defense.at Onlinemagazin
  1. deftipps.com > 
  2. IT Security > 
  3. Sicherer USB-Stick

Sicherer USB-Stick

Richtiger Umgang und zuverlässige Verschlüsselungen als Erfolgsrezept

USB-Sticks sind nützliche Datenträger. Sei es zur Sicherung der Daten oder zum schnellen Datentransfer. Mit dem kleinen Stick ist das ist Nu erledigt. USB-Sticks haben aber ein enormes Sicherheitsrisiko bei sorglosem Umgang.

Herkömmliche USB-Sticks gefährden ohne Verschlüsselung und einen vorsichtigen Umgang mit der Hardware die Sicherheit von wichtigen Daten. Neben Verschlüsselungsprogrammen gibt es hardwarebasierte Lösungen, die den Schutz der Dateiordner deutlich steigern. Manche Datenträger-Modelle erhalten zudem eine FIPS-Zertifizierung, stoppen Brute Force Attacken und nutzen eigene PIN-Tastenfelder.

Sicherheitsrisiko mit einem herkömmlichen USB-Stick ohne Verschlüsselung

Ein herkömmlicher USB-Stick ohne Verschlüsselung[1] stellt für vertrauliche Daten oft ein Sicherheitsrisiko dar, weil jede Person problemlos auf das Gerät zugreifen darf. Wegen der geringen Größe[2] kommt es in Unternehmen relativ häufig vor, dass Mitarbeiter die kleinen Speichermedien verlieren. Insbesondere nach der Sicherung wichtiger Kundendaten sind damit erhebliche Datenschutzprobleme verbunden. Auch zur Vermeidung der möglichen Verletzung von rechtlichen Vorgaben ist dringend davon abzuraten, vertrauliche Informationen auf den Datenträgern unverschlüsselt zu speichern. Potenzielle unbefugte Zugriffe erhöhen darüber hinaus das Risiko eines Befalls mit gefährlicher Schadsoftware.

Tipps zum sicheren Umgang mit einem USB-Stick

Neben einer Verschlüsselung der vertraulichen Daten ist für den sicheren Umgang mit USB-Sticks die Verwendung von Antivirenprogrammen empfehlenswert. Das gilt vor allem bei Speichermedien, die zuvor durch Fremde genutzt wurden. Manche USB-Sticks werden mit einer vorinstallierten Antiviren-Software angeboten und ermöglichen somit eine komfortable Überprüfung der gesicherten Dateien. Für die Verhinderung von Manipulationen ist es wichtig, Datenträger mit vertraulichen Informationen nie frei zugänglich liegen zu lassen. Beschädigungen sind vermeidbar, wenn die Schutzkappe im Anschluss an die Nutzung umgehend wieder sicher auf dem USB-Stick befestigt wird. Ein Ort mit niedriger Luftfeuchtigkeit und möglichst konstanten Temperaturen bietet für die Lagerung besonders gute Bedingungen.

Verschlüsselung der USB-Sticks als unverzichtbare Voraussetzung für Datensicherheit

Auch bei einem sehr vorsichtigen und aufmerksamen Umgang mit USB-Sticks lässt sich ein versehentlicher Verlust ebenso wie ein Diebstahl nie mit absoluter Sicherheit ausschließen. Darum bleibt es beim Umgang mit vertraulichen Daten alternativlos, eine zuverlässige Verschlüsselung zu verwenden. Sobald es zum Verlust des USB-Sticks gekommen ist, geraten dann wenigstens die Dateiordner nicht in falsche Hände. Wer aus Bequemlichkeit auf diese Sicherheitsmaßnahme verzichtet, muss im Ernstfall mit einem hohen Schaden rechnen.

Unterschiede zwischen USB-Sticks mit hardwarebasierter und softwarebasierter Verschlüsselung

Eine softwarebasierte Verschlüsselung ist prinzipiell auf jedem Laufwerk möglich, während für die hardwarebasierte Variante besondere USB-Sticks erforderlich sind. Die Verschlüsselungs-Software muss zunächst installiert werden. Daraufhin verschlüsselt der Benutzer oft lediglich einen bestimmten Ordner und vergibt hierfür ein Passwort. Somit besteht mit softwarebasierten Verschlüsselungsvarianten prinzipiell die Möglichkeit, dass Anwender versehentlich oder absichtlich Dateien in anderen Ordnern des USB-Sticks unverschlüsselt sichern. Zur Entschlüsselung ist es bei dieser Variante manchmal notwendig, auf fremden PC-Systemen zuerst die erforderliche Software zu installieren.

Bei einer hardwarebasierten Verschlüsselung müssen Nutzer für die Vorbereitung des USB-Sticks hingegen in der Regel lediglich ein Passwort oder eine PIN vergeben. Zugleich ist es damit meistens unmöglich, Daten ohne den Passwortschutz zu speichern oder abzurufen. Dadurch besteht nicht die Gefahr, dass beispielsweise unerfahrene oder faule Mitarbeiter wichtige Dateien auf dem USB-Stick unverschlüsselt verfügbar machen. Vor allem aus der Sicht von Laien ist diese Methode daher komfortabel und steigert die Datensicherheit, weil die Hardware-Verschlüsselung klassische Anfängerfehler verhindert.

Vorteile von USB-Sticks mit einem versiegelten Gehäuse oder Wasserfestigkeit

Ein versiegeltes Gehäuse erhöht häufig den Schutz vor der möglichen Manipulation oder der Beschädigung eines USB-Sticks. Gute Versiegelungen erschweren oft den Versuch, mechanisch direkt auf Hardware-Bestandteile wie den Speicherchip oder den Controllerchip zuzugreifen. Sogar für erfahrene Experten ist es manchmal nahezu unmöglich, solche USB-Sticks zu öffnen. Der Versuch eines derartigen Angriffs hinterlässt zudem eher Spuren. Manipulationsversuche bleiben somit kaum unbemerkt. Unter bestimmten Umständen sind spezielle Gehäuse-Versiegelungen bei kleinen Unfällen genauso hilfreich. Während eines Aufpralls verringert sich damit beispielsweise eventuell die Auswirkung auf einzelne Bestandteile. Die konkreten Vorteile einer Versiegelung hängen stets auch von der Verarbeitung und den verwendeten Materialien ab.

Bei der Kaufentscheidung spielt die Wasserfestigkeit eine wichtige Rolle, sobald sich der Kontakt zwischen dem USB-Stick und kleinen Flüssigkeitsmengen nicht ausschließen lässt. Insofern Benutzer das Gerät regelmäßig transportieren, bleibt diese Gefahr eigentlich immer zumindest ein kleiner Faktor. Wasserfeste Modelle vermeiden, dass Feuchtigkeit in das Innere eindringt und dadurch das Gerät beschädigt oder unverzichtbare Daten zerstört. Wer den USB-Datenträger beispielsweise in der Jacken- oder Hosentasche mitnimmt, wird eventuell von regnerischem Wetter plötzlich überrascht. Eine gewisse Wasserfestigkeit rettet dann üblicherweise die Daten. Viele Produkttypen garantieren einen Spritzwasserschutz lediglich, während die Schutzkappe sicher befestigt und geschlossen ist.

Solange wasserfeste USB-Sticks nicht sprichwörtlich in Flüssigkeiten fallen, reicht zumeist ein einfacher Schutz vor Wassertropfen. Wenn das Produkt stattdessen sogar den Aufenthalt im Wasser überstehen muss, ist wasserdichte Hardware alternativlos. Hierfür sind besondere Outdoor-Modelle von USB-Sticks erhältlich. Bei derartigen Artikeln sind aber zunächst Angaben zur maximalen Wassertiefe beachtenswert. Einen Tauchgang überstehen nur außergewöhnliche Produktvarianten, die mit einem enormen Wasserdruck zurechtkommen.

Schutz gegen Brute Force Attacken nach falschen Passworteingaben

Weitere Schutzmaßnahmen stoppen Brute Force Attacken, mit denen mehrere PINs oder Passwörter getestet werden. Bei manchen USB-Sticks ist hierfür ein spezieller Abwehrmechanismus in der Hardware integriert. Es gibt für den Brute-Force-Schutz nach der wiederholten Eingabe von falschen PIN-Nummern mit einer Gerätesperre und einer Löschung zwei unterschiedliche Methoden. Nachdem ein Schutzmechanismus den USB-Stick gesperrt hat, ist für den erneuten Zugriff auf die gespeicherten Daten oft die Eingabe eines zusätzlichen Sicherheitscodes erforderlich.

Ein Selbstzerstörungsmechanismus löscht alle gesicherten Informationen hingegen, sobald zu häufig fehlerhafte Passwörter oder PINs eingetragen wurden. Dabei erfolgt mit besonders gründlichen USB-Sticks eine endgültige Löschung, die eine Wiederherstellung der Daten sogar für Experten grundsätzlich unmöglich macht. Der Verlust der PIN ist in diesem Fall gleichbedeutend mit der unwiderruflichen Zerstörung der gespeicherten Dateien. Vor der Nutzung von Modellen mit einem Löschmechanismus bleibt es daher beachtenswert, ob für unersetzliche Dateiordner im Ernstfall ein Back-up existiert. Käufer finden USB-Sticks, bei denen sich der Brute-Force-Schutz optional aktivieren und deaktivieren lässt. Dadurch besteht die Chance, die Schutzeinstellungen an die Vertraulichkeit und die Bedeutung von verschiedenen Dateien anzupassen.

FIPS-Zertifizierung für die Erfüllung einer Sicherheitsnorm mit unterschiedlichen Stufen

Eine FIPS-Zertifizierung[3] erhalten USB-Sticks, die eine Sicherheitsnorm der US-amerikanischen Regierung erfüllen. In den Vereinigten Staaten überprüft die Bundesbehörde NIST die Ergebnisse aus anspruchsvollen Testverfahren, bevor für Produkte ein FIPS-Zertifikat ausgestellt wird. Bei der Bewertung eines Verschlüsselungsprogramms zum Schutz von sensiblen Daten ist die Norm FIPS 140 entscheidend. Im Zertifizierungsverfahren gelten hohe Anforderungen, weil die militärischen und zivilen Bundesbehörden in den USA ausschließlich Geräte mit der aktuellen Version der FIPS-Zertifizierung für die Verschlüsselung vertraulicher Informationen verwenden dürfen.

Die FIPS-Version 140-2 ist in mehrere Sicherheitsstufen unterteilt. Für Level 1 sind vergleichsweise niedrige Anforderungen gültig. USB-Sticks mit einer Zertifizierung auf dieser Stufe nutzen in der Regel lediglich eine Software-Verschlüsselung. Vor einer FIPS-Zertifizierung auf Level 1 dürfen keine relevanten Sicherheitslücken feststellbar sein. Sicherheitsanforderungen der FIPS-Stufe 2 verlangen, dass ein USB-Stick versiegelt ist und die Öffnung durch Unbefugte bemerkbar wäre.

Für die Vergabe eines FIPS-Zertifikats auf Level 3 muss ein Gerät einen höheren physikalischen Schutz gegen unberechtigte Zugriffe bieten. Vor allem die Sicherheit bei versuchten Modifizierungen, Manipulationen oder einer Demontage ist dafür wichtig. Zur FIPS-Zertifizierung mit Stufe 3 wird überprüft, ob ein USB-Stick entscheidende Sicherheitsdaten nach einem erkannten Manipulationsversuch selbstständig löscht. Zugleich bewertet die Behörde NIST auf diesem Level die physische Trennung zwischen Sicherheitsschnittstellen. Bei der Authentifizierung setzen die Anforderungen des FIPS-Levels 3 in der Version 140-2 voraus, dass die Daten identitätsbasiert freigegeben werden.

Wahl zwischen PIN-Eingabe am USB-Stick und Passwortschutz

Auch unter den USB-Sticks mit einer hardwarebasierten Verschlüsselung gibt es unterschiedliche Varianten, bei denen die Benutzer Passwörter entweder klassisch über die Computer-Tastatur oder auf einem Tastenfeld direkt am Datenträger eingeben. Viele Produkte mit einem Hardware-Passwortschutz ohne Direkteingabe zeigen die verschlüsselten Dateien zunächst gar nicht an. Stattdessen erscheint nach der Verbindung mit dem USB-Stick auf dem PC zunächst ein virtuelles Laufwerk mit einer ausführbaren Datei, über die das Passwort eingetragen wird. Nachdem der Anwender die Zeichenfolge korrekt eingegeben hat, ist der eigentliche Datenträger mit den gesicherten Ordnern wie ein gewöhnliches Speichermedium abrufbar.

Ein USB-Stick mit direkter PIN-Eingabe verfügt wiederum über eine integrierte Mini-Tastatur, auf der die Nutzer eine festgelegte Nummernfolge eintippen. Danach muss das Gerät innerhalb eines kurzen Zeitraums erfolgreich mit einem Computer verbunden werden. Sobald der USB-Stick vom PC getrennt ist, verschlüsselt der Datenträger sich erneut. Diese Verschlüsselungsmethode schützt die PIN-Nummer vor einem Keylogger. Derartige Malware würde ein gewöhnliches Passwort während der Eingabe auf der PC-Tastatur erkennen.

Wenn die PIN hingegen separat am USB-Stick eingegeben wird, bleibt dieser Vorgang für eventuelle Schadsoftware auf einem Computersystem unerkannt. Die direkte PIN-Eingabe am Gerät ist deshalb insbesondere vorteilhaft, insofern der Datenträger auf fremden Systemen zum Einsatz kommt. Denn ein Befall durch Keylogger-Schadsoftware lässt sich in dieser Situation kaum mit absoluter Sicherheit ausschließen.

Quellen:

[1] https://www.all-about-security.de/security-artikel/zutrittskontrolle/single/verschluesselt-lebt-es-sich-sicherer

[2] https://www.cio.de/a/usb-geraete-richtig-absichern,3330069

[3] https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.140-2.pdf