Da ich als Selbstständiger öfter Mal Dateien von Kunden auf einem USB-Stick durch die Gegend transportieren muss, habe ich mir in den letzten Monaten Gedanken darüber gemacht, was eigentlich passiert, wenn ich einen solchen USB-Stick verlieren sollte. Bei Freeware-Programmen und anderen Dingen, die es so oder so frei im Internet gibt, wäre das kein größeres Problem, aber es gibt ja auch Dateien, die dann doch schon einen größeren Datenschutz bedürfen und hier war ich dann doch etwas verunsichert, was den Transport auf dem USB-Stick angeht.
Hinzu kommt, dass auch laut DSGVO eine möglichst große Sicherheit für Daten gegeben sein muss. Persönlich trage ich jetzt keine wirklichen Kundendaten bei mir, aber bei dem ein oder anderen Kunden ist dies durchaus anders und so machte ich mich auf die Suche nach einer möglichst unkomplizierten Art, Daten auf einem USB-Stick zu verschlüsseln. Ich bin fündig geworden und möchte es euch natürlich nicht verheimlichen.
Was habe ich denn eigentlich gesucht?
Ich habe ein Programm gesucht, welches Plattformunabhängig ist. Es sollte also sowohl unter Linux laufen, wie auch unter Windows und auf dem Mac, damit der Vorteil eines USB-Sticks vorhanden bleibt. Außerdem sollte das Programm einfach und portabel sein. Einfach deswegen, weil auch Menschen ohne große PC-Kenntnisse nicht auf Sicherheit verzichten sollten und portabel, damit nicht auf jeden Rechner erst ein Programm installiert werden muss, an dem der Stick gelesen werden soll. Zu guter Letzt sollte es natürlich auch eine sichere Verschlüsselung besitzen. Ein einfaches Programm mit einer Verschlüsselung, die nicht mehr als sicher gilt, bringt ja niemanden wirklich was.
Gefunden habe ich das kleine Programm „SecurStick“ von Matthias Withopf. Hier wird das Programm einfach auf den USB-Stick gelegt und von diesem dann gestartet. Um die Plattformunabhängigkeit zu gewährleisten, sollten die Versionen für alle Systeme auf den USB-Stick gelegt werden, damit es dann nicht erst geladen werden muss, wenn der Stick dann Mal unter einem anderen Betriebssystem genutzt wird.
USB-Sticks sind meistens in FAT32 formatiert, was auch durchaus Sinn ergibt, weil diese dann auf allen Systemen gelesen werden können, allerdings wird FAT32 in Linux-Systemen mit beschränkten Berechtigungen eingebunden, was auch okay ist, weil es hier auch um die Sicherheit des Systems geht. Hier liegt dann aber die Einschränkung, dass das Programm nicht ausführbar ist. Dies kann mit ein paar eingriffen in das System gelöst werden, ist meiner Meinung nach aber nicht die Lösung, da diese Eingriffe immer für einen bestimmten Stick gemacht werden müssen und die Einfachheit des Programms dadurch verloren geht.
Die Lösung* hierfür ist, dass der Stick mit dem NTFS Dateisystem formatiert wird. Die meisten aktuellen Linux-Systeme haben damit heute kaum noch Probleme und können deswegen ohne Probleme den Stick lesen und beschreiben. Wenn der Stick nur auf Linux-Systemen zum Einsatz kommen soll, wäre auch EXT4 als Dateisystem möglich. Bei MAC-Nutzern weiß ich leider nicht, wie es mit der Nutzung von NTFS-Formatierten USB-Sticks läuft. Wer nur mit Windowssystemen arbeitet, kann muss aber unbedingt bei FAT32 bleiben.
*Update – 07.08.2020
Die Lösung mit NTFS funktioniert leider nur teilweise. Unter Linux ist es super, unter Windows kann das Laufwerk dann leider nicht als richtiges WebDAV-Laufwerk eingebunden werden. Über den Browser wären die Dateien aber Verfügbar. Problem ist hier, dass das WebDAV-Laufwerk als FAT32 Dateisystem ausgegeben wird, was es aber eigentlich nicht ist.
Deswegen ist die bessere Lösung, unter Linux mit einem kleinen Trick zu arbeiten und doch auf das FAT32-Dateisystem zu setzen. Hierzu muss mit der Konsole gearbeitet werden, was jetzt aber nicht so schwer ist. Einfach im Verzeichnis, in welchem das Programm liegt, auf die rechte Maustaste klicken, den Punkt „Im Terminal öffnen“ auswählen und dann im Terminal folgendes ausführen:
cp SecurStick-linux secure.exeDieser Befehl muss nur bei der ersten Nutzung ausgeführt werden. Er bewirkt, dass die eigentliche Datei in die Datei secure.exe kopiert wird (einfaches umbenennen in der Dateiverwaltung funktioniert nicht). Mit dem nächsten Befehl im Terminal wird das Programm dann gestartet:
./secure.exeDieser zweite Befehl muss unter Linux dann immer im Terminal ausgeführt werden, wenn der verschlüsselte Bereich eingebunden werden soll. Hierzu würde ich auf dem USB-Stick einfach eine kleine Textdatei ablegen, wo dieses vorgehen kurz dokumentiert wird. Gefunden habe ich diesen kleinen Umweg hier.
Die Einrichtung
Okay, soviel dann erst einmal zur Theorie. Nachdem wir den USB-Stick mit dem passenden Dateisystem formatiert haben, muss – wie oben schon erwähnt – das Programm auf den USB-Stick gelegt werden. Von hier wird das Programm dann gestartet. Es öffnet sich im Browser eine Oberfläche, in welcher ihr ein Passwort vergeben müsst. Wichtig ist, dass dieses Passwort lang genug ist, damit die Verschlüsselung mithilfe von Brute-Force-Verfahren nicht allzu schnell geknackt werden kann, wenn ihr den Stick dann doch einmal verlieren solltet. Da ihr die Dateien natürlich auch nur mit diesem Passwort entschlüsseln könnt, müsst ihr auch dafür sorgen, dass ihr dieses Passwort niemals vergessen oder verlieren könnt!
Danach wird auf dem Stick ein verschlüsselter Bereich eingerichtet, der dann als WebDAV in das System eingebunden wird. Hier können dann ganz normal die Dateien auf den Stick verschoben, kopiert und bearbeitet werden, die Verschlüsselung erfolgt durch das Programm. Hier ist aber wichtig zu wissen, dass ihr die Dateien wirklich in die WebDAV-Freigabe kopiert und nicht auf den ebenfalls eingebundenen USB-Stick. Die Dateien, die hier liegen, sind weiterhin unverschlüsselt. Wichtig ist auch, dass ihr nach dem Anstecken des USB-Sticks als erstes kurz das Programm starten und euer Passwort eingeben müsst, bevor ihr auf den verschlüsselten Bereich des Sticks zugreifen könnt.
Und warum das Ganze?
Nun, wenn ihr nur ein paar unwichtige Rezepte auf dem Stick habt oder andere unwichtige Dateien, dann braucht ihr euch die Mühe nicht zu machen. Solltet ihr aber Daten aus eurem Unternehmen mit nach Hause nehmen, oder zu einem Messe-Besuch, oder zu einer Kundenpräsentation, oder, oder, oder, dann solltet ihr diese verschlüsseln, damit beim Verlust des Sticks der Finder keinen Zugriff auf die wichtigen Dateien hat. Wenn ihr dem Finder eine Möglichkeit geben wollt, euch den Stick zurückzugeben, könnt ihr im unverschlüsselten Bereich ja eine Text-Datei mit euren Kontaktdaten hinterlegen.
Wichtig ist die Verschlüsselung auch in Bezug auf personenbezogenen Daten. Hier greift auch die DSGVO und eine gute Verschlüsselung kann dazu beitragen, dass auf das Unternehmen keine Bußgelder zukommen, wenn der Stick mit diesen Daten verloren geht. Auch ein Passwortsafe, der auf so einem USB-Stick ja durchaus (sinnvoll) transportiert wird, kann durch die zusätzliche Verschlüsselung geschützt werden. Jemand, der sich durch Brute-Force-Angriffe Zugriff verschaffen möchte, müsste dann schon zwei Passwörter knacken, um auf den Passwortsafe zuzugreifen. Bei ausreichend langen Passwörtern könnte dies dann schon ein paar Jahrzehnte dauern …
Wer sich mit dem Thema Verschlüsselung ein wenig auseinandersetzen möchte, dem sei der openHPI-Kurs „Tatort Internet“ ans Herz gelegt. Und wer Hilfe bei der Einrichtung braucht, kann gerne eine Anfrage an mich stellen.