Suchen

Interview zu SafeToGo USB-Stick von Giesecke & Devrient Verschlüsselte USB-Sticks zentral verwalten

Redakteur: Peter Schmitz

Der zentral gemanagte und verschlüsselte USB-Stick SafeToGo soll Unternehmensdaten auch dann schützen, wenn der Speicher verloren geht.

Firmen zum Thema

Der USB-Stick SafeToGo von Giesecke & Devrient lässt sich mit einer optionalen Softwarelösung zentral managen und beherrscht Hardwareverschlüsselung mit 256 Bit AES.
Der USB-Stick SafeToGo von Giesecke & Devrient lässt sich mit einer optionalen Softwarelösung zentral managen und beherrscht Hardwareverschlüsselung mit 256 Bit AES.

Ein per Harware verschlüsselter USB-Stick von Giesecke & Devrient soll in Verbindung mit einer Management Konsole der norwegischen Firma Blockmaster die Lösung für viele Datensicherheitsprobleme deutscher Unternehmen werden.

Zentrale Verwaltung aller Sticks, zentrales Backup, keine Master-Passwörter und AES 256 Bit Verschlüsselung in der Hardware des Sticks sollen Daten auch bei Verlust schützen. Wir haben mit Robert Korherr, Geschäftsführer von ProSoft über die neue Komplettlösung gesprochen.

Security-Insider: Aktuell bewerben Sie einen neuen hardwareverschlüsselten USB-Stick in Zusammenarbeit mit Giesecke & Devrient Secure Flash Solutions. Wie kam es zu dieser Zusammenarbeit und wie sieht diese aus?

Robert Korherr: Die Firma Giesecke & Devrient Secure Flash Solution (G&D SFS) hat uns 2010 kontaktiert. G&D SFS wollte hardwareverschlüsselte USB-Sticks produzieren und ist bei der Evaluierung auf die optionale USB-Device-Management Software SafeConsole gestoßen. Bei G&D SFS war man gleich begeistert von der Idee, auch USB-Sticks zentral konfigurieren und verwalten zu können und damit die Sicherheit und den Komfort bei der Nutzung von USB-Sticks in Organisationen zu erhöhen.

Security-Insider: Was unterscheidet die neuen SafeToGo-Sticks von anderen im Wettbewerb stehenden Produkten?

Korherr: SafeToGo ist ein hardwareverschlüsselte USB-Stick, d.h. die 256-bit AES Verschlüsselung passiert ausschließlich auf dem USB-Stick. Um den Zugriff der Daten zu schützen, wird ein Zugriffspasswort vorgeschaltet. Um das Passwort eingeben zu können, bekommt der Anwender eine GUI zur Verfügung gestellt, in der er u.a. das Passwort eingeben kann. Zum Schutz vor Brute-Force-Attacken oder Manipulationen sollte die Passwort-Verifizierung ebenfalls nur auf der USB-Hardware passieren.

SafeToGo verzichtet komplett auf Master-Passwörter oder Backdoors, wie man sie bei Produkten amerikanischer Hersteller vermutet. Eine weitere Besonderheit ist die zentrale Konfiguration inkl. Managementfunktionen durch die SafeConsole.

Security-Insider: Sie schlagen vor die USB-Sticks über eine Software zentral zu verwalten. Warum dieser Aufwand und was bringt dieses Vorgehen für Vorteile?

Korherr: Mit hardwareverschlüsselten USB-Sticks können Sie mobile Daten gegen Verlust oder Diebstahl, aber nicht Ihr Netzwerk vor Datendiebstahl und USB-Viren schützen. Zusätzlich bietet die Software SafeConsole für Anwender beeindruckende Funktionen und deutlich mehr Nutzen, als eine Lösung die nur aus sicheren USB-Sticks besteht.

Security-Insider: Welche Funktionen würden Sie exemplarisch als Vorteile von gemangten USB-Sticks anführen?

Korherr: Bei hardwareverschlüsselten USB-Sticks werden starke Passwörter mit mindestens 8 Zeichen verlangt. Ohne das Passwort kann der Anwender nicht mehr auf die gespeicherten Daten zugreifen. Administratoren wissen, dass vergessen Passwörter durchaus häufig vorkommen. Da der Stick einem Anwender zugeordnet wird, ist es mit SafeConsole möglich, dass der Anwender für seinen USB-Stick ein neues Passwort vergeben kann, ohne dass er die Daten verliert. Das passiert bei SafeConsole durch ein sicheres Challenge-Response Verfahren und nicht durch ein Master-Passwort.

Zusätzlich kann bei jeder Verbindung des USB-Sticks ein Backup erzeugt werden, dass bei Verlust die Daten wiederherstellt. Die SafeToGo‘s können als virtueller Desktop, als Single-Sign-on für geschützte Webseiten oder als 2. Faktor für Authentifizierungen eingesetzt werden. SafeConsole synchronisiert USB-Stick und Ordner miteinander und sorgt so dafür, dass alle gespeicherten Dokumente und Applikationen auf den USB-Sticks immer aktuell sind. Das ist eine besonders interessante Funktion für reisende Mitarbeiter, da sie alle Dokumente aber auch z.B. die aktuelle Virensignatur immer up-to-date dabei haben.

Zusätzlich ermöglicht die Funktion PIPE einen sicheren Datenaustausch mit Ende-zu-Ende Verschlüsselung. Dabei werden sowohl der Sender als auch der Empfänger über eine Mehr-Faktor-Authentifizierung identifiziert. Die Plug-and-Play Compliance-Lösung basiert auf der ShieldShare-Technologie und verwendet digitale Signaturen (X.509) um Dokumente schnell und sicher zu signieren. Alle Daten werden dann bei der Übertragung und bei der Speicherung verschlüsselt.

Security-Insider: Vor welchen Gefahren schützen mich diese Funktionen?

Korherr: Die gerade beschriebenen Funktionen schützen hauptsächlich vor Datenverlust. Mit einer weiteren SafeConsole Funktion verhindern Sie, dass schützenswerte Dateitypen auf USB-Sticks kopiert werden können. Diese Funktion ergänzt DLP Lösungen und schützt Organisationen gegen Datendiebstahl. Die Verbreitung von USB-Viren wird verhindert, indem festgelegt werden kann, welche Dateien gestartet werden dürfen. Alle anderen Dateien, darunter auch Malware wird damit nicht aktiv und kann sich deshalb nicht verbreiten.

Zusätzlich kann ich durch diese Funktion erreichen, dass immer eine identische GUI oder bestimmte Applikationen wie z.B. ein Virenscanner gestartet wird, sobald der USB-Stick angesteckt wird. SafeConsole kann auch einen Schreibschutz aktivieren, wenn der Anwender sich nicht mehr im eigenen Netzwerk befindet. Damit verhindern Sie aktiv die Malware-Infektion von USB-Sticks. Zur Not kann ich einen verlorenen USB-Stick remote löschen, egal wo er sich befindet.

Security-Insider: Sie schreiben, dass die USB-Sticks, wenn ich sie verliere, vor fremden Zugriffen geschützt bleiben. Wie funktioniert dieser Sperrvorgang genau?

Korherr: Um die hardwareverschlüsselten Daten auf dem USB-Stick zu entschlüsseln, ist ein starkes Passwort einzugeben. Bei SafeToGo ist es achtstellig, wobei Großbuchstaben und Zahlen enthalten sein müssen. Daraus ergeben sich 218 Billionen Passwortkombinationen. Ein Counter auf dem SafeToGo protokolliert fehlerhafte Passworteingaben und setzt den USB-Stick ab der 21. Falsch-Eingabe zurück und löscht damit alle darauf befindlichen Daten unwiederbringlich.

Alle diese Vorgänge passieren ausschließlich auf der Hardware des USB-Sticks und nicht lokal auf dem PC und sind deshalb nicht manipulierbar. Unter normalen Umständen sind das Passwort und damit die auf dem USB-Stick gespeicherten Daten absolut sicher. Die Passwortstärke und die Wechselintervalle können übrigens mit SafeConsole geändert werden.

Security-Insider: Verliere ich einen USB-Stick, verliere ich außerdem nicht selten auch sensible Unternehmensdaten, die darauf gespeichert wurden. Wo werden die Daten bei SafeConsole hinterlegt und wie komme ich an diese Daten ohne den USB-Stick oder brauche ich dann immer mindestens einen weiteren USB-Stick?

Korherr: SafeConsole bietet ein inkrementelles Backup und sichert damit alle Daten auf dem USB-Stick. Jeder USB-Stick wird in ein eigenes Unterverzeichnis kopiert. SafeConsole verschlüsselt die Backups und schützt die Daten vor externen Zugriff. Ein Restore kann nur wieder auf einen neuen USB-Stick passieren, der vorher über die SafeConsole dem Anwender zugeordnet wird.

Security-Insider: Wie und wo kann ich als Unternehmen den SafeToGo beziehen, an wen muss ich mich bei Interesse wenden? Wende ich mich an Sie direkt oder an einen ihrer Partner? Wer leistet Support und Service?

Korherr: Wir bieten auf unserer Homepage einen Musterstick zu Sonderkonditionen an. Die SafeConsole kann ebenfalls bei uns geladen werden, wenn man die Kombination aus SafeToGo und SafeConsole testen möchte. Zusätzlich finden Sie bei uns Links zu unseren Resellern. Den Service und den Support der Software übernehmen wir bei ProSoft selbst. Auch die USB-Sticks werden von uns überprüft und gegebenenfalls ausgetauscht.

Security-Insider: Mit dem SafeToGo SMART bieten Sie ein Produkt an, dass Smart Card und USB-Stick zugleich ist. Welche Einsatzszenarien decken Sie mit dieser Lösung ab? Was passiert, wenn dieser kombinierte Stick verloren geht? Die Zugangsberechtigungen sind ja auf den Smart Cards gespeichert und können von Unberechtigten genutzt werden.

Korherr: Immer weniger Hardware-Hersteller bieten integrierte Smart Card Reader an. Viele Unternehmen haben aber Ihre Anwender-Authentifizierung auf PKI aufgebaut. SafeToGo SMART bietet diesen Unternehmen eine optimale Alternative. Die Smart Card Funktionen sind getrennt vom hardwareverschlüsselten Flash-Speicher und werden wie bei Smart Cards über eine Middleware konfiguriert und bei Verlust auch darüber deaktiviert. Hier ist also kein Unterschied zu einer normalen Smart Card.

Ein weiteres Mitglied der SafeToGo-Familie ist SafeToGo SMART ID. SMART ID hat den Formfaktor einer Smart Card mit zusätzlichem USB-Anschluss und bietet zusätzlich noch NFC Funktionen. Damit kann man z.B. in der Kantine kontaktlos bezahlen oder den Ausdruck am Drucker freigeben. SafeToGo SMART und SafeToGo SMART ID sind die ideale Kombination aus sicheren USB-Stick und Smart Card.

(ID:33803880)