•  

Verschlüsselt lebt es sich sicherer

Adacor-IT-Sicherheitsexperte Milan Naybzadeh

Trotz Cloud-Computing sind USB-Sticks nach wie vor beliebt. Ihre große Stärke sind Preis und Bequemlichkeit, ihr Knackpunkt ist jedoch die Sicherheit.

In Sachen Datenspeicherung ist eigentlich nichts mehr so, wie es mal war. Auf dem PC hat SSD der klassischen Festplatte längst den Rang abgelaufen und bei Unternehmen werden immer öfter Storage-Devices im Rechenzentrum durch die Cloud ersetzt. Und dennoch hat bisher eine Speicherform überlebt, die es seit gefühlten Ewigkeiten gibt - der USB-Stick. Nach wie vor erfreut er sich großer Beliebtheit und zwar sowohl im privaten als auch im geschäftlichen Umfeld.

Vor allem, wenn es darum geht, die Daten auf verschiedenen Geräten zu nutzen, ist der klassische USB-Speicherstick of Favorit bei Wechseldatenträgern. Der Grund dafür liegt in seiner Praktikabilität: So sind USB-Sticks klein, leicht transportabel und einfach in der Handhabung. Vor allem sind sie günstig, bekommt man doch mittlerweile 500 GB für die Hosentasche für weniger als 50 Euro.

Einen großen Nachteil haben sie jedoch gegenüber anderen Speicherformen, es mangelt ihnen an Sicherheit. Sie gehen schnell verloren oder werden ebenso leicht entwendet, da sie oft unbeobachtet am PC stecken. Speziell ihr Gebrauch „außer Haus“ birgt Risiken, denn von Natur aus sind die Daten auf ihnen nicht verschlüsselt und die Mehrheit der Anwender nutzt leider auch kein entsprechendes Programm zur Datenverschlüsselung. Wie kann man, wie soll man also als Unternehmen mit dem Sicherheitsrisiko USB-Stick umgehen?

USB-Sticks nur verschlüsselt nutzen

Ganz klar an Nummer 1 steht die Verschlüsselung: Ohne entsprechende Verschlüsselung sollte es Mitarbeitern untersagt sein, USB-Sticks im Unternehmen zu nutzen oder Daten der Firma auf so einen Stick zu ziehen. Allein schon, um Datenschutzprobleme und damit ein Verletzen der DSGVO und ähnlichen rechtlichen Vorgaben zu verhindern.

Durch eine Verschlüsselung des USB-Sticks werden übrigens gleich zwei Schutzziele der IT-Sicherheit auf einen Schlag erfüllt: Vertraulichkeit und Datenintegrität. Lediglich die Verfügbarkeit muss auf anderem Wege erreicht werden, beispielsweise durch die Speicherung des Inhalts auf weiteren Datenträgern.

Aber was soll man nun durch Verschlüsselung absichern? Einzelne Dateien, einzelne Volumes oder gleich den ganzen Datenträger. Die Teilverschlüsselung einzelner Dateien oder Partitionen bietet sich nur dann an, wenn bestimmte Informationen keinen oder nur einen niedrigen Schutzbedarf haben und parallel unverschlüsselt gespeichert werden können. Quasi alle modernen Verschlüsselungsprogramme unterstützen problemlos eine partielle Datenverschlüsselung. Generell ist es jedoch am besten das gesamte Speichermedium zu verschlüsseln. Und zwar idealerweise bevor man irgendwelche Daten darauf überträgt. Wenn man den Stick erst mit Daten befüllt und danach verschlüsselt, kann es passieren, dass einige Flash-Speicherblöcke noch unverschlüsselte Inhalte beherbergen.

Der bei der Verschlüsselung verwendete kryptographische Schlüssel muss allerdings sicher aufbewahrt werden, zum Beispiel in einem Passwortsafe. Auf gar keinen Fall sollte der Schlüssel auf demselben USB-Stick gespeichert werden. Ein Verlust des Schlüssels hätte den sicheren Datenverlust zur Folge, falls keine Sicherheitskopien der gespeicherten Daten auf anderen Medien existieren.

Unternehmensweite Sicherheit trotzt USB-Stick

Das Angebot an Verschlüsselungssoftware ist zum Glück groß. Es gibt vor allem genügend erprobte Software-Lösungen, die meist sogar recht günstig und teilweise sogar kostenlos als Public Domain zu bekommen sind. Neben Software zum Verschlüsseln eines einzelnen USB-Sticks bietet der Markt auch interessante Optionen für Unternehmen. Es gibt nämlich spezielle Software, die der zentralen Verwaltung externer Speichermedien dient. Sie lassen sich damit nicht nur katalogisieren und kategorisieren, sondern auch direkt verschlüsseln. Dazu generiert das Programm für jeden zu verschlüsselnden USB-Speicher eine digitale Signatur. Diese setzt sich beispielsweise aus der Seriennummer des Sticks, seiner Vendor- (VID) und Product-ID (PID) zusammen. Die Signatur entspricht einer Art „Fingerabdruck“ jedes Speichermediums, durch den es sich eindeutig von anderen mobilen Datenträgern unterscheiden lässt.

Immer wenn der USB-Stick in einen Firmencomputer eingesteckt wird, liest die Verschlüsselungssoftware, die als Dienst oder Agent ständig im Hintergrund ausgeführt wird, dessen Signatur aus und vergleicht sie mit den ihr bereits bekannten Signaturen. Diese werden in einer zentralen Datenbank vorgehalten. Wird sie fündig, entschlüsselt sie den Inhalt automatisch mit dem hinterlegten Schlüssel für den spezifischen USB-Stick. Die benutzende Person kann den Datenträger nun lesen und beschreiben. Läuft auf einem PC jedoch kein Agent der Verschlüsselungssoftware oder fehlt eine korrekte Signatur des USB-Sticks in der Datenbank, können die darauf gespeicherten und chiffrierten Daten nicht entschlüsselt werden.

Selbst der weltweite Einsatz von USB-Sticks lässt sich durchaus in den Griff bekommen. Moderne Softwarewerkzeuge sind nämlich in der Lage, die Nutzung eines USB-Sticks vom Internetprotokoll-Adressbereich (IP) und/oder dem Computernutzer abhängig zu machen. Dies kann durch die Interaktion mit einem Verzeichnisdienst wie dem Active Directory realisiert werden. Dort werden Mitarbeitende in der Praxis häufig nach ihren Funktionen im Unternehmen gruppiert, zum Beispiel „Personalabteilung“. Beim Anschluss eines externen Speichers kann die Verschlüsselungssoftware nun abhängig von der am Computer angemeldeten Person und ihrer Zugehörigkeit zu definierten Unternehmensbereichen entscheiden, ob der Zugriff darauf erlaubt oder verweigert wird.

Schwachstelle Mensch

Wie immer beim Thema Sicherheit geht aber letzten Endes kein Weg an der Einbindung und dem Verantwortungsbewusstsein der Mitarbeiter vorbei. Von entscheidender Bedeutung für den Schutz vor Datenabfluss oder -manipulation ist schließlich die Kontrolle der Regelbefolgung. Die beste Sicherheitsrichtlinie trägt wenig zum Unternehmensschutz bei, wenn sie von Mitarbeitenden nicht oder nur nach eigenem Ermessen beachtet und befolgt wird.

Sicherheits- und Verhaltensrichtlinien für die Verwendung von USB-Sticks sind nur dann hilfreich, wenn sie gemeinschaftlich und konsequent beachtet und umgesetzt werden. Dafür muss bei den Mitarbeitenden, Führungspersonen, Besuchenden und Liefernden ein Bewusstsein für die Gefahr durch ungeprüfte Wechseldatenträger geschaffen werden. Gleichermaßen ist die Durchführung regelmäßiger Aufklärungsveranstaltungen für am Unternehmen beteiligte Personen ratsam.

Der sicherste Weg - Hardwareverschlüsselung

Will man die Risiken weiter begrenzen, bietet es sich an, über eine Hardwareverschlüsselung nachzudenken, die von diversen USB-Sticks unterstützt wird. Bei ihnen muss sich den Anwender nicht mehr händisch um die Verschlüsselung kümmern, da alle Inhalte automatisch chiffriert auf das Laufwerk geschrieben werden. Möglich wird das durch einen eigenen Mikroprozessor auf dem USB-Stick, dessen Befehlssatz ergänzende kryptographische Funktionen zur Verschlüsselung mit dem Advanced Encryption Standard (AES), Blowfish oder Serpent umfasst.

Damit wird die Verschlüsselung des Datenträgers oder der Partition für den Nutzer nahezu transparent. Nur beim Booten oder dem ersten Partitionszugriff ist eine Passwortauthentifizierung notwendig. Eine entsprechende Unterstützung durch das Unified Extensible Firmware Interface (UEFI) des Computers muss gegeben sein, um einen verschlüsselten Datenträger bereits während des Bootvorgangs durch eine Passworteingabe freizuschalten. Erfolgt die Freigabe erst nach Laden des Betriebssystems, werden erforderliche Treiber oder ein Agent der Verschlüsselungssoftware auf dem Computer vorausgesetzt.

Aber trotzt Hardware-Verschlüsselung muss man auch hier aufpassen, welche Lösung man auswählt. Vermeintliche Schnäppchen aus dem Internet implementieren kryptographische Algorithmen häufig nur unzureichend. Weiterhin verwenden sie in ihrem Quelltext oft hartkodierte Schlüssel, die ein Angreifender per Reverse Engineering auslesen und somit jedwede Verschlüsselung aufbrechen kann. Es ist daher ratsam, in ausgewählten Fachforen und Fachmedien nach Tests Ausschau zu halten und nur auf bekannte große Unternehmen zu setzen.

*Milan Naybzadeh ist der IT-Sicherheits- und Compliance-Beauftragte der Adacor. Er hat Informationsrecht studiert und ist verantwortlich für die Einhaltung von Rahmenbedingungen sowie IT-Security- und Compliance-Vorgaben.

https://www.adacor.com/hosting/

Autor: Milan Naybzadeh ist der IT-Sicherheits- und Compliance-Beauftragte der Adacor

Diesen Artikel empfehlen