmen und Anwender hier auf den Anbieter und seine Informationspolitik verlassen können, was die Implementierung der Chiffrierung und der Verschlüsselungsalgorithmen angeht. Deshalb sollte IT-Verantwortliche hier genau nachfragen und entsprechende Nachweise fordern, dass die Geräte beispielsweise keine Backdoors oder Master-Passwörter beinhalten, durch die die angestrebte Sicherheit konterkariert würde.

Kann der Hersteller beispielsweise die von den Anwendern vergebenen Passwörter ausschließlich über ein Master-Passwort zurücksetzen, so kann durchaus eine Sicherheitslücke darstellen. Auch die Abspeicherung von Passwörter in der Cloud sollte bei dieser Art der Lösung nicht vorgenommen werden. Fast alle Anbieter bieten die Möglichkeit, zunächst Musterexemplare der USB-Sticks zu bekommen, damit die IT-Mannschaft in der Praxis feststellen kann, ob die Geräte dem Sicherheitskonzept des eigenen Unternehmens genügen.

Fazit: Es geht deutlich sicherer

IT-Verantwortliche und Anwender auch in kleineren Firmen sollten sich unbedingt Gedanken darüber machen, wie sie mit den Daten auf USB-Sticks umgehen. Es ist relativ unrealistisch, den Einsatz dieser Speichermedien einfach grundsätzlich und kategorisch zu verbieten - zumal ihr Gebrauch im täglichen Betrieb viele Vorteile bietet.

Neben Schulungen, die dabei helfen den Nutzern deutlich zu machen, wie schnell wichtige Daten auf USB-Sticks aus der Firma verschwinden und in falsche Hände gelangen können, ist es sinnvoll über eine generelle Richtlinie nachzudenken, mit der die Anwender dazu verpflichtet die Daten auf den USB-Sticks zu verschlüsseln.

Für Firmen, in denen sicherheitsrelevante Daten auf diesen Medien transportiert werden, gibt kaum eine Alternative: Sie sollten für diese Einsätze spezielle USB-Sticks mit Hardware-Verschlüsselung anschaffen und einsetzen. Der Einsatz dieser Geräte sollte dabei um eine Verwaltungslösung ergänzt werden, die es den Administratoren erlaubt, sie entsprechend sicher zu verwalten. So können dann beispielsweise auch Sicherheitsrichtlinien zentral auf alle Geräte ausgerollt und dort durchgesetzt werden.

Aber auch Firmen, die "nur" ihre normalen Daten - wie etwa Geschäftsberichte, Kundenlisten oder Angebote - auf diese Weise transportieren, sollten auf eine Verschlüsselung dieser USB-Sticks setzen. Auch wenn eine Software-basierte Lösung wie die in den Windows-Systemen integrierte Software Bitlocker nicht das hohe Sicherheitsniveau der Hardware-gestützten Ansätze erreichen kann: Ein versehentlich verlorener USB-Stick, der so verschlüsselt wurde, ist dadurch aber auf jedem Fall sinnvoll vor "Zufallsfunden" geschützt. Die Firma ist auf diese Art davor geschützt, dass beispielsweise Geschäftsdaten ebenso zufällig in falsche Hände geraten.