Kanguru Defender Family Next Generation - OPTIMAL

Weitere Magazine

Empfehlungen

Info

Wie viel Sicherheit braucht ein USB-Stick? So funktionieren hardwareverschlüsselte USB-Sticks Checkliste für sichere USB-Sticks 12 Wie viel Sicherheit braucht ein USB-Stick? USB-Sticks sind beliebte Datenträger. Warum? Sie sind einfach zu verwenden: einstecken und loslegen. Außerdem sind sie klein und passen mal eben in die Hosentasche. Nachteil: Weil sie so klein sind, können sie abhanden kommen. Für vertrauliche Daten eignen sie sich also nicht - aber welche Daten sind nicht vertraulich? Die Richtlinien des Datenschutzgesetz sind sehr restriktiv: Wer einen Stick mit vertraulichen oder personenbezogenen Daten verliert, muss die Betroffenen informieren und mit empfindlichen Strafen rechnen. Also muss ich die Daten auf dem USB-Stick schützen, das heißt verschlüsseln. Die Frage ist: Software- oder Hardwareverschlüsselung? Bei Softwareverschlüsselung ist zu bedenken: Das Passwort ist frei wählbar, deshalb kann es auch ein unsicheres sein. Die Software muss gewartet werden: dabei könnte jemand den Datencontainer von außen kopieren, ohne dass jemand es bemerkt (Stichwort: Partition klonen). Außerdem sind für die Verwaltung in der Regel Administrationsrechte erforderlich. Hardwareverschlüsselung funktioniert anders. Die Verschlüsselung ist in den Stick integriert und der Stick ist von außen nicht angreifbar. Er löscht sich sogar selbsttätig, wenn mehrmals ein falsches Passwort eingegeben wird. So funktionieren hardwareverschlüsselte USB-Sticks Der hardwareverschlüsselte USB-Stick enthält zwei Partitionen. Zum einen ein CD-ROM, zum anderen den Datenbereich. Der Datenbereich ist gesperrt und kann auch nicht von außen eingesehen oder geöffnet werden. Der CD-ROM-Bereich enthält das Programm für den Passwortdialog. Der Start des Passwortdialogs erfolgt in der Regel über einen Autorun-Eintrag. Ist Autorun deaktiviert, so reicht ein Doppelklick auf das CD-ROM des USB-Sticks. Der Passwortdialog funktioniert auch für eingeschränkte Benutzer. Ist der Stick aus der Ferne verwaltbar, so wird dies auch vom Passwortdialog erledigt. Daher ist es wichtig, dass bei jedem Betriebssystem auch ein entsprechender Passwortdialog vorhanden ist. Nach erstmaliger Konfiguration des Sticks kann im Passwortdialog das vorher festgelegte Passwort eingegeben werden. Das Passwort wird dann über einen sicheren Kanal zum Controller Chip gesendet. Der Controller prüft das Passwort anhand eines Hash-Wertes. Ist der Hash-Wert korrekt, so wird die Datenpartition geöffnet und der Stick kann verwendet werden. Die Kommunikation zwischen dem Passwortdialog und dem Stick erfolgt, wie eben erwähnt, verschlüsselt. Nur wenige Passwortdialoge prüfen die interne Sicherheit, bevor sie aufgerufen werden. Anders der <strong>Kanguru</strong> <strong>Defender</strong>, der vorher interne Prüfungen macht. Werden nun Daten an den USB-Stick übertragen, so werden diese sofort verschlüsselt abgelegt. Wirft man den Stick also wieder aus, so liegen die Daten nur verschlüsselt auf dem Stick. Checkliste für sichere USB-Sticks Ist der Stick hardwareverschlüsselt? Hardwareverschlüsselung ist eine wichtige Voraussetzung für sichere USB-Sticks. Besitzt der Stick mindestens eine 256-Bit-AES-CBC- Verschlüsselung? Manche Sticks verwenden eine ECB-Verschlüsselung (electronic codebook). Das ist die einfachste Art der Verschlüsselung, die aber nicht sehr sicher ist. Sichere Verschlüsselung fängt bei CBC mit 256-Bit-AES an. Prüft der Stick vor dem Öffnen des Passwortdialogs die interne Sicherheit? Wichtig ist, dass der USB-Stick schon vor dem Öffnen des Passwortdialogs interne Sicherheitsprüfungen durchführt. Manche Produkte starten mit dem schnellen Aufblenden des Passwortdialogs. An dieser Stelle können dann keine Sicherheitsprüfungen vorgenommen werden. Ist keine öffentliche Datenpartition auf dem Stick vorhanden? Eine öffentliche Datenpartition kann den Anwender verwirren und er könnte aus Versehen vertrauliche Daten auf die öffentliche Partition speichern. Dasselbe kann auch für sogenannte PIN-code-geschützte Bereiche gelten. Funktioniert der Stick auch unter “normalen” Benutzern? Ein hardwareverschlüsselter USB-Stick sollte auch ohne Administrator-Rechte funktionieren. Ist der Stick zu allen Windows-Versionen kompatibel? Der Stick sollte zu allen Windows-Versionen kompatibel sein. Funktioniert der Stick auch unter Macintosh und Linux? Optional sollte der Stick auch unter MAC und Linux funktionieren. Wichtig ist, dass der Hersteller verschiedene Stick-Typen im Angebot hat. Warum sollte ich für eine
Checkliste für sichere USB-Sticks Funktionalität bezahlen, die ich normalerweise gar nicht benötige? Besitzt der Stick unter Linux* eine grafische Oberfläche? Wenn eine Linux-Version verfügbar ist, so sollte der Passwortdialog auch als grafische Oberfläche vorhanden sein. Denn nur dann lässt sich der Stick auch optional managen. Wird er einfach nur “gemounted”, so stehen die Management-Funktionen nicht zur Verfügung und ich könnte das Management umgehen. Auch ist eine Passwort-Änderung ohne GUI nicht möglich. Besitzt der Stick eine FIPS-197-Zertifizierung? Eine FIPS-197-Zertifizierung ist ein unbedingtes MUSS. Besitzt der Stick eine FIPS-140-2-Zertifizierung? Wichtig ist auch eine FIPS-140-2-Zertifizierung (Security Requirements for Cryptographic Module). Der Stick wird hier speziell auf die interne Sicherheit geprüft. Ist eine solche Zertifizierung verfügbar? Verfügt der Hersteller über ein breites Spektrum an USB-Sticks, so dass bei Bedarf auf ein höheres zertifiziertes Modell gewechselt werden kann? Besitzt der Stick eine deutsche Zertifizierung oder ist diese beantragt? Auch eine deutsche Zertifizierung kann wichtig sein. Ist eine Zertifizierung nach BSI verfügbar oder ist diese beantragt? Hat der Stick ein virtuelles Keyboard zur Passworteingabe? Das virtuelle Keyboard erlaubt die sichere Eingabe des Passwortes mit Hilfe der Maus. Hat der Stick einen integrierten Virenscanner? Ein zweiter, integrierter Virenscanner ist auf alle Fälle sinnvoll, um Viren abzuwehren. Selbst wenn ein Virenscanner installiert ist, kann ein zusätzlicher Virenscanner evt. Viren erkennen, die der lokale Virenscanner durchgelassen hat. Eine zusätzliche Sicherheitsmaßnahme also. Wichtig ist, dass der Virenscanner vollständig integriert ist und keine zusätzliche administrative Betreuung benötigt. Gibt es den Stick mit unterschiedlichen Speichergrößen? Der Hersteller sollte auf alle Fälle über viele Speichergrößen verfügen. Gibt es den Stick in unterschiedlichen Varianten? Hat der Hersteller verschiedene Typen zur Auswahl, so dass auch zu anderen Sticks gewechselt werden kann? Ist der Stick schnell? Ist der Stick von Hause aus schnell oder wird eine spezielle teurere Version benötigt? Kann der Stick auch ohne zusätzliche Admin-Rechte zurückgesetzt werden? Kann der Stick auch ohne Admin-Rechte zurückgesetzt werden? Dies ist nicht bei jedem Stick möglich. Manche Sticks benötigen gerade zum Zurücksetzen Admin-Rechte. Dies kann bei verwalteten Sticks fatal sein. Gibt es einen Schutz vor Brut-Force-Attacken? Sperrt sich also der Stick automatisch, wenn n-mal das falsche Passwort eingegeben wird? Wird der Stick dann auch sicher gelöscht? Ist der Stick physisch mit Tamperproof Epoxy geschützt? Besitzt der Stick Tamperproof Epoxy, ist er also vollständig vergossen? Unterstützt der Hersteller spezielle Versionen, bzw. wie flexibel ist er? Wie flexibel ist der Hersteller bei Spezialversionen wie Farben, Gravuren, firmeneigenen Produkt-IDs und fortlaufenden Seriennummern ? Kann der Stick aus der Ferne verwaltet werden? Eine Verwaltung kann viele zusätzliche Funktionen bieten, zum Beispiel Löschen des Sticks, Richtlinien setzen usw. Besteht die Möglichkeit, ein Masterpasswort zu setzen? Ein Masterpasswort wird fälschlicherweise oft als Backdoor bezeichnet. Ein Masterpasswort kann zum Beispiel verwendet werden, um viele Sticks in einer großen Umgebung von unterschiedlichen Administratoren verwalten zu lassen. Ein Masterpasswort kann nicht als Ersatz für ein Benutzerpasswort verwendet werden. Welche Management-Möglichkeiten werden unterstützt? Bietet der Hersteller verschiedene Möglichkeiten der Verwaltung an, zum Beispiel eine Cloud-Lösung, eine Server-Lösung oder eine lokale Administrationslösung? Wenn zum Beispiel keine Server- oder Cloud-Lösung verwendet werden soll, kann der Stick trotzdem mit Hilfe einer lokalen Anwendung verwaltet werden? Also alle Funktionen wie Passwortrichtlinien selbst setzen? Ist die Management Software zertifiziert? Wie sicher ist letzlich die Management Software? Ist sie zertifiziert oder befindet sie sich in der Zertifizierung? * Aktuelle Linux-Distributionen unter www.optimal.de/produkte/kanguru/faq 13
Seite 1 und 2: Kanguru Defender Family Next Genera
Seite 3 und 4: Kanguru Defender Family Hardwarever
Seite 5 und 6: Kanguru Defender Family Hardwarever
Seite 7 und 8: Schützen Sie Ihre vertraulichen Da
Seite 11: Cloud, KLA und Vergleichstabelle Ve

Kanguru Defender Family Next Generation - OPTIMAL

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?