• ADACOR
  • FILOO
Adacor - Biz & Trends, IT Security

Verschlüsselung von Wechseldatenträgern: der USB-Stick im Fokus

Selbst in Zeiten der Digitalisierung und des Cloud Computing, sind Wechseldatenträger wie externe Festplatten oder SD-Karten (Secure Digital Memory Cards) in vielen Firmen als Speichermedium immer verbreitet. Der meist genutzte Typus dürfte dabei der klassische USB-Speicherstick sein. Der Grund dafür liegt in seiner Praktikabilität: So sind USB-Sticks klein, leicht transportabel, günstig in der Anschaffung und einfach in der Handhabung. Leider gehen sie ebenso schnell verloren oder werden von kriminellen Personen entwendet. Speziell ihr Gebrauch „außer Haus“ birgt Risiken, denen sich durch den Einsatz von Datenverschlüsselung weitestgehend begegnen lässt.

Verschlüsselung von Wechseldatenträgern: der USB-Stick im Fokus

Verschlüsselung zur Einhaltung der IT-Schutzziele

Die Verschlüsselung eines USB-Sticks verhindert sowohl Datenabflüsse an unbefugte Dritte als auch die Manipulation der gespeicherten Informationen. Damit werden gleich zwei Schutzziele der IT-Sicherheit auf einen Schlag erfüllt: Vertraulichkeit und Datenintegrität. Lediglich die Verfügbarkeit muss auf anderem Wege erreicht werden, beispielsweise durch die Speicherung des Inhalts auf weiteren Datenträgern.

Sobald ein USB-Stick vertrauliche Daten enthält, empfiehlt sich sicherheitshalber die Verschlüsselung des gesamten Speichermediums. Hier muss der verwendete kryptographische Schlüssel jedoch sicher aufbewahrt werden, zum Beispiel in einem Passwortsafe. Auf gar keinen Fall sollte der Schlüssel auf demselben USB-Stick gespeichert werden. Ein Verlust des Schlüssels hätte den sicheren Datenverlust zur Folge, falls keine Sicherheitskopien der gespeicherten Daten auf anderen Medien existieren.

Die Teilverschlüsselung einzelner Dateien oder Partitionen bietet sich nur dann an, wenn bestimmte Informationen keinen oder nur einen niedrigen Schutzbedarf haben und parallel unverschlüsselt gespeichert werden können. Quasi alle modernen Verschlüsselungsprogramme unterstützen problemlos eine partielle Datenverschlüsselung.

Identifikation und automatische Entschlüsselung

Verschlüsselungsprogramme für Systemfestplatten chiffrieren ebenfalls Wechseldatenträger. Zusätzlich bietet der Markt spezielle Software, die der zentralen Verwaltung externer Speichermedien dient. Sie lassen sich damit nicht nur katalogisieren und kategorisieren, sondern auch direkt verschlüsseln.

Dazu generiert das Programm für jeden zu verschlüsselnden USB-Speicher eine digitale Signatur. Diese setzt sich beispielsweise aus der Seriennummer des Sticks, seiner Vendor- (VID) und Product-ID (PID) zusammen. Die Signatur entspricht einer Art „Fingerabdruck“ jedes Speichermediums, durch den es sich eindeutig von anderen mobilen Datenträgern unterscheiden lässt.

Bei jedem Einstecken eines USB-Sticks an einen Firmencomputer liest die Verschlüsselungssoftware, die als Dienst oder Agent ständig im Hintergrund ausgeführt wird, dessen Signatur aus und vergleicht sie mit den ihr bereits bekannten Signaturen. Diese werden in einer zentralen Datenbank vorgehalten. Wird sie fündig, entschlüsselt sie den Inhalt automatisch mit dem hinterlegten Schlüssel für den spezifischen USB-Stick. Die benutzende Person kann den Datenträger nun lesen und beschreiben.

Schon up to date?

Jetzt den ITQ-Newsletter abonnieren und Top-Infos erhalten!

Nein, Danke.

Läuft auf einem PC jedoch kein Agent der Verschlüsselungssoftware oder fehlt eine korrekte Signatur des USB-Sticks in der Datenbank, können die darauf gespeicherten und chiffrierten Daten nicht entschlüsselt werden.

Professionelle Softwarewerkzeuge sind sogar imstande, die Nutzung eines USB-Sticks vom Internetprotokoll-Adressbereich (IP) und/oder dem Computernutzer abhängig zu machen. Dies kann durch die Interaktion mit einem Verzeichnisdienst wie dem Active Directory realisiert werden. Dort werden Mitarbeitende in der Praxis häufig nach ihren Funktionen im Unternehmen gruppiert, zum Beispiel „Personalabteilung“.

Beim Anschluss eines externen Speichers kann die Verschlüsselungssoftware nun abhängig von der am Computer angemeldeten Person und ihrer Zugehörigkeit zu definierten Unternehmensbereichen entscheiden, ob der Zugriff darauf erlaubt oder verweigert wird.

USB-Sticks mit Hardwareverschlüsselung

Eine weitere Schutzmöglichkeit bieten USB-Sticks mit Hardwareverschlüsselung. Hierbei braucht sich der Nutzende nicht mehr selbst händisch um die Verschlüsselung zu kümmern, da alle Inhalte automatisch chiffriert auf das Laufwerk geschrieben werden. Möglich wird das durch einen eigenen Mikroprozessor auf dem USB-Stick, dessen Befehlssatz ergänzende kryptographische Funktionen zur Verschlüsselung mit dem Advanced Encryption Standard (AES), Blowfish oder Serpent umfasst.

Damit wird die Verschlüsselung des Datenträgers oder der Partition für den Nutzer nahezu transparent. Nur beim Booten oder dem ersten Partitionszugriff ist eine Passwortauthentifizierung notwendig. Eine entsprechende Unterstützung durch das Unified Extensible Firmware Interface (UEFI) des Computers muss gegeben sein, um einen verschlüsselten Datenträger bereits während des Bootvorgangs durch eine Passworteingabe freizuschalten. Erfolgt die Freigabe erst nach Laden des Betriebssystems, werden erforderliche Treiber oder ein Agent der Verschlüsselungssoftware auf dem Computer vorausgesetzt.

Jedoch sollte sich eine anwendende Person nicht blind auf hardwareverschlüsselte Datenträger verlassen. Vermeintliche Schnäppchen aus dem Internet implementieren kryptographische Algorithmen häufig nur unzureichend. Weiterhin verwenden sie in ihrem Quelltext oft hartkodierte Schlüssel, die ein Angreifender per Reverse Engineering auslesen und somit jedwede Verschlüsselung aufbrechen kann.

Beachtung der menschlichen Komponente

Sicherheits- und Verhaltensrichtlinien für die Verwendung von USB-Sticks sind nur dann hilfreich, wenn sie gemeinschaftlich und konsequent beachtet und umgesetzt werden. Dafür muss bei den Mitarbeitenden, Führungspersonen, Besuchenden und Liefernden ein Bewusstsein für die Gefahr durch ungeprüfte Wechseldatenträger geschaffen werden. Gleichermaßen ist die Durchführung regelmäßiger Aufklärungsveranstaltungen für am Unternehmen beteiligte Personen ratsam.

Von entscheidender Bedeutung für den Schutz vor Datenabfluss oder -manipulation ist schließlich die Kontrolle der Regelbefolgung. Die beste Sicherheitsrichtlinie trägt wenig zum Unternehmensschutz bei, wenn sie von Mitarbeitenden nicht oder nur nach eigenem Ermessen beachtet und befolgt wird.

Handhabung von USB-Sticks bei Adacor

Bei Adacor werden USB-Sticks eher selten verwendet. Manchmal verwenden wir sie für Firmenpräsentation, die wir im Hause des Kunden vorstellen. Gleichermaßen nutzen unsere beiden Teams „Technology Operations (TOP)“ und Network Operations (NOP)“ USB-Sticks zur Installation oder Ausführung eines Betriebssystems direkt vom externen Datenträger. Die entsprechenden Inhalte sind nicht vertraulich. Vertrauliche Inhalte versenden wir generell nur verschlüsselt.

Wie Cloud Computing Unternehmen zu Siegern macht

Managed-Cloud-Lösungen bieten Unternehmen effektive Vorteile.

Sichern Sie sich jetzt mit unseren Cloud-Diensten einen Vorsprung!

Verschlüsselung von USB-Sticks ist zu empfehlen

Abschließend lässt sich festhalten, dass die Verschlüsselung externer Datenträger mit Fokus auf USB-Sticks – trotz deren sinkender Popularität – äußerst sinnvoll ist. Entsprechende Werkzeuge sind als vielseitige Open-Source-Software oder als proprietäre Variante für spezifische Anwendungsfälle erhältlich.

Letztlich sind technische Lösungen jedoch immer nur so gut wie die Menschen, die sie einsetzen. Aus diesem Grund sollten Unternehmen ihre Mitarbeitenden in regelmäßigen Veranstaltungen über die existierenden Gefahren von Datenverlust und -abfluss aufklären und schulen.

Schließen Sie sich über 1.300 IT-Experten an.
Alle 14 Tage Top-Infos zu Cloud, Hosting und Management erhalten.

Tags: , , ,

Verwandte Artikel