Inhaltsverzeichnis
Sicherheit
Bei seinen Zertifikaten ist das LOK-IT Secure Flash Drive nicht ganz so imposant, wie das iStorage datAshur. Bei der Schutzklasse sind sie sich noch gleich. Denn auch das LOK-IT bietet eine IP-57, die ihm einen guten Staubschutz garantiert und es als kurzfristig wasserdicht bis 1 Meter Tiefe auszeichnet. Doch bei den Zertifikaten kann das LOK-IT nur beim FIPS 140-2 gleich ziehen, weitere Zertifikate werden nicht geboten. Wenngleich man den FIPS 140-2 nicht unterschätzen sollte.
Das LOK-IT besitzt den FIPS 140-2 immerhin mit einer Level3 Einstufung. Das ist reichlich, denn allein schon ein FIPS 140-2 Level1 würde dem Produkt hochwertige Bestandteile und eine Verschlüsselungstechnik bescheinigen. Für Level2 bedarf es dann noch eines Siegels, dass Manipulationen an der Technik sichtbar machen soll. Im Fall des LOK-IT ist dies dadurch gegeben, dass seine Platine mit Kunstharz umhüllt wurde. Wer da an die Technik ran will, muss sich durch das gehärtete Harz kämpfen.
Und schließlich der Level3. Diesen verdient es sich, weil es die geschützten Daten im Zweifelsfall opfert, bevor es das Risiko eingeht, sie sichtbar zu machen. Geboten wird dies durch den Brut-Force-Schutz, der nach der zehnten falschen PIN-Eingabe den verwendeten AES-Key löscht und einen neuen generiert. Ab dem Moment sind die Daten unbrauchbar, da sie nicht mehr wiederhergestellt werden können. Tatsächlich kennt FIPS 140-2 auch noch einen Level4. Den Level4 hätte sich der LOK-IT Speicherstick allerdings nur dann verdienen können, wenn er nach dem Löschen des AES-Keys auch noch ganz eigenständig (ohne Computer) seinen NAND-Speicher überschreibt (z.B. mit Nullen). Aber für einen USB-Stick ist dass dann doch etwas zu viel verlangt.
Weitere Zertifikate werden leider nicht geboten und sind auch nicht in Planung. Dafür besitzt der LOK-IT aber eine Besonderheit, die wir bei den bisher getesteten Hardwareverschlüsselten Speichersticks nicht entdecken konnten. Und zwar muss der LOK-IT Speicherstick zuerst mit einer PIN versehen werden, bevor er erstmals Daten aufnehmen kann. Die Betonung liegt dabei auf „muss“. Denn solange keine PIN eingerichtet wird, kann man den Stick auch nicht freigeben und somit auch nicht auf seinen Speicher zugreifen.
Solch ein Merkmal klingt zwar sehr banal, ist aber durchaus bedeutsam. Bei den preiswerten Consumer- und SoHo-Lösungen, kann der Anwender (z.B. aus Bequemlichkeit) die PIN-Eingabe abstellen, so dass der Stick wie ein gewöhnlicher Speicherstick funktioniert. So etwas ist natürlich nicht im Sinne der Chef-Etage bzw. des Unternehmens, dass solch teure Speichersticks anschafft, um die Datensicherheit zu erhöhen. Daher empfehlen sich professionelle Lösungen, die sich auch dadurch auszeichnen, dass sie nur mit PIN-Abfrage arbeiten, bzw. nicht erlauben diese Abfrage abzustellen.
Doch auch hier gibt es Unterschiede. Denn eine PIN ist nur dann sicher, wenn sie (außer dem Anwender) niemand kennt. Speichersticks wie der iStorage datAshur zählen zwar zu den professionellen Lösungen, bei denen man die PIN-Abfrage nicht abschalten kann, doch das datAshur wird ab Werk mit einer Standard-PIN ausgeliefert, die immer gleich ist. Wenn diese vom Anwender nicht nach Erhalt geändert wird und er sie einfach übernimmt, besteht trotz PIN-Abfrage und Verschlüsselung effektiv keine Daten-Sicherheit.
Der langen Rede kurzer Sinn: In all den Fällen ist man also auf die Mitarbeit des Anwenders angewiesen, um die Sicherheit aufrecht zu erhalten oder um sie überhaupt erst zu ermöglichen. Denn die größte Schwachstelle bei der Datensicherheit ist nun mal der Anwender. Der LOK-IT Speicherstick ist – indem er gleich beim ersten Mal eine vom Anwender selbst vergebene PIN einfordert – nach unserem Kenntnisstand der einzige, der die Mitarbeit des Anwenders erzwingt und somit die Datensicherheit tatsächlich gewährleisten kann. Zumindest schließt er – mit einfachen Mitteln – eine große Sicherheitslücke.
One Response