folgende Frage, da mich ein Bekannter um Rat fragte …
Es sollen auf einem verschlüsselten USB-Stick bestimmte wichtige Daten gespeichert werden, auf die nur selten zugegriffen wird. Sie werden direkt vom Stick aufgerufen. Nach der Benutzung wird der Stick abgeklemmt.
Die Idee:
Die sensiblen Daten sind nur auf dem Stick und nirgends sonst und er wird nur bedarfsweise angeklemmt.
Falls jemand (live) auf den PC zugreifen könnte, wo der Stick dranklemmt, so hätte derjenige jedoch keinen Zugriff auf den Stick.
Hohes Verlustrisiko:
USB-Sticks haben keine sehr große Zuverlässigkeit und verabschieden sich insbesondere dann gern unbemerkt, wenn man sie selten kontrolliert.
Es sollte also ein Backup auf Festplatte oder wenigstens CD irgendwo geben, um den Stick ggf. wiederherstellen oder ersetzen zu können.
Doch, im allgemeinen (und im Ottonormalberbraucherfall) hat der „jemand“ auch Zugriff auf den Stick. Warum sollte er den nicht haben? Es sei denn, dass dem Nutzerkonto, das er nutzt die Zugriffsrechte nicht hat. Um das beurteilen zu können müsstest du dein Szenario genauer skizzieren.
Szenario:
Person arbeitet an einem PC und hat einige extrem sensible (besser gesagt: finanziell relevante) Dokumente, an denen er gelegentlich arbeitet.
Er möchte so am PC arbeiten, dass die Dokumente auf einem extra Stick sind, auf den ein Angreifer, der eventuell Kontrolle über den PC erlangt jedoch keinen direkten Zugriff hat; indem irgendeine Art von Prüfung stattfindet, nach der nur derjenige darauf zugreifen kann, der den Stick lokal an seinem Gerät angestöpselt hat. (So wie das beispielsweise bei einem FIDO-Stick wäre)
Wenn der Angreifer Kontrolle über den PC hat, kann er auch auf alle USB Geräte zugreifen - und natürlich auch alle getippten Passwörter abgreifen.
Und wie schon oben erwähnt - wichtige Daten NUR auf einem USB stick zu speichern ist eine ganz furchtbar schlechte Idee.
Dann soll er doch einen nehmen? Mann kann z.b. mit Veracrypt container verschlüsseln die sich nur mit FIDO öffnen lassen, wäre in dem Szenario wahrscheinlich noch das sinnvollste.
Edit: Wird anscheinend nicht out of the box unterstützt und ist eher provisorisch. Also prinzipiell - wenn der Angreifer admin rechte hat, kannst du nicht viel machen um Datenzugriff zu verhindern.
Warning: No matter what kind of software you use, as regards personal privacy in most cases, it is not safe to work with sensitive data under systems where you do not have administrator privileges, as the administrator can easily capture and copy your sensitive data, including passwords and keys.
Um diese Risiken zu umschiffen, bietet sich auf dem USB-Stick Tails als Live-System an (wenn man das denn auf dem fraglichen PC zum Starten kriegt). Die Daten können dann im optional installierbaren „persistent storage“ auf dem Stick abgelegt werden. Ein Backup ist, wie weiter oben im Thread angesprochen, natürlich zwingend erforderlich.
Ich würde keinen USB-Stick nehmen, sondern eine kleine Festplatte in einem externen Gehäuse. Das können msata oder M.2 Sata SSD’s sein. Solche Geräte haben eine deutlich höhere Lebensdauer als ein einfacher USB-Stick.
Ansonsten, das Szenario mit einem lokalen Angreifer der root-Rechte hat, da nützt ja sogar die Verschlüsselung nichts, denn wenn der Stick eingehangen und nach Eingabe der Passphrase entschlüsselt ist, so hängt er dann für den Angreifer sichtbar vor ihm.
In dem Zusammenhang ganz ganz wichtig. Spiel mit dem Stick am Anfang ein wenig herum und versuche ihn im Terminal (so richtig auf Systemebene) zu entschlüsseln. Erst wenn du das sicher hinbekommst, solltest du an den Alltagseinsatz eines solchen Sticks gehen.
Die Verschlüsselung des Sticks hat in dem beschriebene Szenario doch eigentlich gar keine Relevanz. Sie schützt nur vor dem Fall, dass der Stick selbst in fremde Hände fällt. Sobald der zur Verwendung am Rechner eingesteckt und entschlüsselt wird, stehen die Daten dem Dateisystem zur Verfügung. Wenn man davon ausgeht, dass die verwendete Verschlüsselung „unknackbar“ ist, könnte man die Dateien genausogut verschlüsselt direkt auf dem Rechner lassen.
Wenn ein Angreifer „Kontrolle über den PC erlangt“ hat, dann impliziert das ja, dass derjenige mindestens die gleichen Rechte erlangt, wie der aktuelle User - ansonsten wäre es ja nicht „Kontrolle“ sondern nur „Zugang“. Vielleicht beschreibst Du noch mal genau, von welcher konkreten Art von Bedrohung hier auszugehen ist.
Was ebenfall zu berücksichtigen wäre, ist das Programm, mit dem die Daten geöffnet oder bearbeitet werden. Es kommt nicht selten vor, dass dabei temporäre Kopien angelegt werden, die ggfs. hinterher nicht sauber gelöscht werden. Von gewissen Kandidaten, die „sicherheitshalber“ auch noch etwas an ihre Cloud schicken, mal ganz zu schweigen. Aber ich unterstelle jetzt mal, dass solche Software bei dem genannten Schutzbedürfnis bereits ausgeschlossen ist. Ebenso sind ggfs. im Hintergrund laufende Backup-Programme zu betrachten.
Heißt unterm Strich, der verschlüsselte USB-Stick bringt ausser der Komponente einer zeitlichen Zugriffsbeschränkung erstmal keinen weiteren Sicherheitsgewinn (aber immerhin). Das System bzw. die Benutzerumgebung, auf dem die Daten berarbeitet werden, muss abgesichert werden! Wenn das mit vertretbarem Aufwand nicht möglich ist, könnte wie bereits erwähnt ein nicht-persistentes (live) OS ohne Netzwerkzugang verwendet werden oder ein komplett separates, zugriffsgeschütztes Gerät, das ausschließlich für den Zweck eingesetzt wird.
Geh noch einmal einen Schritt zurück und frage dich wie sensibel die Daten wirklich sind.
„Klassiker“ sind Bankdaten, die dann mit Riesenbohei geschützt werden, nur damit dann alle auf Kontoauszügen wieder auftaucht. Also überleg dir noch einmal ob die Daten wirklich so „geheim“ oder „sensibel“ sind wie vorgestellt. Dann reicht ggf. auch ein „normales“ Schutzniveau mit verschlüsselter Festplatte.
Ansonsten: Computer ohne Speichermedium aufbauen. Live-System von einer CD starten. Daten nur auf verschlüsseltem USB-Stick bearbeiten. Sicherheitskopie auf zweiten verschlüsselten Stick. (Insgesamt 5 Sticks durchrotieren aus unterschiedlichen Chargen/Herstellern, dadurch haben zwei immer die aktuelle Variante, und drei haben ältere Varianten als Backup). Kein Netzwerk an dem Rechner. Dann fließt auch nichts ab.
Bei weiter erhöhter Paranoia: Computer im Keller (möglichst ohne Fenster!) verwenden, Eingabegeräte nur kabelgebunden. Ggf. mehrere Rechner rundherum als „Störsender“ laufen lassen. Kein Mobiltelefon o.ä. mit in die Nähe nehmen. Dann kann auch keiner so leicht abhören.