c't 14/2018
S. 116
Praxis
USB-Medien: Verschlüsseln
Aufmacherbild

Taschentresor

USB-Medien sicher verschlüsseln

Wer Daten mit sich herumträgt, trägt auch die volle Verantwortung für deren Schutz – und das nicht erst, seitdem die DSGVO in Kraft getreten ist. Zum Glück gibt es Gratis-Software für eine sichere Verschlüsselung.

Verliert man einen USB-Stick, ist das zweifelsfrei ärgerlich und schade um die Hardware. Aber: Im besten Fall war es das auch schon. Wenn ein Finder nicht nur den Stick bekommt, sondern auch die darauf gespeicherten Fotos, Vereinsprotokolle oder gar Firmendokumente, ist das erheblich kritischer. Das Ziel muss also sein, mobile Datenträger so zu verschlüsseln, dass Finder oder Diebe keinen Zugriff auf die Daten haben, außer der reinen Hardware also nichts Verwertbares in fremde Hände geraten kann.

Dieser Artikel stellt drei Methoden der Verschlüsselung vor – eine einfache für einzelne Dateien, eine komfortable, die aber nur in besseren Windows-Editionen enthalten ist, und eine plattformunabhängige für größtmögliche Flexibilität. Für die Verschlüsselung und Verwaltung von Datenträgern im Firmenumfeld gibt es spezialisierte Lösungen, die wir ab Seite 120 vorstellen.

Video: Nachgehakt

Bei Flash-Speichermedien ist es wichtig, sie nicht im unverschlüsselten Zustand mit vertraulichen Daten in Kontakt kommen zu lassen. Wenn Sie einen USB-Datenträger kaufen, auf dem später einmal vertrauliche Daten landen sollen, verschlüsseln Sie ihn, bevor Sie auch nur ein Dokument darauf speichern! Wenn Sie ihn erst mit Daten füllen und danach verschlüsseln, können Sie nicht sicher ausschließen, dass einige Flash-Speicherblöcke noch unverschlüsselte Inhalte beherbergen. Warum das so ist und wie Flash-Speicher am besten ausrangiert werden, erklären wir ab Seite 124.

7-Zip

Ein verschlüsseltes Archiv ist mit 7-Zip schnell erstellt – doch es gibt sicherere Verfahren.

Einer der einfachsten Wege, um nur Verschlüsseltes auf einen USB-Stick kommen zu lassen, ist es, die Dateien selbst vor dem Kopieren zu verschlüsseln. Das geht beispielsweise mit dem quelloffenen Packprogramm 7-Zip, das für Windows auch als portable Anwendung zu haben ist (siehe ct.de/yz6c). Ist 7-Zip auf Ihrem PC installiert, klicken Sie mit der rechten Maustaste auf die gewünschte Datei oder auch einen ganzen Ordner, dann auf den Menüpunkt „7-Zip“ und im Untermenü auf „Zu einem Archiv hinzufügen …“.

Die meisten Einstellungen im folgenden Dialog können Sie so belassen, wie sie sind. Vergeben Sie im Bereich „Verschlüsselung“ ein Passwort. Hier gilt, was bei Passwörtern immer gilt: Scheuen Sie sich nicht vor Ziffern und Sonderzeichen, wählen Sie keins, das Sie auch bei anderen Programmen, Diensten oder Accounts verwenden. Ein möglichst langes Passwort ist der effektivste Weg, um es Angreifern schwer zu machen (siehe dazu c’t 7/2018, S. 62). Als „Verfahren“ wählen Sie „AES-256“. Die Auswahl „ZipCrypto“ ist weniger sicher; sie ist vor allem aus Gründen der Abwärtskompatibilität enthalten.

Sowohl zum Auspacken als auch zum Erstellen verschlüsselter Archive muss es nicht zwingend 7-Zip sein – das Programm muss aber mit dem AES-Algorithmus umgehen können. So lassen sich mit 7-Zip verschlüsselte Archive auf Windows auch mit Alternativen wie Winrar oder Winzip öffnen, unter macOS zum Beispiel mit Keka und unter Linux etwa mit dem Kommandozeilen-Tool p7zip.

Die Verschlüsselung mit 7-Zip ist einfach zu bedienen und schnell einsatzbereit, birgt aber Risiken. Anders als bei einer Vollverschlüsselung à la VeraCrypt oder BitLocker ist es nicht nötig, physischen Zugriff auf den USB-Stick zu haben, um der Verschlüsselung mit einem Wörterbuchangriff zu Leibe zu rücken. Es reicht eine Kopie der Datei – oder mehrere, um den Angriff zu parallelisieren. Ein weiterer Nachteil: Im Alltag müssen Sie stets darauf achten, nicht aus Versehen unverschlüsselte Daten auf den Stick zu schieben.

BitLocker

Mit einer Korrektur in den Gruppenrichtlinien verschlüsselt BitLocker stärker.

Eine praktische Lösung ist die Windows-eigene Verschlüsselung BitLocker To Go. Enthalten ist sie in allen Editionen von Windows 8.1 und 10 außer der jeweiligen Home- beziehungsweise Core-Ausgabe. Windows 7 bietet BitLocker nur in den Editionen Ultimate und Enterprise. Die Benutzung von BitLocker-verschlüsselten Medien ist übrigens auch mit den jeweiligen Home-Ausgaben möglich. Sie eignen sich lediglich nicht, um die Verschlüsselung zu aktivieren und zu verwalten. Für den Einsatz von BitLocker auf einem USB-Stick benötigen Sie daher mindestens einen Recher mit einer Pro-Edition von Windows (oder höher).

Kommentare lesen (6 Beiträge)

Weitere Bilder

Taschentresor (2 Bilder)

VeraCrypt bindet verschlüsselte Datenträger als virtuelle Laufwerke ein – der Buchstabe ist frei wählbar.

Videos