Im Alltag von Schule und Lehrkräften stellen USB Sticks ein wichtiges Medium zum Transport, zur Aufbewahrung und zur Sicherung von Daten dar. Geht es dabei nur um allgemeine Daten wie Arbeitsblätter oder andere Unterrichtsmaterialien, spielt das Thema Sicherheit keine wesentliche Rolle. Anders sieht es jedoch aus, wenn auf einem USB Stick personenbezogene Daten aus der Schule gespeichert werden. Gängige Praxis bei den meisten Nutzern von USB Sticks in der Schule ist die Speicherung ohne Berücksichtigung der Datensicherheit. Man nimmt einen einfachen USB Stick, speichert die personenbezogenen Daten darauf und legt ihn als Speicher in eine Schublade oder transportiert ihn in der Hosentasche, am Schlüsselbund oder in der Schultasche von einem Ort zum anderen.
Zwei Problemfelder tun sich dabei auf:
- Mitunter gibt es die Daten nur ein einziges Mal und zwar auf diesem einen USB Stick.
- Die Daten sind ohne jeglichen Schutz vor unbefugtem Zugriff auf dem USB Stick gespeichert.
Sowohl die DS-GVO als auch das Schulgesetz NRW und die VO-DV I/II verpflichten dazu, für die Sicherheit der personenbezogenen Daten aus der Schule zu sorgen, egal ob sie auf einem Verwaltungsrechner liegen, auf einem privaten Computer verarbeitet werden oder auf einem USB Stick gespeichert sind. Durch geeignete technische und organisatorische Maßnahmen lässt sich leicht vermeiden, dass aus den beschriebenen Problemfeldern tatsächlich ein Datenschutzproblem mit eventuell rechtlichen Folgen werden kann.
Backup eines USB Stick
USB Sticks haben einen Flash Datenspeicher, dessen Lebensdauer auf eine begrenzte Anzahl von Schreibvorgängen beschränkt ist. Das kann zum Problem werden. Wer einen USB Stick über viele Jahre nutzt und eventuell sogar darauf arbeitet, um eine Speicherung sensibler personenbezogener Daten auf einem privaten Gerät zu vermeiden, muss damit rechnen, dass der Speicher des USB Stick irgendwann fehlerhaft ist und es dadurch zu Datenverlusten kommen kann. Um hier kein unnötiges Risiko einzugehen, sollten die auf einem USB Stick gespeicherten Daten als organisatorische Maßnahme regelmäßig gesichert werden, ob auf einen Computer oder einen anderen USB Stick, ist dabei egal. Wie oft eine Sicherung vorgenommen wird, hängt davon ab, wie oft sich die Inhalte des USB Sticks verändern. Die Vorgabe, die Verfügbarkeit von auf einem USB Stick gespeicherten Daten sicherzustellen, gilt auch für durch Passwort und Verschlüsselung gesicherte Modelle.
Ein weiterer Grund, weshalb die Daten auf einem USB Stick immer an einem anderen Ort in Kopie vorliegen sollten – ein USB Stick kann verloren gehen. Außerdem kann es leicht passieren, dass ein USB Stick mechanisch beschädigt wird, wenn er beispielsweise auf der Straße überfahren wird. Auch eine Zerstörung durch Wasser kommt oft vor, etwa wenn ein USB Stick in die Wäsche gerät.
Zugriffsschutz und Verschlüsselung eines USB Stick
Anders als ein Computer oder Smartphone sind die meisten USB Sticks in keiner Weise vor unberechtigtem Zugriff geschützt. Wer in den Besitz eines fremden USB Stick kommt, hat so in der Regel leichtes Spiel: Stick am Rechner einstecken und alle gespeicherten Daten sind frei zugängig. Zwar kann man durch organisatorische Maßnahmen (z.B. am Band um den Hals hängen, im Tresor einschließen) für eine höhere Sicherheit sorgen, doch was, wenn der USB Stick verlustig geht oder gestohlen wird? Leicht und klein, wie viele USB Sticks sind, ist gerade das Risiko, einen Stick zu verlieren, recht hoch. Um einen unberechtigten Zugriff auf die gespeicherten Daten zu vermeiden kann nur durch technische Maßnahmen verhindert werden. Eine Möglichkeit ist ein Zugriffsschutz durch ein Passwort bzw. einen PIN Code. Noch sicherer ist man, wenn die Daten auf dem Stick zusätzlich auch verschlüsselt werden. Das Zauberwort heißt hier deswegen Verschlüsselung.
Dabei gibt es zwei Möglichkeiten:
- Ein einfacher USB Stick wird per Software verschlüsselt
- Ein USB Stick hat eine in seine Hardware fest integrierte Verschlüsselung
Verschlüsselung eines USB Sticks per Software
Aus finanzieller Sicht ist die Verschlüsselung eines USB Sticks per Software die günstigste Variante. Man kann jeden USB Stick dazu nehmen, egal ob billig oder teuer. Von Nachteil ist jedoch, dass der Nutzer technisch in der Lage sein muss, einen USB Stick zu verschlüsseln. Die Software zum Verschlüsseln ist kostenlos. Sehr verbreitet ist das für alle Betriebssysteme nutzbare Open Source Programm VeraCrypt1Eine Anleitung zur Nutzung von VeraCrypt speziell für Lehrer mit Erklärung, was die Software macht, gibt es unter Anleitung: Dateien verschlüsseln mit VeraCrypt . Auch die auf modernen Windowssystemen integrierte Verschlüsselungssoftware BitLocker lässt sich zum Schutz eines USB Sticks verwenden, beschränkt den derart gesicherten USB Stick dann jedoch auf die Nutzung mit Windows Systemen.2OS X und Linux erlauben ebenfalls den Schutz von USB Sticks durch Verschlüsselung und Passwort. Man ist mit derart geschützten Sticks dann jedoch bei der Nutzung auf Rechner mit diesem Betriebssystem beschränkt. Bei VeraCrypt kann die Software direkt auf dem Stick installiert werden und ist damit unabhängig von einer auf dem Rechner installierten Software, setzt zur Nutzung jedoch einen Rechner mit dem gleichen Betriebssystem voraus wie die auf dem Stick installierte Version von VeraCrypt3Wurde die selbstlaufende VeraCrypt Version unter Windows installiert, ist der USB Stick auch nur unter Windows nutzbar. Entsprechendes gilt für andere Systeme..
Bei der Auswahl eines geeignetes USB Sticks sollte man auch auf die Stabilität achten. Sehr billige USB Sticks mit einfachen Kunststoffgehäusen sind gegen mechanische Beschädigung oder Wasserschaden in der Regel nicht geschützt. Wer einen USB Stick selbst verschlüsselt, sollte bei der Auswahl deswegen auch auf die Robustheit achten.
USB Sticks mit hardwareseitig integrierter Verschlüsselung
Deutlich teurer als einfache USB Sticks sind solche mit hardwareseitig integrierter Verschlüsselung. Die Verschlüsselung erfolgt dabei über ein Verschlüsselungsmodul auf dem Stick selbst, nicht über installierte Software. Bei den angebotenen USB Sticks gibt es verschiedene Auswahlkriterien:
Entschlüsselung über Software Menü
Auf den ersten Blick sieht der USB Stick sehr gewöhnlich aus. Dass er geschützt ist, offenbart sich, wenn er an einen Rechner angeschlossen wird. Ohne Eingabe eines Passwort bzw. PIN werden keine Daten angezeigt.
Entschlüsselung über Tasteneingabe
Der USB Stick hat Zahlentasten, über die ein PIN Code eingegeben werden muss, bevor an einem Rechner Daten angezeigt werden.
Entschlüsselung über Fingerabdruck
Wie der Name sagt, braucht es zum Entsperren des USB Sticks keinen Code, sondern den Fingerabdruck des Nutzers.
Mit Administrator- und Nutzerkonto
Auf dem USB Stick gibt es zwei Konten, eines für einen Administratoren und eines für den Nutzer. Der Administrator kann im Notfall ebenfalls den USB Stick entsperren und er kann ein Passwort für den Nutzer einrichten. Ein Vorteil gegenüber USB Sticks mit nur einem Konto liegt darin, dass der Administrator bei Passwortverlust helfen und auf die Daten zugreifen kann, sollte der eigentliche Nutzer aus gesundheitlichen Gründen nicht dazu in der Lage sein. Das kann in der Schule, wenn es um die Noten beim Zeugnisschreiben geht, kritisch sein.
Sicherheitsstandard FIPS 197
Hinter FIPS 197 verbirgt sich ein etwas älterer Standard, der anders als FIPS 140 umfangreichere Vorgaben erfüllen muss.4Siehe dazu auch FIPS: US-Standards für Informationssicherheit Es geht bei diesem Standard lediglich um die Sicherheit des Algorithmus, mit welchem die Verschlüsselung erfolgt.
Sicherheitsstandard FIPS 140-2
Die Sicherheitsstufe von USB Sticks mit FIPS 140-2 ist höher als von denen mit FIPS 197. Nach dem Standard FIPS 140-2 zertifizierte USB Sticks müssen auch zusätzlich vor physikalischer Beschädigung bzw. Manipulation geschützt sein.5Eine Methode, an die Inhalte verschlüsselter USB Sticks zu kommen, ist es, sie auseinanderzubauen, um über den direkten Zugriff auf die Hardwarekomponenten an die Daten zu gelangen.6Weitere Informationen zu FIPS 140 bei Seagate – FIPS 140-2-Standard und Selbstverschlüsselung Häufig gestellte Fragen (FAQ)
Wonach wählt man einen sicheren USB Stick aus?
Es gibt mehrere Kriterien, wonach ein passender geschützter USB Stick ausgewählt werden sollte:
- Wie hoch sind die Anforderung an die Vertraulichkeit der personenbezogenen Daten, die auf dem Stick gespeichert werden sollen?
- Die Anforderung an die Vertraulichkeit sind bei der Sicherung einer SchiLD NRW Datenbank sicherlich höher als bei einer Notenliste.
- Auch bei einem Fördergutachten sind die Anforderungen an die Vertraulichkeit ganz gewiss deutlich höher als die an eine Adressliste der Schüler.
- Wo und wie soll der USB Stick eingesetz werden?
- Wird der USB Stick nur an einem Rechner zur Datensicherung genutzt?
- Sollen mit dem USB Stick Daten zwischen verschiedenen Rechnern transportiert werden, die eventuell auch verschiedene Betriebssysteme haben?
- Wie kompetent sind die Nutzer des USB Sticks?
- Die Nutzer können ihren USB Stick selbst mit einer Software wie VeraCrypt oder BitLocker verschlüsseln.
- Die Nutzer können die Host Software zu einem über Software verschlüsselten USB Stick selbst installieren, falls erforderlich.
- Sollen die USB Sticks von der Schule verwaltet werden?
- Wenn ja, muss der USB Stick dieses unterstützen.
- Falls nein, reicht ein etwas einfacherer Stick mit einzelnem User Zugang.
- Welchen Speicherplatz müssen die USB Sticks haben?
- Für die meisten Fälle wird ein kleinerer USB Stick reichen, denn die Menge an personenbezogenen Daten, welche eine einzelne Lehrkraft mit sich führt oder sichern muss, ist eher begrenzt.
- Wie viele Sticks müssen angeschafft werden und welches Budget ist vorhanden?
- Sollen alle USB Sticks von der Schule angeschafft werden, können die finanziellen Möglichkeiten Grenzen setzen.
Empfehlung
Die sicherlich beste Lösung für viele Schulen werden USB Sticks sein, die eine hardwareseitige Verschlüsselung integrieren. Hier sind bereits für Modelle unter 30 € verfügbar, die FIPS 197 haben7Z.B. Integral Crypto USB-Stick 2GB mit 256 Bit AES Verschlüsselung, FIPS 197 zertifiziert über 20 € oder Integral 4Gb Crypto Total Lock (AES 256-bit FIPS 197) unter 20 € Das kommt auch technisch weniger versierten Lehrkräften entgegen. Außerdem sind diese USB Sticks betriebssystemunabhängiger zu verwenden. Mittlerweile gibt es sogar vom BSI zertifizierte sichere USB Sticks.8Ein Anbieter hierfür ist Optimal. Die Sticks sind für Behörden gedacht, kommen aber wegen Preise ab 220 € für Schulen wohl eher nicht in Frage.
Tipp
Der sichere USB Stick sollte ausschließlich für sensible Daten genutzt werden. So kann er kleiner ausfallen (2 – 4 GB) und wird deutlich günstiger. Für Unterrichtsmaterialien, ob Arbeitsblätter, Bilder, Audios oder Videos kann dann ein einfacher, ungesicherter und dadurch günstigerer USB Stick genutzt werden.
Achtung
- Einige der hardwareseitig verschlüsselte USB Sticks löschen alle Daten auf dem USB Stick nach mehreren Fehlversuchen bei der Eingabe des Passworts/PIN. Bei den USB Sticks von Integral ist das z.B. nach 6 Fehlversuchen in Folge.
- Gängige hardwareseitig verschlüsselte USB Sticks mit Eingabe des Passworts über den Rechner werden nicht von Linux unterstützt. Hier müsste ein Stick mit Tastenfeld für die PIN Eingabe genutzt werden.9z.B. iStorage datAshur Pro verschlüsselter 4GB 3.0 USB-Stick Wasserdicht (AES 256-bit Hardware-Verschlüsselung) Speicherstick Blau
- Ein USB Stick, auf welchem VeraCrypt gestartet werden kann, um auf Inhalte des Sticks zuzugreifen, kann durch Formatierung gelöscht werden!
Weitere Informationen:
- Schutz von Daten auf USB-Sticks.pdf – BSI
- VeraCrypt – Downloads (Frankreich, englische Sprache – für Cracks)
- Anleitung: Dateien verschlüsseln mit VeraCrypt – lehrerfreund.de
Wenn der USB Stick genutzt werden soll, um darauf personenbezogenen Daten aus der Schule von einem privaten Rechner aus sicher zu verarbeiten10In NRW ist für den privaten Rechner, von dem aus auf dem USB Stick gearbeitet werden soll, eine Genehmigung der Schulleitung einzuholen.