Flash-Speicher Sichere USB-Sticks – nicht gleich gut geschützt

Autor / Redakteur: Ken Jones* / Stephan Augsten

Flash-Speicher sind klein, leicht und benutzerfreundlich: Deshalb sind USB-Sticks ein beliebter Weg, Dokumente zu speichern, Daten auszutauschen und Arbeit mitzunehmen. Vor allem im geschäftlichen Umfeld sollte dabei aber auch ein gewisses Maß an Sicherheit gelten.

Firma zum Thema

Geistiges Eigentum wie Konstruktionszeichnungen sollten nur auf sicheren Geräten aus dem Unternehmen mitgenommen werden.
Geistiges Eigentum wie Konstruktionszeichnungen sollten nur auf sicheren Geräten aus dem Unternehmen mitgenommen werden.
(Bild: Archiv)

Im Unternehmen können USB-Sticks ein gravierendes Sicherheitsrisiko darstellen. Sensible Informationen und Dateien sollten beispielsweise niemals unverschlüsselt gespeichert werden. Und natürlich muss der Mitarbeiter um das Risiko wissen, das mit einem Datenverlust einhergeht.

Eine Umfrage des britischen Meinungsforschungsunternehmens Vanson Bourne zeigte Ende 2014 das Ausmaß dieses Problems. Für die Studie wurden 1.000 Büroarbeiter in Deutschland und Großbritannien befragt. Fast 40 Prozent der Teilnehmer gab an, dass ihnen oder einem Bekannten bereits ein mobiles Device verloren gegangen oder gestohlen worden war.

Drei Viertel dieser verlorenen Geräte, darunter Laptops, Handys und USB-Sticks, enthielten geschäftliche Daten. Hierzu zählten unter anderem vertrauliche E-Mails (37 Prozent), vertrauliche Dateien (34 Prozent) und Kundendaten (21 Prozent). Rund jeder Zehnte hatte Finanzdaten oder Zugangsdaten wie Login- und Kennwortinformationen verloren und damit potenziell noch weitere vertrauliche Informationen dem Risiko eines Datenmissbrauchs ausgesetzt.

Drei Viertel aller Befragten hatten schon einmal digitale Daten vom Arbeitsplatz mitgenommen. Nur in wenigen Fällen wurden Verschlüsselung, Schutz der Daten per Kennwort oder Remote Wipe vorgeschrieben oder tatsächlich genutzt, um die Daten vor unerlaubtem Zugriff zu schützen.

Sicherheitsrisiken bei Standard-USB-Sticks

In Deutschland war der USB-Stick der beliebteste Weg, Arbeit aus dem Büro mitzunehmen: 40 Prozent der Befragten gaben an, dass sie digitale Dateien für unterwegs auf einem USB-Stick speichern – im Vergleich zu 33 Prozent, die ihren Firmen-Laptop in die Tasche stecken. Ein Laptop ist allerdings in der Regel mit einem Passwort und Security-Software versehen.

Das Absichern vertraulicher Daten auf einem Standard-USB-Stick ist demgegenüber weniger simpel. Grund dafür ist der Aufbau des USB-Sticks. Selbst wenn Dateien vor dem Übertragen auf den USB-Stick mit einer Encryption Software verschlüsselt wurden, ist der Schlüssel üblicherweise im selben Speicherbereich abgelegt.

Sicherheitsexperten scherzen gerne, dass man genauso gut den Haustürschlüssel neben die Haustür hängen könnte-Fällt der USB-Stick einem Angreifer in die Hände, hat dieser mit relativ wenig Mühe Zugriff auf den Krypto-Schlüssel und damit auf die verschlüsselten Informationen.

Beim Passwortschutz ergibt sich ein ähnliches Problem: Ein Kennwort wird oft im gleichen Speicherbereich auf dem Stick abgelegt, wie die zu schützenden Daten. Damit ist es dem Risiko einer Brute-Force-Attacke ausgesetzt. Selbst Mechanismen, die den Zugriff sperren, falls mehrere Male ein falsches Passwort eingegeben wird, lassen sich durch eine Manipulation des Zählers umgehen.

Was ist bei hochsicheren USB-Sticks anders?

Hochsichere USB-Sticks bieten eingebaute Sicherheitsfunktionen wie eine Authentifizierung – etwa per Passwort oder biometrischen Informationen – und Verschlüsselungsmechanismen. Doch auch hier gibt es Unterschiede.

Das US-amerikanische National Institute of Standards and Technology (NIST) verleiht nach Tests hinsichtlich der Soft- und Hardwaresicherheit die so genannte FIPS-Zertifizierung. Diese ist in vier verschiedene Sicherheitsstufen unterteilt, wobei Level 1 die niedrigste, Level 4 die höchste Sicherheitsstufe ist.

Die Tests beleuchten neben den genutzten Authentisierungs- und Verschlüsselungstechnologien auch, wie diese Mechanismen in das Produkt implementiert sind. Zudem überprüfen sie die physikalische Sicherheit: Wie leicht kann ich etwa den Stick öffnen oder auf den Speicherchip zugreifen?

Ein USB-Gerät für den Geschäftsgebrauch sollte idealerweise ein höheres Sicherheitsniveau als das Level 2 nach dem Standard FIPS 140 bieten. Nur dann ist gewährleistet, dass der Schlüssel in einem separaten Bereich abgelegt ist, beispielsweise in einem Kryptochip-Modul. Dieses ist bei einer höheren Zertifizierung auch physisch vor Manipulation geschützt, zum Beispiel mit Metallmaschengewebe und einem Selbstzerstörungsmechanismus.

Hochsichere Geräte weisen daneben oft besonders stabile Gehäuse und manipulationssichere Schutzschaltungen auf. Letztere machen alle in Klartext gespeicherten, kritischen Sicherheitsparameter unlesbar, sobald das Produktgehäuse geöffnet wird. Die Sicherheitsstufe 3 verlangt zudem, dass Operationen mit Klartext-Sicherheitsparametern physisch von anderen Operationen getrennt sind, also andere Ports oder logisch abgesonderte Schnittstellen nutzen.

Unternehmen, die den Einsatz von sicheren USB-Sticks erwägen, sollten neben der FIPS-Zertifizierung auf eine Reihe weiterer Merkmale achten:

  • Wie einfach lässt sich der Stick handhaben?
  • Welche Gerätemanagement-Optionen stehen zur Verfügung?
  • Lassen sich Sicherheitsrichtlinien definieren und durchsetzen (z.B. fürs Passwortmanagement)?
  • Bietet das Gerät erweiterte Schutzfunktionen wie Remote Password Reset oder Remote Wipe?
  • Wie robust ist das Gerät – würde es zum Beispiel einen 60-Grad-Waschgang überstehen?

Bleibt noch die Frage nach neuen Angriffsmethoden wie BadUSB, das die Firmware eines Geräts mit Schadcode manipuliert. Die fortschrittlichsten USB-Sticks bieten auch dagegen einen Schutz: Hier ist die Firmware mit einer digitalen Signatur vor Fremdzugriffen geschützt.

Unternehmen, die es ihren Mitarbeitern erlauben, Daten auf USB-Sticks zu speichern, sollten sich über die Sicherheitsrisiken im Klaren sein und sich fragen, wie groß der finanzielle Verlust und der Imageschaden im Fall eines Datenverlustes wäre. Der Umstieg auf hochsichere Geräte kann sich durchaus bezahlt machen.

* Ken Jones ist Vice President of Engineering & Product Management, IronKey by Imation.

(ID:43346406)