Sicherheitsrisiko durch unverschlüsselte USB-Sticks
USB-Geräte richtig absichern
Software-gestützte Verschlüsselung mittels Freeware
Anwender und Firmen, die aus den verschiedensten Gründen zwar eine Software-gestützte Verschlüsselung für ihre USB-Sticks einsetzen wollen aber nicht auf Bitlocker zurückgreifen möchten, finden auf dem weiten Feld der Free- und Shareware eine große Auswahl von Lösungen, die in den meisten Fällen ähnlich arbeiten, wie es viele Nutzer wahrscheinlich noch von der Software TrueCrypt her kennen: Sie legen verschlüsselte, durch ein Passwort geschützte Container auf den USB-Sticks ab. Dazu kann beispielsweise auch der TrueCrypt-Nachfolger VeraCrypt zum Einsatz kommen.
Ein weiteres Beispiel aus dieser Kategorie ist die freie Lösung Rohos Mini Drive. Sie steht kostenlos zum Download bereit und bietet einige Möglichkeiten:
So können die Nutzer damit eine virtuelle Partition anlegen, die dann auf dem USB-Stick verschlüsselt wird. Die freie Version der Software erlaubt es dabei Partitionen bis zu einer Größe von 8 GByte anzulegen.
Ein Setup-Assistent erkennt automatisch vorhandene USB-Laufwerke und installiert die entsprechenden Einstellungen.
Eine Anwendung Rohos-Mini.exe kommt dabei mit auf den USB-Stick und ermöglicht es den Nutzern auf diese Weise, den Datenträger auch an Windows-Rechner einzusetzen und zu entschlüsseln, auf denen die Software nicht installiert ist.
Als Verschlüsselungsalgorithmus kommt laut Anbieter AES mit 256 Bit Schlüssellänge und Verwendung von NIST-kompatiblen Verschlüsselungsstandards.
Wer sich mit Security-Profis unterhält wird allerdings schnell erfahren, dass sie häufig dieser Art von Lösung misstrauen, weil die meisten Anbieter ihre Verschlüsselungsalgorithmen und den Source-Code ihrer Programme nicht offenlegen. Wer also mit hochsensiblen Daten arbeitet, sollte sich sehr genau überlegen, welche Lösung von welchem Anbieter er für eine Software-gestützte Verschlüsselung seiner USB-Sticks verwendet und im Zweifelsfall die benötigten Informationen zum Source-Code beim Anbieter seiner Wahl einfordern.
Königsdiziplin: Alles in Hardware
Viele Probleme und Unsicherheit, die beim Einsatz einer Software-gestützten Verschlüsselung der USB-Sticks die Sicherheit oder wenigstens doch den leichten Einsatz einschränken, können durch den Einsatz spezieller Medien umgangen werden, die mit einer Verschlüsselung auf Hardware-Basis ausgestattet sind. Eine ganze Reihe von Herstellern bietet ein breite Palette dieser Geräte an. Dazu gehören neben der Firma Kingston, die im letzten Jahr mit dem Hersteller Ironkey einen weiteren Anbieter aus diesem Bereich übernommen hat, auch Unternehmen wie der deutsche Anbieter Prosoft mit seiner Lösung SafeToGo 3.0 oder das Systemhaus Optimal mit Hardware-verschlüsselten USB-Sticks und Festplatten unter der Bezeichnung "Kanguru".
Alle diese Hersteller können entsprechende Zertifizierungen vorweisen und bieten zudem entsprechende Management-Software an, die es Administratoren erlaubt, die USB-Sticks zentral zu verwalten und zu betreuen. Noch viel mehr als bei den Software-gestützten Lösungen müssen sich die Firmen und Anwender hier auf den Anbieter und seine Informationspolitik verlassen können, was die Implementierung der Chiffrierung und der Verschlüsselungsalgorithmen angeht. Deshalb sollte IT-Verantwortliche hier genau nachfragen und entsprechende Nachweise fordern, dass die Geräte beispielsweise keine Backdoors oder Master-Passwörter beinhalten, durch die die angestrebte Sicherheit konterkariert würde.
Kann der Hersteller beispielsweise die von den Anwendern vergebenen Passwörter ausschließlich über ein Master-Passwort zurücksetzen, so kann durchaus eine Sicherheitslücke darstellen. Auch die Abspeicherung von Passwörter in der Cloud sollte bei dieser Art der Lösung nicht vorgenommen werden. Fast alle Anbieter bieten die Möglichkeit, zunächst Musterexemplare der USB-Sticks zu bekommen, damit die IT-Mannschaft in der Praxis feststellen kann, ob die Geräte dem Sicherheitskonzept des eigenen Unternehmens genügen.
Fazit: Es geht deutlich sicherer
IT-Verantwortliche und Anwender auch in kleineren Firmen sollten sich unbedingt Gedanken darüber machen, wie sie mit den Daten auf USB-Sticks umgehen. Es ist relativ unrealistisch, den Einsatz dieser Speichermedien einfach grundsätzlich und kategorisch zu verbieten - zumal ihr Gebrauch im täglichen Betrieb viele Vorteile bietet.
Neben Schulungen, die dabei helfen den Nutzern deutlich zu machen, wie schnell wichtige Daten auf USB-Sticks aus der Firma verschwinden und in falsche Hände gelangen können, ist es sinnvoll über eine generelle Richtlinie nachzudenken, mit der die Anwender dazu verpflichtet die Daten auf den USB-Sticks zu verschlüsseln.
Für Firmen, in denen sicherheitsrelevante Daten auf diesen Medien transportiert werden, gibt kaum eine Alternative: Sie sollten für diese Einsätze spezielle USB-Sticks mit Hardware-Verschlüsselung anschaffen und einsetzen. Der Einsatz dieser Geräte sollte dabei um eine Verwaltungslösung ergänzt werden, die es den Administratoren erlaubt, sie entsprechend sicher zu verwalten. So können dann beispielsweise auch Sicherheitsrichtlinien zentral auf alle Geräte ausgerollt und dort durchgesetzt werden.
Aber auch Firmen, die "nur" ihre normalen Daten - wie etwa Geschäftsberichte, Kundenlisten oder Angebote - auf diese Weise transportieren, sollten auf eine Verschlüsselung dieser USB-Sticks setzen. Auch wenn eine Software-basierte Lösung wie die in den Windows-Systemen integrierte Software Bitlocker nicht das hohe Sicherheitsniveau der Hardware-gestützten Ansätze erreichen kann: Ein versehentlich verlorener USB-Stick, der so verschlüsselt wurde, ist dadurch aber auf jedem Fall sinnvoll vor "Zufallsfunden" geschützt. Die Firma ist auf diese Art davor geschützt, dass beispielsweise Geschäftsdaten ebenso zufällig in falsche Hände geraten.