Sichere Datentransporter
USB-Stick und externe SSD mit Verschlüsselung
USB-Sticks und mobile SSDs sind praktisch, um Daten zu transportieren. Schade ist es, wenn sie unterwegs verloren gehen – und schlimm, wenn sich darauf schutzwürdige Daten befinden.
USB-Sticks sind Alltagsgegenstände, die man oft ohne viel Nachdenken benutzt. Gehen sie verloren, sind die Daten für einen Dieb oder auch einen ehrlichen Finder mühelos einsehbar. Dagegen hilft nur Verschlüsselung.
Für viele praktische Anwendungszwecke reicht eine Verschlüsselung mit Software wie 7-Zip, Bitlocker oder VeraCrypt aus. Aus Furcht vor rechtlichen Konsequenzen aber setzen vor allem Unternehmen lieber auf Produkte, die von einer unabhängigen Prüfstelle zertifiziert wurden. Durch eine möglichst komfortable Einbindung der Verschlüsselung in den Arbeitsprozess kann man zudem die Akzeptanz bei den Mitarbeitern erhöhen.
Wir haben für diesen Test den Komfort eines USB-Sticks und einer externen Festplatte mit Kryptofunktion untersucht. Die Sicherheit solcher Geräte können wir allerdings nur mit Wahrscheinlichkeiten beurteilen – schon nächste Woche könnte jemand einen Weg finden, die Verschlüsselungstechnik zu brechen.
Im Test ist der USB-Stick datashur Pro von iStorage, als Beispiel für eine externe SSD haben wir uns die DataLocker Ironkey H350 SSD kommen lassen. Während der datashur Pro mit Zifferntasten ausgestattet ist, muss man bei der SSD eine Software auf dem PC starten. Beide nutzen eine AES-256-Verschlüsselung und sind nach FIPS 140-2 Level 3 zertifiziert – das sichert auch einen gewissen Schutz gegen mechanischen Zugriff auf die elektronischen Komponenten zu.
Trügerische Sicherheit
Nicht zertifizierte Mobilspeicher mit Verschlüsselung können zwar ebenfalls sicher sein, immer wieder aber fallen einige Produkte durch Sicherheitslücken auf. So ließen sich die Daten eines Festplattengehäuses von Xystec, das sich eigentlich nur durch einen RFID-Tag freischalten lassen sollte, durch einen bereits seit fast zehn Jahren bekannten Weg einfach lesen: Statt mit AES-128 wurden die Daten nur mit einer primitiven XOR-Verschlüsselung chiffriert. Auch in den externen Festplatten WD My Book und My Passport schlummerte jahrelang ein Bug, der das Auslesen der verschlüsselten Daten erlaubte.
datAshur Pro
Groß, aber leicht: 64 GByte Speicherkapazität stellt der datAshur Pro zur Verfügung, ungewohnt für einen USB-Stick ist das Ziffernfeld. Drückt man auf die Schlüsseltasten, blinkt eine rote LED – ein interner Akku erlaubt, das Passwort vor dem Einstöpseln einzugeben. Mindestens acht Ziffern verlangt die Firmware, einfache Kombinationen wie acht Mal die Null oder die Abfolge von 1 bis 8 sind verboten. Der Stick kennt einen Benutzer- und einen Administrator-Modus, der ebenfalls über die Tastatur eingerichtet wird. Ein Administrator kann den Stick etwa für einen Benutzer nur zum Lesen freigeben.
Gibt ein User seine PIN zehn Mal falsch ein, lässt sich der Stick nur noch mit der Admin-PIN entsperren. Sollte der Admin seine PIN ebenfalls vergessen haben, gibt es zwei Möglichkeiten: Je nach Einstellung wird der Stick entweder auf den Auslieferungszustand zurückgesetzt oder zerstört – die Daten sind nach Herstellerangaben nicht mehr auslesbar. Der Stick ist zudem staub- und wassergeschützt nach IP57.
Ist der Stick einmal angeschlossen, erfreut er mit zeitgemäßen Übertragungsraten von mehr als 100 MByte/s beim Lesen und Schreiben. Der größte Vorteil der Tastatur ist die Unabhängigkeit von Hardware und Betriebssystem. Keylogger haben keine Chance, die PIN abzugreifen, und der Stick funktioniert an jedem USB-Port – etwa auch an TV-Geräten, Industriecomputern oder Messsystemen.
Ironkey H350 Basic
Die Datalocker H350 Basic stammt aus einer Familie verschlüsselter externer Laufwerke, die Version mit SSD ist jedoch recht neu. Das Gehäuse ist gegen Stöße und Wassereinbruch geschützt, der Anschluss erfolgt per Micro-USB-B-3.0-Kabel.
Steckt man das USB-Kabel der Datalocker-SSD in den PC, poppt ein nur rund 350 MByte großes Laufwerk mit Software zum Freischalten des verschlüsselten Laufwerks auf. Software gibt es für Windows, macOS und Linux. Während die Freischaltung im Test unter Windows und macOS anstandslos funktionierte, mussten wir bei unserem Linux-Testsystem mit Ubuntu 16.04 LTS mittels sudo apt install libc6-i386 erst die 32-Bit-Unterstützung nachrüsten.
Anders als bei unverschlüsselten externen SSDs bleibt das Innenleben verborgen. SMART-Programme wie CrystalDiskInfo oder HardDiskSentinel sehen die USB-SSD nicht, sie können weder SMART-Werte auslesen noch den Typ der verbauten SSD feststellen. Nach zehnmaliger Falscheingabe des Passworts setzt die SSD sich auf den Auslieferungszustand zurück.
Bei der Geschwindigkeit hätten wir mehr erwartet: Gerade einmal 136 MByte/s beim Lesen und Schreiben sind einer SSD nicht würdig.
Die H350 ist auch als Enterprise-Version erhältlich. Zu ihr gehört die Verwaltungssoftware Ironkey EMS. Diese erlaubt nach Herstellerangaben beispielsweise die Durchsetzung von Sicherheitsrichtlinien, die Überwachung der Gerätenutzung, das Zurücksetzen vergessener Passwörter sowie die Verhinderung des Zugriffs oder sogar die Remote-Zerstörung des Laufwerkes bei Diebstahl oder Verlust.
Fazit
Beide Datenspeicher sind nach dem heutigen Stand so sicher, dass man damit sensible Daten transportieren kann – auf die Verschlüsselung der Geräte muss man sich jedoch verlassen.
Universeller ist der datAshur Pro: Da er zur Entschlüsselung keine Software benötigt, kann man sogar von ihm booten, und der USB-Stick läuft an jedem USB-Port. Wer mehr Platz benötigt oder mehrere verschlüsselte Geräte zentral verwalten möchte, greift zur Datalocker H350.
USB-Stick und externe SSD mit Verschlüsselung
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
USB-Sticks und mobile SSDs sind praktisch, um Daten zu transportieren. Schade ist es, wenn sie unterwegs verloren gehen – und schlimm, wenn sich darauf schutzwürdige Daten befinden.
USB-Sticks sind Alltagsgegenstände, die man oft ohne viel Nachdenken benutzt. Gehen sie verloren, sind die Daten für einen Dieb oder auch einen ehrlichen Finder mühelos einsehbar. Dagegen hilft nur Verschlüsselung.
Für viele praktische Anwendungszwecke reicht eine Verschlüsselung mit Software wie 7-Zip, Bitlocker oder VeraCrypt aus. Aus Furcht vor rechtlichen Konsequenzen aber setzen vor allem Unternehmen lieber auf Produkte, die von einer unabhängigen Prüfstelle zertifiziert wurden. Durch eine möglichst komfortable Einbindung der Verschlüsselung in den Arbeitsprozess kann man zudem die Akzeptanz bei den Mitarbeitern erhöhen.
Wir haben für diesen Test den Komfort eines USB-Sticks und einer externen Festplatte mit Kryptofunktion untersucht. Die Sicherheit solcher Geräte können wir allerdings nur mit Wahrscheinlichkeiten beurteilen – schon nächste Woche könnte jemand einen Weg finden, die Verschlüsselungstechnik zu brechen.
Im Test ist der USB-Stick datashur Pro von iStorage, als Beispiel für eine externe SSD haben wir uns die DataLocker Ironkey H350 SSD kommen lassen. Während der datashur Pro mit Zifferntasten ausgestattet ist, muss man bei der SSD eine Software auf dem PC starten. Beide nutzen eine AES-256-Verschlüsselung und sind nach FIPS 140-2 Level 3 zertifiziert – das sichert auch einen gewissen Schutz gegen mechanischen Zugriff auf die elektronischen Komponenten zu.
Trügerische Sicherheit
Nicht zertifizierte Mobilspeicher mit Verschlüsselung können zwar ebenfalls sicher sein, immer wieder aber fallen einige Produkte durch Sicherheitslücken auf. So ließen sich die Daten eines Festplattengehäuses von Xystec, das sich eigentlich nur durch einen RFID-Tag freischalten lassen sollte, durch einen bereits seit fast zehn Jahren bekannten Weg einfach lesen: Statt mit AES-128 wurden die Daten nur mit einer primitiven XOR-Verschlüsselung chiffriert. Auch in den externen Festplatten WD My Book und My Passport schlummerte jahrelang ein Bug, der das Auslesen der verschlüsselten Daten erlaubte.
datAshur Pro
Groß, aber leicht: 64 GByte Speicherkapazität stellt der datAshur Pro zur Verfügung, ungewohnt für einen USB-Stick ist das Ziffernfeld. Drückt man auf die Schlüsseltasten, blinkt eine rote LED – ein interner Akku erlaubt, das Passwort vor dem Einstöpseln einzugeben. Mindestens acht Ziffern verlangt die Firmware, einfache Kombinationen wie acht Mal die Null oder die Abfolge von 1 bis 8 sind verboten. Der Stick kennt einen Benutzer- und einen Administrator-Modus, der ebenfalls über die Tastatur eingerichtet wird. Ein Administrator kann den Stick etwa für einen Benutzer nur zum Lesen freigeben.
Gibt ein User seine PIN zehn Mal falsch ein, lässt sich der Stick nur noch mit der Admin-PIN entsperren. Sollte der Admin seine PIN ebenfalls vergessen haben, gibt es zwei Möglichkeiten: Je nach Einstellung wird der Stick entweder auf den Auslieferungszustand zurückgesetzt oder zerstört – die Daten sind nach Herstellerangaben nicht mehr auslesbar. Der Stick ist zudem staub- und wassergeschützt nach IP57.
Ist der Stick einmal angeschlossen, erfreut er mit zeitgemäßen Übertragungsraten von mehr als 100 MByte/s beim Lesen und Schreiben. Der größte Vorteil der Tastatur ist die Unabhängigkeit von Hardware und Betriebssystem. Keylogger haben keine Chance, die PIN abzugreifen, und der Stick funktioniert an jedem USB-Port – etwa auch an TV-Geräten, Industriecomputern oder Messsystemen.
Ironkey H350 Basic
Die Datalocker H350 Basic stammt aus einer Familie verschlüsselter externer Laufwerke, die Version mit SSD ist jedoch recht neu. Das Gehäuse ist gegen Stöße und Wassereinbruch geschützt, der Anschluss erfolgt per Micro-USB-B-3.0-Kabel.
Steckt man das USB-Kabel der Datalocker-SSD in den PC, poppt ein nur rund 350 MByte großes Laufwerk mit Software zum Freischalten des verschlüsselten Laufwerks auf. Software gibt es für Windows, macOS und Linux. Während die Freischaltung im Test unter Windows und macOS anstandslos funktionierte, mussten wir bei unserem Linux-Testsystem mit Ubuntu 16.04 LTS mittels sudo apt install libc6-i386 erst die 32-Bit-Unterstützung nachrüsten.
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Anders als bei unverschlüsselten externen SSDs bleibt das Innenleben verborgen. SMART-Programme wie CrystalDiskInfo oder HardDiskSentinel sehen die USB-SSD nicht, sie können weder SMART-Werte auslesen noch den Typ der verbauten SSD feststellen. Nach zehnmaliger Falscheingabe des Passworts setzt die SSD sich auf den Auslieferungszustand zurück.
Bei der Geschwindigkeit hätten wir mehr erwartet: Gerade einmal 136 MByte/s beim Lesen und Schreiben sind einer SSD nicht würdig.
Die H350 ist auch als Enterprise-Version erhältlich. Zu ihr gehört die Verwaltungssoftware Ironkey EMS. Diese erlaubt nach Herstellerangaben beispielsweise die Durchsetzung von Sicherheitsrichtlinien, die Überwachung der Gerätenutzung, das Zurücksetzen vergessener Passwörter sowie die Verhinderung des Zugriffs oder sogar die Remote-Zerstörung des Laufwerkes bei Diebstahl oder Verlust.
Fazit
Beide Datenspeicher sind nach dem heutigen Stand so sicher, dass man damit sensible Daten transportieren kann – auf die Verschlüsselung der Geräte muss man sich jedoch verlassen.
Universeller ist der datAshur Pro: Da er zur Entschlüsselung keine Software benötigt, kann man sogar von ihm booten, und der USB-Stick läuft an jedem USB-Port. Wer mehr Platz benötigt oder mehrere verschlüsselte Geräte zentral verwalten möchte, greift zur Datalocker H350.
