USB-Sticks sind auch in Firmen beliebt. Allerdings eignen sich die praktischen Helfer zu weit mehr als zum bequemen Datenaustausch: Genauso können auf diesem Wege vertrauliche Informationen das Unternehmen verlassen. Das muss noch nicht einmal in böser Absicht durch Personen geschehen, die in die eigene Tasche wirtschaften oder Konkurrenten Geschäftsgeheimnisse zuspielen. Häufig passiert es, dass ein Mitarbeiter einen USB-Stick irgendwo liegen lässt oder ihm dieser gestohlen wird.

Damit sich solche Geschehnisse für das Unternehmen nicht zu Horrorszenarien ausweiten, bauen kluge Sicherheitsverantwortliche vor. Dazu bestehen mehrere Möglichkeiten. Eine sind sogenannte „Secure USB-Sticks“. Sie versprechen den Komfort eines USB-Sticks kombiniert mit hoher Sicherheit, damit im Falle eines Falles einem Dieb nur Unleserliches in die Hände gerät.

Aus technischer Sicht handelt es sich um Flash-Speicher mit interner Hardwareverschlüsselung. Der Zugriff auf die jeweiligen Dateien eröffnet sich erst nach Eingabe des richtigen Kennworts. Tippt der Benutzer dieses mehrfach hintereinander falsch ein, bewirkt das eine permanente Sperre des Speichermediums. Brute-Force-Versuche laufen damit ins Leere.

Den Nimbus der Unbezwingbarkeit haben Secure USB-Sticks allerdings trotzdem längst verloren. Bereits Ende 2009 fand die Tübinger SySS GmbH eine kritische Schwachstelle in verschiedenen USB-Sticks mit Hardware-basierter AES-Verschlüsselung. Durch das Ausnutzen dieser Schwachstelle war es möglich, mit wenigen Mausklicks einen nicht-autorisierten Zugriff auf sämtliche geschützte Daten zu erhalten. Zu den betroffenen Herstellern zählte seinerzeit auch die Firma Kingston, die eine Rückrufaktion für die beeinträchtigen USB-Sticks startete.

Im Februar 2011 demonstrierte SySS erneut, dass Secure USB-Sticks keineswegs immer die Sicherheit liefern, die Käufer von ihnen erwarten. Denn der untersuchte USB-Stick geriet über einen fast schon als fahrlässig zu bezeichnenden Fauxpas ins Straucheln: Anstatt das Kennwort wirksam verschlüsselt auf dem Speicherstick abzulegen, arbeitete der Hersteller mit einer symmetrischen Verschlüsselung. Somit war die Chiffrierung des Kennworts vollständig umkehrbar und dieses dann im Klartext einsehbar.

Mehr Sicherheit durch zentrale Verwaltung

Unternehmen, die auf Sicherheit Wert legen und sich dabei nicht auf die möglicherweise löchrigen Vorkehrungen von Secure USB-Sticks verlassen möchten, benötigen eine Alternative. Zu diesem Zweck hat Kingston ein aus Hard- und Software bestehendes Paket geschnürt, das einen anderen Ansatz verfolgt.

Die Hardware trägt die sperrige Bezeichnung DataTraveler Vault Privacy Managed (kurz DTVPM) und kommt in der Bauform eines klassischen, länglichen USB-Sticks daher. Jedoch ist dieser etwas breiter und dicker als üblich, sodass bei eng nebeneinanderliegenden Ports für benachbarte USB-Geräte unter Umständen zu wenig Platz bleibt.

Für die sichere Speicherung von Daten auf einem DTVPM-USB-Stick zeichnet der eingebaute Sicherheitschip verantwortlich. Dieser nimmt automatisch eine 256-Bit-Verschlüsselung gemäß Advanced Encryption Standard (AES) im Modus Cipher Block Chaining (CBC) vor. Einsetzbar sind die Speichersticks auf Windows-PCs (Windows 7, Windows Vista ab SP1 und Windows XP ab SP2). Varianten für Mac OS und Linux gibt es nicht.

Angeboten werden die portablen DTVPM-Speicher in Kapazitäten von 2 bis 32 GByte – von Kingston derzeit nur für USB 2.0 und noch nicht für die schnellere USB 3.0-Technik. Das von ZDNet getestete 16-GByte-Modell geht derzeit zum empfohlenen Verkaufspreis von rund 137 Euro (inklusive Mehrwertsteuer) über die Ladentheke.

Ohne Zusatzsoftware geht gar nichts

Kingston bezeichnet seine DTVPM-Baureihe ausdrücklich als „Managed Solution“: Damit der USB-Stick seine Sicherheitsmerkmale wie vorgesehen entfalten kann, ist zusätzliche Verwaltungssoftware erforderlich. Diese stammt von der schwedischen Firma BlockMaster und hört auf den Namen SafeConsole. Dahinter verbirgt sich eine kleine Serversoftware, über die alle eingebundenen USB-Sticks zentral verwaltet werden. Hierfür kommen übrigens nicht nur die DTVPM-Speicher von Kingston infrage: BlockMaster führt auf seiner Website weitere mit SafeConsole kompatible Devices auf, die sich mit der Serversoftware ebenfalls zentral administrieren lassen.

SafeConsole sieht ein Rollenkonzept mit unterschiedlichen Berechtigungsstufen vor. Das gestattet eine flexible Delegation der Verwaltung von SafeConsoleReady-Speichersticks: Manager sind zwar nicht so mächtig wie Administratoren, dürften aber Konfigurationsänderungen durchführen. Reines Support-Personal dagegen kann Benutzer dabei unterstützen, ihr Kennwort zurückzusetzen oder Datensicherungen wieder herzustellen.

Allerdings befindet sich die SafeConsole-Serversoftware nicht im Lieferumfang des Kingston-Speichersticks, sodass diese separat erworben werden muss. Das schlägt pro verwaltetem USB-Stick mit jährlich 14 Euro zu Buche. Alternativ bietet BlockMaster eine Dauerlizenz zum Preis von 33 Euro an.

Einrichten der Serversoftware

Zum Ausprobieren steht die SafeConsole-Serversoftware in drei verschiedenen Ausprägungen bereit, die, auf der Website www.safeconsole.com/kingston beschrieben sind. Wer kein lokales System aufsetzen möchte, kann zur zehntätigen Cloud-Trial-Implementation greifen, die zu Demonstrationszwecken mit Beispieldaten gefüllt ist. Das trifft auch auf den zweiten Probiertypus zu, eine vorkonfigurierte virtuelle Maschine für VMware Workstation oder den kostenlosen VMware Player.

Um die eingegebenen Daten nicht mit jedem Reboot zu verlieren, empfiehlt sich die lokale Installation der SafeConsole-Serversoftware, die für Windows und Linux zur Verfügung steht. Über den Demozeitraum hinausgehend lässt sich diese Variante – nach entsprechendem Lizenzerwerb – in den dauerhaften Betrieb überführen. Außerdem erlaubt die lokale Installation der SafeConsole-Serversoftware eine Integration in das Active Directory, um die Organisationsstruktur des Unternehmens sowie die dort hinterlegten Benutzerkonten verwenden zu können.

Sobald der SafeConsole-Server läuft, kann ein Administrator von seinem PC aus eine Verbindung dazu herstellen, indem er https:///safeconsole in einen gängigen Browser eintippt. Beim erstmaligen Besuch erscheint eine Webseite, die Deployment-Hinweise bereithält. Denn auf allen PCs, an die Kingstons DTVPM-USB-Stick oder ein anderes SafeConsoleReady-Device angeschlossen wird, ist eine kleine Registry-Datei auszuführen. Erst dann wissen die Computer, mit welchem SafeConsole-Server sie Kontakt aufnehmen sollen. Ebenso ist auf diesen Systemen ein SSL-Zertifikat zu installieren (über ein Active Directory lassen sich diese Vorgänge automatisieren), damit der SafeConsole-Server als vertrauenswürdige Stammzertifizierungsstelle erkannt wird.

Was auf den ersten Blick ein wenig irritierend klingt, entpuppt sich bei genauerer Betrachtung als weitere Sicherheitshürde: Verbindet ein Dieb den USB-Stick mit einem PC, der nicht entsprechend präpariert ist, kann dieser Computer mit dem SafeConsole-Server erst gar nicht kommunizieren und von dort keinerlei Anweisungen zur Entsperrung erhalten.

Vielfältige Einstellmöglichkeiten

Die Weboberfläche der SafeConsole-Serversoftware bietet zahlreiche Einstellungen und Optionen zur Verwaltung der gesicherten USB-Sticks. Organisationseinheiten können mit insgesamt 17 unterschiedlichen Konfigurationsregeln ausgestattet werden, um zum Beispiel Mitarbeiter einer Abteilung, die häufig unterwegs sind, strenger zu behandeln als Inhouse-Personal. In der Organisationsübersicht gibt die SafeConsole-Weboberfläche Aufschluss darüber, bei welcher Organisationseinheit welche Konfigurationsregeln Anwendung finden.

Der umfangreichste Part, die Konfigurationsübersicht, ist in drei Hauptkategorien unterteilt: Im Rahmen der Sicherheitskonfiguration lassen sich komplexe Kennwortregeln definieren, die verbindliche Vorgaben zur Beschaffenheit, Länge und Gültigkeitsdauer enthalten. Bei den Tools für den Geräteadministrator ist einstellbar, ob Benutzer ihre Kennwörter selbst zurücksetzen können. Falls zu Revisionszwecken eine Protokollierung erfolgen soll, welche Dateien auf gesicherte USB-Sticks kopiert oder dort gelöscht werden, wird dies ebenso in dieser Kategorie definiert.

Über die Nutzungskonfiguration schließlich lassen sich erweiterte Funktionen einstellen. Hierzu zählen die verschlüsselte Datensicherung auf ein Netzwerklaufwerk oder die ZoneBuilder-Assoziation gesicherter USB-Sticks mit Windows-Benutzerkonten, um eine sichere Entsperrung der Speichersticks auch ohne Kennworteingabe durchzuführen.

Kingstons DTVPM-Speicher im Einsatz

Sind alle Vorbereitungen erledigt, kann der Kingston USB-Stick schließlich mit einem geeigneten PC verbunden werden. Beim Testkandidaten startet daraufhin von einem virtuellen CD-Laufwerk automatisch das DTVPM-Launcherprogramm, das Verbindung mit dem SafeConsole-Server aufnimmt. Nach Eingabe des richtigen Kennworts, das vom Benutzer bei der ersten Verwendung selbst zu definieren ist, wird der gesicherte USB-Stick aufgeschlossen.

Im Windows-Explorer erscheint daraufhin ein weiteres Laufwerk, das der Benutzer wie einen regulären Speicherstick zur Dateiablage verwenden kann. Allerdings werden die zentral definierten SafeConsole-Regeln angewandt. Verbieten diese beispielsweise die Speicherung bestimmter Dateitypen auf dem USB-Stick, werden Dateien mit entsprechenden Namenserweiterungen automatisch gelöscht, falls der Benutzer solche auf den DTVPM-Speicher kopiert.

Auch sonst gelten die beim SafeConsole-Server eingestellten Vorgaben. Der Benutzer bekommt das unter anderem bei den Anforderungen an die Beschaffenheit seines Kennworts sowie bei der Anzahl möglicher Fehlversuche bis zur Sperrung zu spüren. Über das im Infobereich der Taskleiste angezeigte Kingston-Icon kann der Anwender den USB-Stick jederzeit manuell verriegeln oder einen Kennwortwechsel einleiten.

Alternativen

Unternehmen, die sich zwar Sicherheit für ihre USB-Sticks wünschen, dafür aber auf herkömmliche – und im Vergleich zu Secure und DTVPM-USB-Sticks deutlich preisgünstigere – Speichersticks zurückgreifen möchten, müssen auf Alternativlösungen ausweichen. Die Bekannteste dürfte die Freeware Truecrypt sein, die mit einem großen Funktionsumfang aufwartet. Kommt es bei der Nutzung dieses Tools jedoch zu Problemen (beispielsweise beim Mounten von Volumes und der Übertragung von Dateien), ist der Anwender auf sich gestellt oder auf die Community-Hilfe in einem Internetforum angewiesen. Da hinter Truecrypt kein Hersteller steht, gibt es kein geregeltes Supportangebot, sodass sich dieses Tool für den professionellen Einsatz in Unternehmen nur bedingt eignet.

Eine weitere Alternative ist die Windows-7-Funktion „BitLocker To Go“. Auf der für Festplatten konzipierten BitLocker-Laufwerksverschlüsselung aufbauend nimmt sich diese Verschlüsselungsoption ausschließlich Wechselmedien an. Dabei ist BitLocker To Go denkbar einfach anzuwenden: Es reicht aus, im Windows-Explorer einen USB-Stick mit der rechten Maustaste anzuklicken und dann „BitLocker aktivieren“ auszuwählen. Anschließend ist das Kennwort festzulegen, das der Benutzer zur Entschlüsselung der auf dem USB-Stick gespeicherten Dateien eintippen muss (falls im Unternehmen keine Smartcards genutzt werden).

Die Praxis zeigt jedoch, dass nicht alle IT-Verantwortlichen darauf achten, welche Windows-7-Version sie mit einem PC erwerben: Denn BitLocker hat Microsoft ebenso wie BitLocker To Go den Enterprise- und Ultimate-Editionen vorbehalten. Benutzer, auf deren Computer lediglich die Home- oder Professional-Edition von Windows 7 läuft, können diese Schutzmechanismen daher nicht verwenden.

Fazit

Kingston beschreitet mit seiner Managed Solution einen interessanten Weg, um Unternehmen mehr Sicherheit beim Umgang mit USB-Sticks zu bieten. Die Kombination aus Hard- und Software ist vor allem deshalb interessant, da ein Langfinger gleich mehrere Hürden überwinden muss. Zudem lassen sich verloren gegangene USB-Sticks sperren – auf Wunsch sogar automatisch, wenn die DTVPM-Speicher sich nicht regelmäßig beim zugehörigen SafeConsole-Server melden.

Damit bewegt sich die Lösung auf einem deutlich höheren Sicherheitsniveau als gewöhnliche Secure USB-Sticks. Allerdings wird diese Sicherheit nur Windows-Benutzern zuteil, da Kingston andere Betriebssysteme wie Mac OS und Linux derzeit nicht berücksichtigt. Zumindest ersteres sollte Kingston baldmöglichst nachholen.

Im Test hinterlässt die Lösung einen guten Eindruck. An der Beseitigung kleinerer Unstimmigkeiten muss Kingstons schwedischer Softwarepartner BlockMaster aber noch arbeiten. Beispielsweise haben sich in der deutschen Weboberfläche der SafeConsole-Serversoftware ein paar Übersetzungsfehler eingeschlichen. Des Weiteren funktioniert im Test die Anmeldung bei der SafeConsole-Weboberfläche eines Cloud-SafeConsole-Trialservers mit dem Internet Explorer 9 nicht. Mit anderen Browsern wie Firefox und Chrome hingegen klappte es reibungslos. Der dazu konsultierte Blockmaster-Support antwortete zwar prompt und zeigte sich sehr bemüht, konnte jedoch keine Ursache ausmachen. Bei Anmeldungen an lokale SafeConsole-Serverinstallationen tritt das Phänomen nicht auf.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago