Im Kurztest: datAshur Pro von iStorage: Verschlüsselung komplett an Bord

Autor: Dr. Götz Güttich

Bei den USB-Sticks datAshur Pro von iStorage handelt es sich um Lösungen, die die gespeicherten Daten verschlüsseln. Sie sind nur dann lesbar, wenn der Anwender eine PIN über die integrierte Zahlentastatur eingibt und so den Zugriff freischaltet, bevor er den Stick ins Zielgerät einsteckt. Da die Lösung ohne eine Ver- beziehungsweise Entschlüsselungssoftware auf dem Client auskommt, lässt sie sich praktisch mit allen Geräten nutzen, die USB-Speichermedien unterstützen.

Die datAshur Pro USB-Speicher verfügen über eine USB 3.0-Schnittstelle und sind in den Kapazitäten acht, 16, 32 und 64 GByte erhältlich. Eingebaut wurde eine XTS-AES 256-Bit Hardware-Verschlüsselung, die in Echtzeit arbeitet und Verschlüsselungssoftware oder Treiber auf den verwendeten Endgeräten überflüssig macht. Der Verschlüsselungsalgorithmus wurde FIPS PUB 197 zertifiziert (Federal Information Processing Standard) und die Produkte konnten zusätzlich auch eine FIPS 140-2 Level 3-Zertifizierung erlangen. Die Lösungen arbeiten völlig unabhängig von Betriebssystem und Plattform. Sie lassen sich also nicht nur mit PCs und MACs nutzen, sondern auch Linux-Systemen, Chromebooks, Android-Komponenten, Thin Clients und Embedded Systems. Das ist gerade im Zeitalter der immer stärker zunehmenden Zahl von IoT-Geräten von großer Bedeutung. Laut Hersteller sind die datAshur Pro-Lösungen zudem immun gegen BadUSB.

Wird der Stick eine Zeit lang nicht genutzt, so erfolgt bei Bedarf automatisch eine Sperrung des Zugriffs auf die gesicherten Daten. Die Lösung lässt sich zudem sowohl in einem Read-Write-, als auch in einem Read-Only-Modus nutzen. Die Crypto-Parameter wurden mit einem SHA-256-Hashing geschützt, die Sticks bringen einen Brut-Force-Hack-Verteidigungsmechanismus mit (der die Daten nach zehn fehlerhaften Login-Versuchen löscht) und das Gehäuse aus Aluminium schützt die Speicherchips vor Wasser und Staub (Zertifizierung nach MIL-STD-810F und IP57). Im Betrieb können PINs mit einer Länge von sieben bis 15 Zeichen zum Einsatz kommen, für die Eingabe steht eine alphanumerische Tastatur mit elf Tasten zur Verfügung. Wird der PIN vergessen, so lässt sich der Stick jederzeit zurücksetzen, in diesem Fall ist er wieder nutzbar, die gespeicherten Daten gehen aber verloren.

In die Sticks wurde ein Akku integriert, der die Eingabe des PINs offline möglich macht und der über den USB-Anschluss geladen wird. Eine Boot-Delay-Funktion ermöglicht das Starten von Betriebssystemen direkt vom USB-Drive und der Hersteller gewährt auf die Sticks eine Garantie von drei Jahren. Darüber hinaus lassen sich die Lösungen flexibel an die Anforderungen der Kunden anpassen, beispielsweise durch eine Namensgravur, das Anbringen von Unternehmenslogos, vorprogrammierte PINs, vorinstallierte Daten und ähnliches.

Der Test

Für den Test stellte uns iStorage einen Stick mit einer Kapazität von 16 GByte zur Verfügung. Nachdem wir diesen ausgepackt hatten, luden wir den integrierten Akku erst einmal eine Stunde lang auf, wie im beiliegenden Quick-Start-Guide empfohlen. Danach setzten wir eigene Admin- und User-Pins und sicherten diverse Daten, wie Videos, Sounddateien, Dokumente und ähnliches auf dem Stick. Anschließend griffen wir mit verschiedenen Endgeräten wie MacOS- und Windows-Rechnern, Smart-TVs, Stereoanlagen, TV-Receivern und digitalen Bilderrahmen auf die Daten zu. Darüber hinaus überprüften wir, ob der automatische Lock-Down funktionierte und setzten das Drive vollkommen zurück, um zu sehen, ob wirklich alle Daten weg waren.

Die erste Nutzung

Das datAshur-Laufwerk kommt werksmäßig mit dem Default-PIN „1 1 2 2 3 3 4 4“. Um das Drive zu öffnen, genügt es, die Schlüsseltaste zu drücken, den PIN einzugeben und die Schlüsseltaste nochmals zu drücken. Danach haben die Anwender 30 Sekunden Zeit den Stick mit dem Zielgerät zu verbinden und ihn als ganz normales Speichergerät zu nutzen. Ob die Eingabe funktionierte hat, lässt sich übrigens während der Arbeit mit der Tastatur über zwei LEDs verifizieren. Der Zugriff wird nach dem Speichern der Daten und dem Abziehen des Geräts automatisch wieder gesperrt.

Im Betrieb ist es natürlich sinnvoll, den PIN zu ändern. Dazu muss der Stick erst einmal mit dem Default-PIN entsperrt werden. Danach müssen die Anwender zweimal die Key-Taste drücken, innerhalb von zehn Sekunden den neuen PIN eingeben, wieder zweimal die Key-Taste drücken, den neuen PIN wiederholen und zum Schluss nochmals die Key-Taste zweimal drücken. Danach lässt sich das Drive in einen USB-Port einstecken und mit dem neuen PIN nutzen. Auch bei diesem Vorgang geben die LEDs Aufschluss darüber, ob alles funktioniert hat.

Die Optionen

Über die Tastatur lässt sich aber nicht nur der PIN eingeben und ändern, die Anwender haben auch die Möglichkeit, diverse Optionen zu nutzen. Dazu gehören der Read-Only-Modus, eine Funktion zum Setzen des Timeout-Locks und ein Feature zum Anzeigen der Geräteversion. Im Test ließen wir uns die Geräteversion ausgeben und setzten den Timeout auf 30 Minuten, dabei kam es zu keinen Schwierigkeiten.