USB-Sticks erfreuen sich bei Anwendern großer Beliebtheit, da sich mit ihrer Hilfe Daten einfach und schnell austauschen lassen. Mit Hardwareverschlüsselung und zentraler Verwaltung will Kingston den Sicherheitsbedenken von IT-Verantwortlichen beim Einsatz dieser portablen Speichermedien zu Leibe rücken.

Kleine Flash-Speicher, die in die Handfläche passen und sich leicht mit den an praktisch jedem heutigen Desktop-PC oder Notebook vorhandenen USB-Schnittstellen verbinden lassen, sind vielen IT-Verantwortlichen ein Dorn im Auge. Bekanntlich eignen sich USB-Sticks nicht nur zum bequemen Datenaustausch, sondern stellen auch eine Bedrohung für die Sicherheit von Unternehmen dar, die um den Diebstahl wertvoller Geschäftsinformationen besorgt sind.
 
Physische Sicherheit
Als Schutzmaßnahme bietet sich der Einsatz eines USB-Sticks an, der die ihm anvertrauten Informationen per hardwarebasierter Verschlüsselung in einem gesicherten Datenbereich auf seinem internen Flash-Speicher ablegt. Ein solches Produkt hat Kingston mit dem Datatraveler 4000 G2 im Programm. Dieser USB-Stick ist in verschiedenen Speichergrößen zwischen 4 und 64 GByte erhältlich. Ausgelegt auf USB 3.0, unterstützt der Speicherstift flotte Datentransfers, sodass das Befüllen mit Daten nicht zum Geduldsspiel wird. Die im Test verwendete Ausführung mit 16 GByte Speicherkapazität erreicht Herstellerangaben zufolge 165 MByte/s bei Lese- und 22 MByte/s bei Schreibvorgängen. Wer mehr Speed wünscht, kann zum 64-GByte-Modell greifen, das laut Kingston 250 MByte/s lesend und 85 MByte/s schreibend schafft.
Bereits die Haptik macht deutlich, dass es sich bei diesem USB-Stick nicht um einen der üblichen Vertreter aus dem Discounter-Grabbelregal handelt. Geschuldet ist dies einer manipulationssicheren Versiegelung des titanbeschichteten Edelstahlgehäuses, das auch robuster Behandlung standhalten soll. Denn die Kingston-USB-Sticks der Baureihe Datatraveler 4000 G2 sind mit der „FIPS 140-2 Level 3“-Zertifizierung des US-amerikanischen National Institute of Standards and Technology (NIST) versehen. Dieses Testat setzt voraus, dass das Produkt vor Eindringversuchen durch physische Manipulation oder Demontage geschützt sein muss.
Der eingebaute Sicherheits-Chip schützt die auf dem Speicherstift abgelegten Daten mit einer hardwarebasierten Verschlüsselung mittels 256-Bit-AES (Advanced Encryption Standard). Für die Chiffrierung nutzt Kingstons Sprössling den eigens zur kryptografischen Speicherung konzipierten Modus XTS (XEX Tweakable Block Cipher with Ciphertext Stealing). Dieser weist eine geringere Anfälligkeit für typische Schwachstellen anderer Algorithmen wie CBC (Cipher Block Chaining) auf.
 
Zentral im Griff
Die von uns getestete „Management Ready“-Ausführung des USB-Sticks unterstützt die zentrale Verwaltung. Die dazu erforderliche Management-Software hat Kingston aber nicht selbst entwickelt. Vielmehr steuert diese der schwedische Anbieter Blockmaster bei. Safeconsole, so der Name der Software, erlaubt die umfangreiche Verwaltung aller mit hardwarebasierter Verschlüsselung ausgestatteten USB-Sticks – sogar in sehr großen IT-Umgebungen mit Tausenden von Benutzern. Schon die Versionsnummer der Blockmaster-Management-Software (zum Testzeitpunkt war Safeconsole 4.9.2 aktuell) lässt erahnen, dass die Lösung ausgefeilte Möglichkeiten bereithalten könnte.
Unser Test bestätigt diese Vermutung. Neben eigenen Richtlinien zur Kennwortbeschaffenheit ist zum Beispiel ein Inaktivitäts-Timer definierbar, nach dessen Ablauf ein Benutzer das Kennwort zum Zugriff auf den Speicherstift erneut eingeben muss. USB-Sticks, die sich seit einer bestimmten Anzahl von Tagen nicht mehr beim Safeconsole-Server gemeldet haben, lassen sich automatisch sperren oder als verloren markieren. Zusätzlich von Blockmaster angebotene, separat zu erwerbende Optionen erlauben das Blacklisting aller nicht mit hardwarebasierter Verschlüsselung ausgestatteten USB-Sticks auf Client-PCs, was die Nutzung ungeschützter Speichermedien verhindert und so die Informationssicherheit steigert.
Fernzugriffsszenarien deckt Safeconsole ebenfalls ab. Beispielsweise lassen sich die verwalteten Speicherstifte von zentraler Stelle aus sperren und darauf befindliche Daten remote löschen. Malware-Infektionen beim Auswärtsbetrieb unterbindet der Schreibschutz: Wird dieser aktiviert, akzeptiert der USB-Stick nur noch Lesezugriffe beim Einsatz außerhalb der vertrauenswürdigen Zone – also wenn sich der Mitarbeiter mit seinem PC nicht im Unternehmensnetz befindet oder er unterwegs einen fremden, nicht firmeneigenen Computer nutzt.
 
Wahlweise lokal oder in der Cloud
Erhältlich ist die Safeconsole-Software in zwei Ausführungen. Die lokale Variante ermöglicht die Installation wahlweise auf einer Windows- oder Linux-Maschine und unterstützt mehr als 10.000 Benutzer. Außerdem gestattet diese Ausführung die vollständige LDAP-Anbindung an das Active-Directory-Verzeichnis des Unternehmens zur Synchronisation von Benutzerdaten sowie für die Authentifizierung von Administratoren.
Nützlich ist die Active-Directory-Integration auch bei der Provisionierung neuer USB-Sticks: Der Registry-Schlüssel, über den ein Windows-Client den Safeconsole-Server findet, sowie das Zertifikat, das den Safeconsole-Server als vertrauenswürdige Stammzertifizierungsstelle ausweist, lassen sich über Gruppenrichtlinien automatisiert verteilen. Praktischerweise gestattet der nach der Safeconsole-Installation angezeigte Deployment-Guide das direkte Herunterladen einer ADM-Datei, was die Konfiguration dieser beiden Vorgaben über den Gruppenrichtlinienverwaltungs-Editor erleichtert.
Alternativ zur lokalen Variante bietet Blockmaster sein Safeconsole-Produkt in SaaS-Form (Software as a Service) an. Hier bekommt der Kunde einen eigenen virtuellen Server zur Verfügung gestellt, den das schwedische Unternehmen beim texanischen Provider Rackspace hostet. Leider unterhält dieser nur ein einziges Rechenzentrum in Europa, und zwar in London. Angesichts der Snowden-Enthüllungen dürfte das aber keine Option für denjenigen sein, der Cloud-Anbietern mit Standorten in den USA oder Großbritannien misstraut. Zudem umfasst die Cloud-Variante der Safeconsole-Verwaltungssoftware nicht alle Merkmale der lokal installierten Ausführung. Allen voran fehlt die umfassende Active-Directory-Integration, zudem ist die maximale Anzahl von Benutzern auf 500 begrenzt.
Das Aufspielen der Safeconsole-Software auf einen Server-PC ist in wenigen Minuten erledigt. Im Rahmen der Grundkonfiguration sind Festlegungen zur Active-Directory-Integration sowie zu den Gruppen zu treffen, die Aufgaben als Administrator, Manager und Supporter wahrnehmen. Falls gewünscht, lässt sich die Verwaltung auf bestimmte IP-Adressen im eigenen Unternehmensnetz eingrenzen, damit aus Sicherheitsgründen keine Fernverwaltung stattfindet.
Jetzt steht der Konfiguration eigener Einstellungen für die zu administrierenden USB-Sticks nichts mehr im Wege. Der dazu erforderliche Zugriff auf die Safeconsole-Verwaltung erfolgt per Web-Browser. Nach dem Einspielen der Lizenz auf dem Server lassen sich dort beispielsweise Richtlinien zur Kennwortbeschaffenheit bearbeiten. Bereits die ersten Gehversuche zur zentralen Verwaltung von USB-Sticks zeigen deutlich, dass es sich bei Safeconsole um ein mächtiges Werkzeug handelt. Dieses erfordert Einarbeitung, um alle Funktionen kennenzulernen – sowie den richtigen Web-Browser. Denn im Test patzte der Internet Explorer bei der Darstellung der Safeconsole-Verwaltung, da er das Auswahlmenü zur Umstellung der GUI-Sprache auf Deutsch erst gar nicht einblendete. Bei Chrome und Firefox traten diese Schwierigkeiten nicht auf.
Nach dem Einstecken des Kingston-Speicherstifts in einen USB-Port des PCs startet das Blockmaster-Programm, das die Verbindung mit dem Safeconsole-Server herstellt und zur Festlegung des Verschlüsselungskennworts auffordert. Anschließend wird der gesicherte Datenbereich des USB-Sticks freigeschaltet und dafür ein zweites Laufwerk erstellt, das sich zur Ablage von Dateien nutzen lässt. Steckt der Benutzer den USB-Stick aus und später wieder ein, gibt nur die korrekte Eingabe des zuvor festgelegten Verschlüsselungskennworts den Zugriff auf den gesicherten Datenbereich wieder frei.
 
Fazit
Wer Daten auf einem portablen Speicherstift sicher aufbewahren und mit USB 3.0 schnell darauf zugreifen möchte, ist bei Kingstons Datatraveler 4000 G2 gut aufgehoben. Eine rein softwarebasierte Verschlüsselung wie Windows Bitlocker kann mit dessen Möglichkeiten nicht ansatzweise Schritt halten. Brute-Force-Angriffen zum Beispiel gräbt der Kingston-Stick das Wasser ab: Im Anschluss an zehn hintereinander falsch eingegebene Kennwörter sperrt der USB-Stick von sich aus den gesicherten Datenbereich. Um diesen wieder nutzen zu können, ist ein Reset erforderlich, durch den jedoch alle auf dem Speicherstift abgelegten Daten verloren gehen.
Mit dem Verzicht auf die Entwicklung eines eigenen Verwaltungswerkzeugs hat Kingston eine gute Wahl getroffen. Die Safeconsole-Management-Lösung wartet mit ausgefeilten und teils sehr umfangreichen Funktionen zur Verwaltung von USB-Sticks mit integrierter Hardwareverschlüsselung auf. Das gibt es nicht zum Schnäppchenpreis. Schon für die von uns getestete 16-GByte-Version des USB-Sticks in der Management Ready-Variante sind 100 Euro zu berappen. Hinzu kommen die Lizenzgebühren für die Safeconsole-Verwaltung, die bei 39 Euro pro verwaltetem USB-Stick beginnen. Kosten für spezielle Features wie Schreibschutz, Blacklisting oder Sophos-Virenschutz schlagen abermals separat zu Buche. Wünschenswert wäre mehr Übersicht in der Blockmaster-Preisliste sowie eine All-in-one-Lizenz.

Der Autor auf LANline.de: Eric Tierling
Info: KingstonTel.: 0800/7236584Web: www.kingston.com/de

Wie komplex das vom Benutzer für seinen Speicherstift einzugebende Verschlüsselungskennwort sein muss, legt der Administrator über zentrale Richtlinien fest.

Nach korrekter Kennworteingabe blendet das Kingston-Produkt beim PC des Benutzers ein weiteres Laufwerk zum Zugriff auf den geschützten Datenbereich ein.

Nach zehn falschen Kennworteingaben ist Schluss mit weiteren Versuchen, das Kennwort durch massenhaftes Ausprobieren (Brute Force) zu erraten.

Automatisch kann die Safeconsole-Verwaltungssoftware USB-Sticks sperren, die seit einer bestimmten Anzahl Tagen nicht mehr genutzt worden sind.

Die Active-Directory-Integration von Safeconsole vereinfacht die Verwaltung in größeren IT-Umgebungen.

Das Verschlüsselungskennwort für den USB-Sticks legt der Benutzer am PC selbst fest.

Die Bauform unterscheidet Kingstons USB-Stick mit integrierter Hardwareverschlüsselung von herkömmlichen ungeschützten Exemplaren. Bild: Kingston