Skip to end of metadata
Go to start of metadata

Checkliste sicherer Umgang mit USB-Sticks

  • Aufstellung aller im Unternehmen verfügbaren USB-Sticks.  
  • Sichere Aufbewahrungsorte der USB-Sticks.
    • abschließbare Behältnisse zur Aufbewahrung der USB-Sticks.
    • Liste von Personen, die Schlüssel zu diesen Behältnissen haben.
  • Festlegung, welche USB-Sticks im Unternehmen verwendet werden dürfen.
    • Mit Passwortabfrage oder Fingerprint-Scanner o.ä., Diebstahlschutz etc.
  • Festlegung, welche Art von Daten, auf welchen USB-Sticks transportiert werden dürfen.  
  • Erstellen eines Rollen- und Berechtigungskonzeptes.
  • Ist ein Weitergabekonzept vorhanden? 
    • Wer darf wann, wozu und wohin USB-Sticks zum Datentransport einsetzen?
  • Prüfung auf Privatnutzung.
    • Untersagt! Muss kontrolliert werden. 
  • Gibt es ein Konzept zur Datenträgerentsorgung?
    • Sichere Datenlöschung und physikalische Vernichtung defekter oder nicht mehr benötigter USB-Sticks.  •
  • Berücksichtigt das Backupkonzept auch die USB-Sticks?
    • Regelmäßige Backups, Schattenkopien aller Dateien, die auf USB-Sticks kopiert werden. 
  • Umsetzung und Prüfung der Löschfristen.
    • Mithilfe von Datenshreddern, z.B. Eraser, abhängig von der Datenkategorie.
    • Ist der Stick hardwareverschlüsselt?
    • Hardwareverschlüsselung ist eine wichtige Voraussetzung für sichere USB-Sticks.
  • Festlegung einer Verschlüsselungsstärke nach  dem aktuellen Stand der Technik.
    • Besitzt der Stick mindestens eine 256-Bit-AES-CBC-Verschlüsselung? Manche Sticks verwenden eine ECB-Verschlüsselung (electronic codebook). Das ist die einfachste Art der Verschlüsselung, die aber nicht sehr sicher ist. Sichere Verschlüsselung fängt bei CBC mit 256-Bit-AES an.
  • Prüft der Stick vor dem Öffnen des Passwortdialogs die interne Sicherheit?
  • Wichtig ist, dass der USB-Stick schon vor dem Öffnen des Passwortdialogs interne Sicherheitsprüfungen durchführt. Manche Produkte starten mit dem schnellen Aufblenden des Passwortdialogs. An dieser Stelle können dann natürlich keine Sicherheitsprüfungen vorgenommen werden.
  • Ist keine öffentliche Datenpartition auf dem Stick vorhanden?
  • Eine öffentliche Datenpartition kann den Anwender verwirren und er könnte aus Versehen vertrauliche Daten auf die öffentliche Partition speichern. Dasselbe kann auch für sogenannte PIN-code-geschützte Bereiche gelten. 
  • Funktioniert der Stick auch mit “normalen” Benutzern?
  • Ein hardwareverschlüsselter USB-Stick sollte auch ohne Administratorrechte funktionieren. Auch ein Zurücksetzen des Sticks, z.B. bei n-maliger falscher Passworteingabe, sollte ohne Admin-Rechte funktionieren.
  • Ist der Stick zu allen im Unternehmen verwendeten Betriebssystem-Versionen kompatibel (Windows, MacOS, Linux)?
  • Der Stick sollte in jedem Fall zu allen USB unterstützenden Windows-Versionen kompatibel sein.
  • Besitzt der Stick eine FIPS-197-Zertifizierung? Eine FIPS-197-Zertifizierung ist ein unbedingtes MUSS. Diese Zertifizierung beschreibt den Verschlüsselungsstandard, siehe dazu: http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf.
  • Besitzt der Stick eine FIPS-140-2-Zertifizierung? Wichtig ist auch eine FIPS-140-2-Zertifizierung (Security Requirements for Cryptographic Module). Der Stick wird hier speziell auf die interne Sicherheit geprüft. Ist eine solche Zertifizierung verfügbar?
  • Verfügt der Hersteller über ein breites Spektrum an USB-Sticks, so dass bei Bedarf auf ein höheres zertifiziertes Modell gewechselt werden kann? siehe dazu: http://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdf.
  • Besitzt der Stick eine deutsche Zertifizierung oder ist diese beantragt? Auch eine deutsche Zertifizierung kann wichtig sein.
  • Ist eine Zertifizierung nach BSI verfügbar oder ist diese beantragt?
  • Besitzt der Stick einen physischen Schreibschutz? Nur noch wenige USB-Sticks haben einen physischen Schreibschutz, obwohl dieser ein absolutes Muss ist. Wenn man den Stick in einen anderen Rechner steckt, ist man davor schützt, dass keine Daten, Viren oder Trojaner auf den Stick kopiert werden.
  • Gibt es einen Schutz vor Brute-Force-Attacken? Sperrt sich also der Stick automatisch, wenn ich n-mal das falsche Passwort eingebe? Wird der Stick dann auch sicher gelöscht?
  • Weitere Schutzmaßnahmen
    • Setzen von ACLs (Access Control Lists) auf die Geräte. ACLS sind spezielle Zugriffsschutzdaten. Diese werden z.B. Geräten und Da-teien zugeordnet und vom Betriebssystem verwaltet.
    • Überwachen der Registrierungsschlüssel «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB» in der Windows-Registry. Neu eingebundene «USB-Geräte» werden hier eingetragen.
    • Löschen der «USB-Treiber».
    • Abschalten der Boot-Möglichkeiten von «USB-Geräten» im BIOS.
    • Richtlinie, dass sensible personenbezogene Daten nur verschlüsselt übertragen werden dürfen und dass nur firmeneigene USB-Geräte angesteckt werden dürfen.
    • Erzeugung einer verschlüsselten Datei auf dem Quell-PC
    • USB-Portsperre mit Freigabe nur bestimmter USB-Geräte durch Einsatz sog. Endpoint Security Lösungen z. B. von Drivelock von der Firma CenterTools
    • Einsatz von verschlüsselten USB-Datenträgern. Es gibt zahlreiche hardwareverschlüsselte USB-Sticks, die auch über so genannte Managementkonsolen zentral verwaltbar sind, z. B. SafeStick von der Firma Blockmaster oder von Kingston.
  • No labels