Sichere Datentransporter

USB-Stick und externe SSD mit Verschlüsselung

Test & Kaufberatung | Test

USB-Sticks und mobile SSDs sind praktisch, um Daten zu transportieren. Schade ist es, wenn sie unterwegs verloren gehen – und schlimm, wenn sich darauf schutzwürdige Daten befinden.

USB-Sticks sind Alltagsgegenstände, die man oft ohne viel Nachdenken benutzt. Gehen sie verloren, sind die Daten für einen Dieb oder auch einen ehrlichen Finder mühelos einsehbar. Dagegen hilft nur Verschlüsselung.

Für viele praktische Anwendungszwecke reicht eine Verschlüsselung mit Software wie 7-Zip, Bitlocker oder VeraCrypt aus. Aus Furcht vor rechtlichen Konsequenzen aber setzen vor allem Unternehmen lieber auf Produkte, die von einer unabhängigen Prüfstelle zertifiziert wurden. Durch eine möglichst komfortable Einbindung der Verschlüsselung in den Arbeitsprozess kann man zudem die Akzeptanz bei den Mitarbeitern erhöhen.

Wir haben für diesen Test den Komfort eines USB-Sticks und einer externen Festplatte mit Kryptofunktion untersucht. Die Sicherheit solcher Geräte können wir allerdings nur mit Wahrscheinlichkeiten beurteilen – schon nächste Woche könnte jemand einen Weg finden, die Verschlüsselungstechnik zu brechen.

Im Test ist der USB-Stick datashur Pro von iStorage, als Beispiel für eine externe SSD haben wir uns die DataLocker Ironkey H350 SSD kommen lassen. Während der datashur Pro mit Zifferntasten ausgestattet ist, muss man bei der SSD eine Software auf dem PC starten. Beide nutzen eine AES-256-Verschlüsselung und sind nach FIPS 140-2 Level 3 [1] zertifiziert – das sichert auch einen gewissen Schutz gegen mechanischen Zugriff auf die elektronischen Komponenten zu.

Trügerische Sicherheit

Nicht zertifizierte Mobilspeicher mit Verschlüsselung können zwar ebenfalls sicher sein, immer wieder aber fallen einige Produkte durch Sicherheitslücken auf. So ließen sich die Daten eines Festplattengehäuses von Xystec [2], das sich eigentlich nur durch einen RFID-Tag freischalten lassen sollte, durch einen bereits seit fast zehn Jahren bekannten Weg [3] einfach lesen: Statt mit AES-128 wurden die Daten nur mit einer primitiven XOR-Verschlüsselung chiffriert. Auch in den externen Festplatten WD My Book und My Passport schlummerte jahrelang ein Bug, der das Auslesen der verschlüsselten Daten erlaubte [4].

datAshur Pro

Groß, aber leicht: 64 GByte Speicherkapazität stellt der datAshur Pro zur Verfügung, ungewohnt für einen USB-Stick ist das Ziffernfeld. Drückt man auf die Schlüsseltasten, blinkt eine rote LED – ein interner Akku erlaubt, das Passwort vor dem Einstöpseln einzugeben. Mindestens acht Ziffern verlangt die Firmware, einfache Kombinationen wie acht Mal die Null oder die Abfolge von 1 bis 8 sind verboten. Der Stick kennt einen Benutzer- und einen Administrator-Modus, der ebenfalls über die Tastatur eingerichtet wird. Ein Administrator kann den Stick etwa für einen Benutzer nur zum Lesen freigeben.

Gibt ein User seine PIN zehn Mal falsch ein, lässt sich der Stick nur noch mit der Admin-PIN entsperren. Sollte der Admin seine PIN ebenfalls vergessen haben, gibt es zwei Möglichkeiten: Je nach Einstellung wird der Stick entweder auf den Auslieferungszustand zurückgesetzt oder zerstört – die Daten sind nach Herstellerangaben nicht mehr auslesbar. Der Stick ist zudem staub- und wassergeschützt nach IP57.

Ist der Stick einmal angeschlossen, erfreut er mit zeitgemäßen Übertragungsraten von mehr als 100 MByte/s beim Lesen und Schreiben. Der größte Vorteil der Tastatur ist die Unabhängigkeit von Hardware und Betriebssystem. Keylogger haben keine Chance, die PIN abzugreifen, und der Stick funktioniert an jedem USB-Port – etwa auch an TV-Geräten, Industriecomputern oder Messsystemen.

Ironkey H350 Basic

Die Datalocker H350 Basic stammt aus einer Familie verschlüsselter externer Laufwerke, die Version mit SSD ist jedoch recht neu. Das Gehäuse ist gegen Stöße und Wassereinbruch geschützt, der Anschluss erfolgt per Micro-USB-B-3.0-Kabel.

Steckt man das USB-Kabel der Datalocker-SSD in den PC, poppt ein nur rund 350 MByte großes Laufwerk mit Software zum Freischalten des verschlüsselten Laufwerks auf. Software gibt es für Windows, macOS und Linux. Während die Freischaltung im Test unter Windows und macOS anstandslos funktionierte, mussten wir bei unserem Linux-Testsystem mit Ubuntu 16.04 LTS mittels sudo apt install libc6-i386 erst die 32-Bit-Unterstützung nachrüsten.

Anders als bei unverschlüsselten externen SSDs bleibt das Innenleben verborgen. SMART-Programme wie CrystalDiskInfo oder HardDiskSentinel sehen die USB-SSD nicht, sie können weder SMART-Werte auslesen noch den Typ der verbauten SSD feststellen. Nach zehnmaliger Falscheingabe des Passworts setzt die SSD sich auf den Auslieferungszustand zurück.

Bei der Geschwindigkeit hätten wir mehr erwartet: Gerade einmal 136 MByte/s beim Lesen und Schreiben sind einer SSD nicht würdig.

Die H350 ist auch als Enterprise-Version erhältlich. Zu ihr gehört die Verwaltungssoftware Ironkey EMS. Diese erlaubt nach Herstellerangaben beispielsweise die Durchsetzung von Sicherheitsrichtlinien, die Überwachung der Gerätenutzung, das Zurücksetzen vergessener Passwörter sowie die Verhinderung des Zugriffs oder sogar die Remote-Zerstörung des Laufwerkes bei Diebstahl oder Verlust.

Fazit

Beide Datenspeicher sind nach dem heutigen Stand so sicher, dass man damit sensible Daten transportieren kann – auf die Verschlüsselung der Geräte muss man sich jedoch verlassen.

Universeller ist der datAshur Pro: Da er zur Entschlüsselung keine Software benötigt, kann man sogar von ihm booten, und der USB-Stick läuft an jedem USB-Port. Wer mehr Platz benötigt oder mehrere verschlüsselte Geräte zentral verwalten möchte, greift zur Datalocker H350.

(ll@ct.de)

Literatur
  1. [1] FIPS Sicherheitslevel: https://en.wikipedia.org/wiki/FIPS_140-2
  2. [2] Ronald Eikenberg, Datentresor mit dünnen Wänden, c’t 16/12, S. 48
  3. [3] Christiane Rütten, Verschlüsselndes Festplattengehäuse geknackt: http://heise.de/-219073
  4. [4] Dennis Schirrmacher, Western Digital: Selbstverschlüsselnde Festplatten leicht knackbar: http://heise.de/-2853323
Verschlüsselt, aber offen

Ronald Eikenberg

Eine in Hardware gegossene Verschlüsselung setzt ein großes Vertrauen gegenüber den Firmware-Entwicklern voraus: In der Regel arbeiten die Systeme wie eine Black Box, in die man nicht hineinschauen kann. Selbstverschlüsselnde Speichermedien können verhindern, dass der zur Entschlüsselung nötige Krypto-Schlüssel in die falschen Hände gerät – indem er stets in einem trojanersicheren Bereich der externen Hardware verbleibt und von dort nicht ausgelesen kann. Der Nutzer schickt eine PIN oder ein Passwort ans Gerät, das es daraufhin intern überprüft und damit schließlich den Schlüssel freigibt, um die Dateien zu entschlüsseln. Das System, das auf die Daten zugreifen soll, bekommt davon im Idealfall nichts mit, und auch der Nutzer kann nach der Entschlüsselung ohne Sperren auf die Daten zugreifen.

Die Sache hat allerdings auch einen entscheidenden Haken: Leisten sich die Entwickler der Firmware einen Patzer, können möglicherweise auch Unbefugte auf die Daten zugreifen. So sind Fälle bekannt, in denen es Sicherheitsforschern gelang, die geheimen Krypto-Schlüssel aus dem Speichergerät zu extrahieren und die Daten ohne Kenntnis des Passworts zu entschlüsseln. Auch Patzer bei der Krypto-Implementierung sind denkbar.

Einblick in die Firmware erhält man meist nicht, getreu dem Motto „Security by obscurity“. Ausnahmen von der Regel sind Krypto-Speichergeräte wie der Nitrokey Storage, dessen Firmware und Hardware-Design bei GitHub einsehbar sind und unter einer freizügigen Lizenz stehen. Ich persönlich würde meine geheimen Daten ausschließlich Krypto-Lösungen anvertrauen, deren Code ich einsehen könnte, wenn ich wollte – ganz gleich, ob es um Software oder Hardware geht. Im Idealfall ist das Produkt bereits gereift und genießt eine gewisse Verbreitung. Für den privaten Einsatz reichen mir etablierte Open-Source-Programme wie VeraCrypt aus. Aufgrund der rechtlichen Rahmenbedingungen kann ich jedoch Admins verstehen, die im Unternehmenseinsatz auf proprietäre, aber zertifizierte Hardware-Lösungen für schutzwürdige Daten setzen. (rei@ct.de)

Artikel kostenlos herunterladen

Kommentare

Infos zum Artikel

Kapitel
  1. Trügerische Sicherheit
  2. datAshur Pro
  3. Ironkey H350 Basic
  4. Fazit
  5. Verschlüsselt, aber offen
4Kommentare
Kommentare lesen (4 Beiträge)
  1. Avatar
  2. Avatar
  3. Avatar
Anzeige
Anzeige