In Unternehmen mit hoher Sicherheitsstufe sind sie schon lange üblich: sogenannte Hardware-Token, also Hardware-Sticks für den USB-Anschluss. Nur wer den Stick besitzt, kann sich am zugehörigen PC anmelden oder auf bestimmte Dateien zugreifen. Wir stellen zunächst fünf Hardware-Sticks vor, die auch für Privatanwender in Frage kommen, und zeigen, wie Sie mit ein paar kostenlosen Tools Ihren USB-Stick zu einem solchen Sicherheits-Token umfunktionieren können.
Fertige Sicherheits-Sticks
Fertige Sicherheits-Sticks haben gegenüber selbst gemachten USB-Sticks einen Vorteil: Sie arbeiten mit einem Kryptochip, in dem ein wichtiger Teil der Verschlüsselungstechnik steckt. Das macht die Sticks gegenüber reiner Softwareverschlüsselung zum einen deutlich schneller, zum anderen sind die geschützten Dateien zumindest in manchen Fällen schwerer zu knacken. Für dieses Plus an Tempo und Sicherheit zahlt man bei fertigen Sticks allerdings auch den höheren Preis.
Siehe auch: Sicherheit für USB-Sticks – was Sie wissen müssen
Phrase-Lock: Passworte perfekt geschützt dank Stick und Handy
Darum geht’s: Der kleine USB-Stick Phrase-Lock ist zwar mit 47 Euro nicht gerade günstig, dafür bekommen Sie aber ein besonders gut geschütztes System für die Passwortverwaltung und für einfache Log-ins am PC. Die Log-in-Daten für Ihre Webdienste, aber auch für viele andere Log-ins am PC, etwa die Anmeldung in Ihr Windows-Benutzerkonto, speichern Sie auf Ihrem Smartphone in der Phrase-Lock-App . Verschlüsselt werden die Daten mit einem Key, der auf dem USB-Stick gespeichert ist. Das Smartphone verbindet sich per Bluetooth mit dem Stick, wenn dieser am PC angesteckt ist. Die Log-in-Daten aus der App lassen sich per Fingertipp in den geöffneten Internetbrowser am PC übergeben. Im Test funktionierte das reibungslos. Nur das einmalige Eingeben der Log-ins finden wir etwas umständlich. Zur App gehört auch ein Passwortgenerator, der komplexe Passworte automatisch generiert.
So geht’s: Nach dem Start der App müssen Sie diese mit Ihrem USB-Key verbinden. Dazu scannen Sie mit der App den QR-Code, der in der Produktverpackung enthalten ist . Die Verbindung von Smartphone und USB-Stick läuft über Bluetooth, das entsprechend auf Ihrem Handy aktiviert sein muss. Der PC benötigt kein Bluetooth, da die nötige Hardware bereits im Phrase-Lock-Stick integriert ist.
Wenn Sie die Verbindung hergestellt haben, können Sie die App mit Ihren Log-in-Daten füttern. Einmal eingeben, fügt der USB-Stick auf Kommando der App Benutzername und Passwort in Ihren Browser am PC ein.
Sie können sicherheitshalber ein verschlüsseltes Backup aller Log-in-Daten aus der App erstellen. Dafür vergeben Sie zuerst über „Einstellungen -> USB-Key verschlüsseln“ ein Passwort für die Log-in-Datenbank. Danach lassen sich die Daten in die Cloud sichern.
Das gefällt uns: Wir halten Phrase-Lock für eine sichere und komfortable Log-in-Verwaltung. Sie ist für Nutzer empfehlenswert, die einen Passwortmanager vor allem für den PC suchen. Der USB-Stick kann am PC verbleiben, während man das Smartphone mit sich trägt. So sind die Passwortdatenbank und der Schlüssel fürs Entschlüsseln unterwegs von einander getrennt. Wer das System auf zwei PCs nutzt, etwa in der Arbeit und zu Hause, kann auch zwei Sticks mit der App verbinden.
Die Passworteingabe funktioniert übrigens auch auf dem Smartphone, auf dem die Phrase-Lock-App installiert ist, allerdings nur, wenn sich der zugehörige USB-Stick in der Nähe befindet und mit Strom versorgt wird, etwa über ein OTG-Kabel am Handy. Das Passwort lässt sich dann per Copy & Paste aus der App in einen Browser bringen. Der Sicherheitsvorteil, den die Trennung von Log-in-Datenbank und USB-Key mit sich bringt, ist dann natürlich nicht mehr gegeben.
Fido U2F Security Key: Log-in-Schutz für Google & Co.
Der Fido U2F Security Key ist ab fünf Euro erhältlich. Dafür bekommen Sie einen guten zusätzlichen Schutz für Ihr Google-Konto. Bei diesem Schlüssel handelt es sich um einen kleinen Stecker für den USB-Anschluss. Nur wenn der Schlüssel im Rechner oder Notebook steckt, können Sie sich bei Google anmelden. Auf diese Weise lassen sich alle Dienste von Google schützen, die mit einem Log-in versehen sind, etwa Gmail, Kalender, Google Docs oder die Fitnessdaten der Google-App Fit.
So geht’s: Damit der besondere Schutz wirken kann, müssen zusätzlich zum Stick zwei Voraussetzungen erfüllt sein: Sie verwenden Google Chrome als Browser, und Sie haben die Zwei-Wege-Authentifizierung in Ihrem Google-Konto aktiviert. Die Zwei-Wege-Authentifizierung für Ihr Google-Konto aktivieren Sie auf https://accounts.google.com im Punkt „Anmeldung bei Google -> Bestätigung in zwei Schritten“.
Wenn Sie Google-Dienste auch auf einem Smartphone im Einsatz haben, gilt die aktivierte Zwei-Wege-Authentifizierung dort ebenfalls. Der Sicherheitsschlüssel lässt sich aber nicht auf einem Smartphone oder Tablet mit Android oder iOS nutzen. Deshalb sollten Sie zunächst nur die Zwei-Wege-Authentifizierung per SMS-Code aktivieren.
Melden Sie sich nach der Aktivierung der Zwei-Wege-Authentifizierung mit Ihren Mobilgeräten bei Ihrem Google-Konto an. Setzen Sie den Haken im Feld „Auf diesem Gerät nicht mehr nach Codes fragen“. Wenn Sie danach den Sicherheitsschlüssel im Google-Konto aktivieren, betrifft das die Mobilgeräte nicht mehr.
Alternativ können Sie sich auf Geräten ohne USB-Anschluss künftig per SMS-Code anmelden. Loggen Sie sich auf https://accounts.google.com ein. Wählen Sie „Anmeldung bei Google -> Bestätigung in zwei Schritten -> Sicherheitsschlüssel -> Sicherheitsschlüssel hinzufügen“.
Die Webseite prüft, ob in Ihrem Konto bereits die Zwei-Wege-Authentifizierung eingeschaltet ist. Trifft das zu, können Sie auf „Registrieren“ klicken und dann den Sicherheitsschlüssel in einen USB-Anschluss des Rechners stecken. Nach kurzer Zeit meldet die Webseite „Registriert“, und Sie können den Vorgang nachfolgend über „Fertig“ abschließen.
Von da an werden Sie beim Log-in nach dem Klick auf „Anmelden“ nicht mehr nach einem SMS-Code gefragt, sondern nach dem Sicherheitsschlüssel. Für den Fall, dass dieser schon im PC steckt, müssen Sie ihn ab-und wieder anstecken. Nach wenigen Sekunden lädt die Webseite Ihr Google-Konto, und Sie können den Stick abziehen. Wenn Sie sich an einem Gerät ohne USB-Anschluss anmelden oder einen anderen Browser verwenden, müssen Sie ersatzweise einen SMS-Code eingeben.
Identos ID50 Password-Safe: Passwort-Manager
Darum geht’s: Der USB-Stick Identos ID50 Password-Safe speichert Ihre Log-in-Daten und verschlüsselte sie per Kryptochip mit AES 128 Bit (Advanced Encryption Standard). Zusammen mit dem Stick kommen Plug-ins für die Internetbrowser Google Chrome und Firefox . Diese übernehmen die Log-in-Daten vom Stick und fügen sie in die passenden Felder auf den entsprechenden Websites ein.
Die Daten auf dem Stick schützen Sie mit einer vier-bis sechsstelligen PIN. Wird diese PIN vier Mal falsch eingegeben, löscht der Stick automatisch alle gespeicherten Daten. So soll ein Brute-Force-Angriff abgewehrt werden.
Safe To Go: USB-Sticks mit eingebauter Verschlüsselung
Darum geht’s : Der USB-Stick Safe To Go überträgt Daten nach dem USB-3.0-Standard und liefert entsprechend hohe Transferraten. Das Besondere an dem Stick: Die rechenaufwendig Ver-und Entschlüsselung mit 256 Bit starker AES-Codierung übernimmt die Hardware im Stick. So nutzen Sie das volle Schreib-und Lesetempo des Sticks ohne Zeitverlust aus. Die nötige Software fürs Aufschließen der Dateien befindet sich auf dem Stick und läuft ohne Installation. Den Stick gibt es ab 8 GB, dann kostete er 39 Euro.
Alternative: Der Speicherhersteller Kingston bietet mehrere USB-Sticks mit eingebauter Verschlüsselungstechnik an. Als besonders sicher preist der Hersteller das Modell Data Traveler 2000 Encrypted an. Auf dem Stick findet sich eine Tastatur, über die Sie Ihre PIN oder Ihr Passwort eingeben können. So haben Keylogger auf dem PC keine Chance, das Passwort abzufangen. Allerdings ist dieses Modell nicht ganz billig: Für das 16-GB-Modell sind 120 Euro fällig, 32 GB gibt’s für 150 Euro.
Ihr eigener Sicherheits-Stick
Für die folgenden Programme können Sie jeden beliebigen USB-Stick verwenden. Für manchen Einsatzzweck empfiehlt sich ein schneller USB-3-Stick, etwa, wenn Sie darauf Daten verschlüsseln möchten. Ein Stick, den Sie zur Anmeldung von Windows nutzen, muss dagegen nicht besonders schnell sein. Hier können Sie auch problemlos ein älteres Modell mit wenig Speicher wählen.
Tipp: So macht Ihr USB-Stick Jagd auf Viren
USB-Stick als Datensafe per Bitlocker
Darum geht’s: Per Bitlocker sorgen Sie dafür, dass sich die Daten auf Ihrem Stick nur von Ihnen an Ihrem PC entschlüsseln lassen. Die Handhabung ist recht bequem. Wenn Sie den USB-Stick an einen PC anstecken, an dem Sie mit Ihrem Windows-Konto angemeldet sind, werden die Daten automatisch entschlüsselt. An anderen PCs oder unter anderen Benutzerkonten müssen Sie das Passwort zur Entschlüsselung eingeben.
Darauf müssen Sie achten: Bitlocker wird Ihnen nur in den teuren Pro-Versionen von Windows angeboten. Direkt unterstützt werden zudem nur noch die Versionen 7, 8 und 10. Wenn Sie unter Windows Vista Ihren USB-Stick lesen wollen, müssen Sie die Datei Bitlockertogo.exe ausführen. Sie befindet sich auf dem verschlüsselten USB-Stick, ist aber unsichtbar, wenn Sie den Stick unter einem aktuellen Windows entschlüsselt haben.
So geht’s: Stecken Sie Ihren USB-Stick an ein aktuelles Windows der Pro-Linie an, etwa Windows 10 Pro . Klicken Sie im Windows-Explorer mit der rechten Maustaste auf den USB-Stick, und wählen Sie „Bitlocker aktivieren“. Es dürfen sich dabei bereits Daten auf dem Stick befinden. Ein Assistent führt Sie durch die nötigen Schritte. Die Verschlüsselung dauert beim ersten Mal einige Zeit, abhängig von der Größe des Sticks und der Leistungsfähigkeit der CPU. Wenn der Stick automatisch entschlüsselt werden soll, sobald Sie ihn an Ihr Windows-Benutzerkonto anstecken, müssen Sie das noch aktivieren. Klicken Sie mit der rechten Maustaste auf den angeschlossenen und entschlüsselten Stick im Windows-Explorer, und wählen Sie „Bitlocker verwalten“. Im nächsten Fenster wählen Sie unter dem betreffenden Laufwerksbuchstaben „Automatische Entsperrung aktivieren“.
Achtung: Wenn Sie den USB-Stick an Ihren PC angesteckt und entschlüsselt haben, bleiben die Daten auch dann entschlüsselt, wenn Sie den Windows-Benutzer wechseln, etwa über die Tastenkombination Strg-Alt-Entf und den Klick auf „Benutzer wechseln“. So können also auch andere, unbefugte Nutzer an die Daten auf dem Stick gelangen.
Damit die Daten wieder verschlüsselt werden, müssen Sie den USB-Stick ordnungsgemäß auswerfen, etwa über sein Kontextmenü im Windows-Explorer. So stellen Sie zudem sicher, dass Windows alle Daten komplett auf den Stick gespeichert hat, bevor Sie ihn abziehen.
Bitlocker deaktivieren: Möchten Sie den USB-Stick wieder dauerhaft entschlüsseln, dann klicken Sie im Windows Explorer mit der rechten Maustaste darauf, wählen „Bitlocker verwalten“ und anschließend unter dem passenden Laufwerksbuchstaben „Bitlocker deaktivieren“.
©CnMemory
©PNY
©Patriot
©Corsair
©TeamGroup
©Mach Xtreme
©Kingston
©Transcend
©Sandisk
©Hama
©Lexar
USB-Stick per Veracrypt verschlüsseln
Darum geht’s: Wer für die Datenverschlüsselung auf dem USB-Stick nicht auf Bitlocker setzen möchte, verwendet das kostenlose Open-Source-Tool Veracrypt . Starten Sie dafür den Installationsassistenten und wählen Sie statt „Install“ die Option „Extract“. So können Sie die Veracypt-Dateien direkt auf Ihren USB-Stick entpacken. Das Tool starten Sie dann über die Datei Veracrypt.exe vom USB-Stick.
So geht’s: Für das Ver-und Entschlüsseln der Daten benötigen Sie auch bei der portablen Version von Veracrypt Administratorrechte auf dem Windows-PC. Darüber hinaus nutzen Sie Veracrypt wie gewohnt. Sie erstellen einen verschlüsselten Container mit Veracrypt und binden diesen als virtuelles Laufwerk unter Windows ein. Um die Daten vor dem Zugriff Fremder zu schützen, trennen Sie das Laufwerk über die Veracrypt-Software. Sichtbar ist dann nur noch die eine Datei, die den verschlüsselten Container darstellt. Eine Schritt-für-Schritt-Anleitung zu Veracrypt finden Sie in unserem Ratgeber zum Thema . Übrigens: Falls Sie bereits mit Truecrypt vertraut sind, kommen Sie mit Veracrypt problemlos zurecht.
USB-Stick mit Rohos Mini Drive verschlüsseln
So geht’s: Für die Verschlüsselung gibt es mit Rohos Mini Drive eine hilfreiche Gratis-Software. Nach dem Download starten Sie das Tool und haben bereits die ersten Auswahlmöglichkeiten. Im aktuellen Fall möchten Sie den USB-Stick ganz oder teilweise mit einem Passwort schützen. Deshalb wählen Sie jetzt „USB-Laufwerk verschlüsseln“. Im nächsten Fenster sehen Sie Ihren Stick und wissen somit, dass er erfolgreich erkannt wurde. Haben Sie eventuell mehrere Sticks oder USB-Geräte an Ihrem Rechner angeschlossen, kann es passieren, dass die Software das falsche Medium gewählt hat. Überprüfen Sie den Laufwerksbuchstaben über den Windows-Explorer. Mithilfe von „Auswählen“ können Sie ganz einfach das Laufwerk ändern.
22 effektive Sicherheitstools für jeden Bereich
Passen Sie Ihre Verschlüsselung nun nach Ihren Wünschen an. Unter „Disk Einstellungen…“ legen Sie unter anderem fest, wie groß der Bereich sein soll, den Sie verschlüsseln wollen. Auch den Formattyp für diesen Bereich legen Sie dort fest. Sind Sie mit den hier gewählten Einstellungen zufrieden, gehen Sie zum nächsten Schritt über. Jetzt sind Sie am entscheidenden Punkt angelangt. Sie vergeben für den eben ausgewählten Bereich ein Passwort. Denken Sie bitte daran, dass dieses idealerweise nicht zu einfach sein sollte. Sonderzeichen, Großbuchstaben sowie eine gewisse Länge machen das Passwort zusätzlich sicherer. Nach der passenden Wahl klicken Sie auf „Disk erzeugen“. Während dieses Vorganges kopiert die Software Rohos Mini Drive die „Rohos mini .exe-Datei“ auf Ihren Stick. Wenn Sie in der Folge auf Ihren gesicherten Bereich zugreifen wollen, öffnen Sie diese Exe-Datei und geben das Passwort ein. Dann gelangen Sie zu Ihrem Sicherheitsbereich. Die kopierte Exe-Datei auf dem USB-Stick ermöglicht es, dass Sie den sicheren Bereich auf Ihrem Speichermedium auf jedem Rechner öffnen können, um Ihre gespeicherten Daten zu nutzen.
USB Raptor: Windows-Anmeldung per USB-Stick schützen
Darum geht’s: Wer seinen Rechner per USB-Stick sperren möchte, kann auf eine ganze Reihe von Freeware-Programmen zurückgreifen. Perfekt sind sie alle nicht, da sich entweder ihr Schutz leicht aushebeln lässt oder sie sich derart tief in Windows einklinken, dass es schon mal zu Problemen kommen kann. In unserem Test hat sich das Tool USB Raptor als recht zuverlässig erwiesen. Zudem bietet es viele Optionen, etwa eine Alarmfunktion, wenn der zugehörige USB-Stick zusammen mit einem falschen Passwort verwendet wird.
Alternative: Als sehr zuverlässig zeigt sich im Test auch die Software Rohos Logon Key . Diese gibt es zum Ausprobieren in einer leicht eingeschränkten Free-Version. Das Tool ersetzt die Windows-Anmeldung und erlaubt eine Anmeldung an Windows ebenfalls nur, wenn der zugehörige USB-Stick am Rechner steckt. Die kostenpflichtige Version von Rohos Logon Key (25 Euro) bietet mehr Schutz. So lässt sich etwa der Stick selber noch mit einer PIN schützen. Ein Log-in bei Windows gelingt dann nur mit dem Stick und der PIN.
Keepass Portable: Einfacher Passwortmanager für den Stick
Darum geht’s: Die portable Version des Passwortmanagers Keepass startet auch von Ihrem USB-Stick. Das Tool ist bei vielen Anwendern sehr beliebt, da es anders als das Programm Lastpass die Log-in-Daten nur in einer Datei, aber nicht in der Cloud speichert. Diese Passwortdatei schützen Sie mit einem Masterpasswort. Bei uns finden Sie auch einen Ratgeber zu Keepass inklusive Videoanleitung .
Sardu: Gründlicher Virenscan mit bootfähigem USB-Stick
Darum geht’s: Die Software Sardu verwandelt Ihren USB-Stick in einen bootfähigen Multiscanner gegen PC-Viren. Entpacken Sie die Software in ein beliebiges Verzeichnis und starten Sie sie über Sardu_3.exe. Sie werden zu einer kostenlosen Registrierung aufgefordert. Wenn Sie die erledigt haben, lässt sich das Tool auf einen USB-Stick transferieren.
So geht’s: Antiviren-Livesysteme können Sie über den Download-Pfeil hinter einem Systemnamen herunterladen. Setzen Sie dann noch einen Haken vor alle Systemen, die Sie nutzen möchten.
Stecken Sie dann einen USB-Stick mit möglichst viel Speicherplatz an, und wählen Sie in Sardu „USB -> Search for USB“. Nun können Sie rechts oben den angesteckten USB-Stick auswählen und darunter über das USB-Stick-Icon die bootfähige Software inklusive der ausgewählten Antiviren-Livesysteme auf den Stick bringen. Wenn Sie nun den PC von Ihrem USB-Stick aus starten möchten, müssen Sie beim Einschalten des PCs eine Bootauswahltaste drücken, meist eine der Funktionstasten. Welche das ist, wird in der Regel beim PC-Start angezeigt.
Autor: Arne Arnold
Arne Arnold arbeitet seit über 15 Jahren bei der PC-WELT als Redakteur in den Bereichen Software und Internet. Sein Schwerpunkt liegt auf dem Thema Sicherheit für Endanwender bei PC und Mobil-Geräten.