Trotz Digitalisierung und Cloud Computing werden in Firmen immer noch Wechseldatenträger wie externe Festplatten oder SD-Karten (Secure Digital Memory Cards) eingesetzt. Am meisten genutzt wird der klassische USB-Speicherstick, da er so praktisch ist: USB-Sticks sind klein, leicht zu transportieren, günstig in der Anschaffung und einfach in der Handhabung. Leider gehen sie ebenso schnell verloren oder können von kriminellen Personen entwendet werden. Speziell der Gebrauch „außer Haus“ birgt Risiken. Diesen kann man weitestgehend begegnen, indem man die Daten verschlüsselt.
Verschlüsselung zur Einhaltung der IT-Schutzziele
Die Verschlüsselung eines USB-Sticks verhindert Datenabflüsse an unbefugte Dritte und die Manipulation der gespeicherten Informationen. Damit werden zwei Schutzziele der IT-Sicherheit erfüllt: Vertraulichkeit und Datenintegrität. Lediglich die Verfügbarkeit muss auf anderem Wege erreicht werden, beispielsweise durch die Speicherung des Inhalts auf anderen Datenträgern.
Wenn ein USB-Stick vertrauliche Daten enthält, sollte sicherheitshalber das gesamte Speichermedium verschlüsselt werden. Der eingesetzte kryptographische Schlüssel muss jedoch sicher aufbewahrt werden, zum Beispiel in einem Passwortsafe. Auf keinen Fall sollte der Schlüssel auf dem selben USB-Stick gespeichert werden. Würde der Schlüssel verloren gehen, wären auch alle Daten weg, falls keine Sicherheitskopien der gespeicherten Daten auf anderen Medien existieren.
Die Teilverschlüsselung einzelner Dateien oder Partitionen bietet sich an, wenn bestimmte Informationen keinen oder einen niedrigen Schutzbedarf haben und parallel unverschlüsselt gespeichert werden können. Alle modernen Verschlüsselungsprogramme unterstützen eine partielle Datenverschlüsselung.
Identifikation und automatische Entschlüsselung
Verschlüsselungsprogramme für Systemfestplatten chiffrieren ebenfalls Wechseldatenträger. Zusätzlich bietet der Markt spezielle Software zur zentralen Verwaltung externer Speichermedien. Diese lassen sich damit katalogisieren, kategorisieren und direkt verschlüsseln.
Dazu generiert das Programm für jeden zu verschlüsselnden USB-Speicher eine digitale Signatur. Diese setzt sich beispielsweise aus der Seriennummer des Sticks, seiner Vendor- (VID) und Product-ID (PID) zusammen. Die Signatur entspricht einer Art „Fingerabdruck“ jedes Speichermediums, durch den es sich eindeutig von anderen mobilen Datenträgern unterscheiden lässt.
Bei jedem Einstecken eines USB-Sticks an einen Computer liest die Verschlüsselungssoftware, die als Dienst oder Agent ständig im Hintergrund ausgeführt wird, dessen Signatur aus und vergleicht sie mit den ihr bekannten Signaturen. Diese werden in einer zentralen Datenbank vorgehalten. Wird sie fündig, entschlüsselt sie den Inhalt automatisch mit dem hinterlegten Schlüssel für den spezifischen USB-Stick. Die benutzende Person kann den Datenträger nun lesen und beschreiben.
Läuft auf einem PC kein Agent der Verschlüsselungssoftware oder fehlt eine korrekte Signatur des USB-Sticks in der Datenbank, können die darauf gespeicherten und chiffrierten Daten nicht entschlüsselt werden.
Professionelle Softwarewerkzeuge können die Nutzung eines USB-Sticks vom Internetprotokoll-Adressbereich (IP) und/oder dem Computernutzer abhängig machen. Realisiert wird dies durch die Interaktion mit einem Verzeichnisdienst wie dem Active Directory. Dort können die Mitarbeitenden nach ihren Funktionen im Unternehmen gruppiert werden (zum Beispiel „Personalabteilung“).
Wird ein externer Speicher angeschlossen, kann die Verschlüsselungssoftware abhängig von der am Computer angemeldeten Person und ihrer Zugehörigkeit zu definierten Unternehmensbereichen entscheiden, ob der Zugriff erlaubt oder verweigert wird.
USB-Sticks mit Hardwareverschlüsselung
Eine weitere Schutzmöglichkeit bieten USB-Sticks mit Hardwareverschlüsselung. Hier braucht sich der Nutzende nicht manuell um die Verschlüsselung zu kümmern, sondern alle Inhalte werden automatisch chiffriert auf das Laufwerk geschrieben. Möglich wird das durch einen eigenen Mikroprozessor auf dem USB-Stick, dessen Befehlssatz ergänzende kryptographische Funktionen zur Verschlüsselung umfasst.
Damit wird die Verschlüsselung des Datenträgers oder der Partition für den Nutzenden nahezu transparent. Nur beim Booten oder dem ersten Partitionszugriff ist eine Passwortauthentifizierung notwendig. Eine Unterstützung durch das Unified Extensible Firmware Interface (UEFI) des Computers muss gegeben sein, um einen verschlüsselten Datenträger während des Bootens durch eine Passworteingabe freizuschalten. Erfolgt die Freigabe nach dem Hochfahren des Betriebssystems werden erforderliche Treiber oder ein Agent der Verschlüsselungssoftware auf dem Computer vorausgesetzt.
Anwender sollten sich nicht blind auf hardwareverschlüsselte Datenträger verlassen. Vermeintliche Schnäppchen aus dem Internet implementieren kryptographische Algorithmen oft unzureichend. Weiterhin verwenden sie in ihrem Quelltext häufig hartkodierte Schlüssel, die ein Angreifender per Reverse Engineering auslesen und anschließend die Verschlüsselung aufbrechen kann.
Beachtung der menschlichen Komponente
Sicherheits- und Verhaltensrichtlinien für die Verwendung von USB-Sticks sind dann hilfreich, wenn sie gemeinschaftlich und konsequent beachtet und umgesetzt werden. Dafür muss bei den Mitarbeitenden, Führungspersonen, Besuchern und Lieferanten ein Bewusstsein für die Gefahr durch ungeprüfte Wechseldatenträger geschaffen werden. Gleichermaßen ist die Durchführung regelmäßiger Aufklärungsveranstaltungen für am Unternehmen beteiligten Personen ratsam.
Von entscheidender Bedeutung für den Schutz vor Datenabfluss oder -manipulation ist die Kontrolle der Regelbefolgung. Die beste Sicherheitsrichtlinie trägt wenig zum Unternehmensschutz bei, wenn sie von Mitarbeitenden nicht oder nur nach eigenem Ermessen beachtet und befolgt wird.
Handhabung von USB-Sticks bei Adacor
Bei Adacor kommen USB-Sticks selten zum Einsatz. Manchmal nutzen wir sie für Firmenpräsentation, die wir beim Kunden vorstellen. Gleichermaßen nutzen unsere Teams „Technology Operations (TOP)“ und Network Operations (NOP)“ USB-Sticks zur Installation oder Ausführung eines Betriebssystems direkt vom externen Datenträger. Die entsprechenden Inhalte sind nicht vertraulich. Vertrauliche Inhalte versenden wir ausschließlich verschlüsselt.
Fazit: Verschlüsselung von USB-Sticks ist zu empfehlen
Die Verschlüsselung externer Datenträger mit Fokus auf USB-Sticks ist sinnvoll. Entsprechende Werkzeuge gibt es als vielseitige Open-Source-Software oder als proprietäre Variante für spezifische Anwendungsfälle.
Letztlich sind technische Lösungen nur so gut, wie die Menschen, die sie einsetzen. Aus diesem Grund sollten Unternehmen ihre Mitarbeitenden in regelmäßigen Veranstaltungen über die existierenden Gefahren von Datenverlust und -abfluss aufklären und schulen.