• Home
  • Akku Tipps
  • So nutzen Sie verschlüsselte USB-Sticks als Passwortmanager
So nutzen Sie verschlüsselte USB-Sticks als Passwortmanager

Hersteller von USB-Sticks bieten verschlüsselte Hardware an, die sich für die Sicherung von Passwörtern eignet. Wir stellen Ihnen die besten Modelle vor.

Für Unternehmen, die mit sensiblen Daten arbeiten müssen, sind diese Sticks schon längst unverzichtbar. Die Rede ist von Hardware-Token bzw. USB-Sticks, die als physische Schlüssel für den Zugriff auf Daten oder PCs dienen. Nur wer über den Stick verfügt, erhält Zugang. Wir haben fünf dieser Hardware-Sticks für Sie ausgesucht, die auch für Privatnutzer von Interesse sind, und demonstrieren Ihnen, wie Sie konventionelle USB-Sticks mit kostenlosen Tools in Token verwandeln können.

Fertig zu kaufende Sicherheits-Sticks

Selbst wenn sich prinzipiell jeder USB-Stick in einen Hardware-Token verwandeln lässt, haben die fertigen Sicherheits-USB-Sticks einen entscheidenden Vorteil. In ihnen ist ein Kryptochip integriert, der Teile der Verschlüsselung übernimmt. Dieser Chip arbeitet besonders schnell und kann in vielen Fällen auch das Verschlüsselungsniveau erhöhen und damit die Datenspeicherung sicherer machen. Wer mehr Geschwindigkeit und Sicherheit wünscht, muss aber auch einen höheren Preis zahlen.

Phrase-Lock schützt Passwörter mit Stick und Handy

Den USB-Stick Phrase-Lock erhalten interessierte Käufer zu einem Preis von 47 Euro. Das ist zwar nicht günstig, der Stick bietet aber einen besonders hohen Schutz und eignet sich auch für PC-Logins. Die Passwortverwaltung kümmert sich um die Speicherung von Anmeldedaten für Webdienste und Windows. Die Daten werden dabei in der Phrase-Lock-App für Ihr Smartphone abgelegt. Der Key für die Verschlüsselung wiederum befindet sich direkt auf dem Stick. Die Datenübermittlung zwischen Smartphone und Stick geschieht kabellos per Bluetooth. Das passiert immer dann, wenn der Stick mit dem PC verbunden wird. Ein Tippen mit dem Finger genügt und die Passwörter werden aus der App in das jeweilige Formular übertragen. Wir haben diese Funktion getestet und können bestätigen, dass sie reibungslos das tut, was sie soll. Wenn Sie möchten, erstellt die App besonders sichere Kennwörter.

Um Phrase-Lock zu verwenden, müssen Sie die App starten und dann die Verbindung mit dem USB-Key herstellen. In der Produktverpackung finden Sie hierzu einen QR-Code, den Sie lediglich einscannen müssen. Stellen Sie auch sicher, dass Bluetooth auf Ihrem Smartphone aktiviert ist. Ihr PC selbst benötigt übrigens kein Bluetooth-Modul, dieses ist bereits im Stick integriert.

Speisen Sie jetzt Ihre Login-Daten in die App ein. In Zukunft übernimmt nun der Stick für Sie die Eingabe der relevanten Daten, wann immer Benutzername und Passwort abgefragt werden.

Über "Einstellungen" und "USB-Key verschlüsseln" gelangen Sie zu einer Funktion, mit der Sie ein verschlüsseltes Backup Ihrer Passwörter anlegen können. Danach platzieren Sie die Daten einfach in der Cloud.

Vorteile: Phrase-Lock lässt sich komfortabel bedienen und ist sicher. Wer einen Passwortmanager für den PC sucht, der wird hier fündig. Der USB-Stick kann dabei jederzeit mit dem PC verbunden bleiben. Da Sie Ihr Smartphone unterwegs immer dabei haben, sind die Datenbank mit den Passwörtern und der Schlüssel stets getrennt. Sie können sich auch einen zweiten Stick, zum Beispiel für die Verwendung in der Arbeit, anschaffen.

Befindet sich der Stick in der Nähe, können Sie Passwörter übrigens auch direkt auf dem Smartphone eingeben. Denken Sie aber daran, dass dann die Trennung von Datenbank und Key natürlich wegfällt.

Fido U2F Security Key schützt Google und andere Dienste

Mit einem Preis von nur 5 Euro gehört der Fido U2F Security Key zu den günstigeren Hardware-Token. Der Schlüssel kommt hier in Form eines kleinen Steckers für den USB-Port daher. Eine Anmeldung bei Google ist nur dann möglich, wenn der Stick im Rechner steckt. Sie schützen damit Dienste wie Gmail, den Kalender oder auch Google Docs vor unbefugten Zugriffen.

Neben dem Stick selbst müssen Sie Google Chrome als Ihren Internetbrowser verwenden, sich in Ihr Google-Konto einloggen und dort die Zwei-Wege-Authentifizierung aktivieren. Über die Seite https://accounts.google.com können Sie Letzteres über den Punkt "Anmeldung bei Google" und dann "Bestätigung in zwei Schritten" erledigen.

Die Zwei-Wege-Authentifizierung gilt auch auf Ihrem Smartphone. Leider können Sie aber den Sicherheitsschlüssel weder auf einem Smartphone noch auf einem Tablet nutzen. Hier sollten Sie also nur die über SMS-Codes realisierte Zwei-Wege-Authentifizierung aktivieren.

Melden Sie sich nun mit Ihren mobilen Endgeräten in Ihrem Google-Account an. Im Feld "Auf diesem Gerät nicht mehr nach Codes fragen" müssen Sie einen Haken setzen. Aktivieren Sie jetzt den Sicherheitsschlüssel, so sind Ihre mobilen Geräte davon nicht betroffen.

Eine Anmeldung per SMS-Code ist auch auf Geräten ohne USB-Anschluss möglich. Unter "Anmeldung bei Google" und dann "Bestätigung in zwei Schritten" gehen Sie zuerst auf "Sicherheitsschlüssel" und wählen dann "Sicherheitsschlüssel hinzufügen" aus.

Nun wird überprüft, ob Sie die Zwei-Wege-Authentifizierung bereits aktiviert haben. Sind alle Voraussetzungen erfüllt, klicken Sie einfach auf "Registrieren" und können nun den Stick in den Rechner stecken. Über die Website sollten Sie bald die Meldung "Registriert" erhalten. Klicken Sie noch auf "Fertig", um den Vorgang abzuschließen.

Wenn Sie sich in Zukunft anmelden wollen, erfolgt nicht mehr die Abfrage des SMS-Codes, sondern des Sicherheitsschlüssels. Ist die Website mit dem Google-Konto geladen, können Sie den Stick wieder vom Rechner entfernen. Verfügt der Rechner über keinen USB-Port, verwenden Sie stattdessen den SMS-Code.

Identos ID50 Password-Safe Passwort-Manager

Mittels eines Kryptochips mit AES 128 Bit kann der Identos ID50 Password-Safe Ihre Login-Daten verschlüsseln. Sie erhalten neben dem Stick auch passende Plug-ins für die Browser Chrome und Firefox. Diese Plug-ins lesen Ihre Login-Daten vom Stick aus und tragen diese in die entsprechenden Webformulare ein.

Der Schutz der Daten erfolgt über eine PIN mit vier Stellen. Gibt ein Anwender diese PIN viermal hintereinander falsch ein, löscht der Stick alle Daten. Brute-Force-Angriffe sind hier also wenig erfolgversprechend.

Safe To Go: Diese Sticks verfügen über eine integrierte Verschlüsselung

Safe To Go bietet eine Unterstützung von USB 3.0. Mit diesem USB-Stick gelingt die Datenübertragung also besonders schnell. Die Verschlüsselung mit 256 Bit AES-Codierung ist zwar aufwendig, gelingt bei diesem Stick dank der eingebauten Ver- und Entschlüsselungshardware aber trotzdem besonders schnell. Schreiben und Lesen erfolgen also ohne Zeitverlust. Die Software für das Öffnen der Dateien befindet sich ebenfalls bereits auf dem Stick und muss nicht installiert werden. Mit 8 GB kostet der Safe To Go 39 Euro.

Kingston bietet ebenfalls USB-Sticks mit Verschlüsselungstechnik an. Der DataTraveler 2000 Encrypted soll dabei besonders sicher sein. Die PIN für die Entschlüsselung geben Sie direkt über eine Mini-Tastatur auf dem Stick ein. Passwörter können deshalb von Keyloggern nicht abgefangen werden. Die Sticks haben aber auch ihren Preis und kosten zum Beispiel mit 16 GB ganze 120 Euro.

Eigenen Sicherheitsstick erstellen

Im Folgenden stellen wir Software vor, mit der Sie jeden Stick als Key verwenden können. Nutzen Sie den Stick nur für die Windows-Anmeldung, reicht ein Stick mit USB 2.0 aus. Wollen Sie auf dem Stick Daten verschlüsseln, empfiehlt sich eine Unterstützung von USB 3.0.

Mit Bitlocker Sticks in Datensafes verwandeln

Möchten Sie, dass sich die Daten auf einem Stick nur an Ihrem PC entschlüsseln lassen, können Sie hierfür die Software Bitlocker verwenden. Die Bedienung ist einfach, Sie müssen den Stick nur mit dem PC verbinden und die Entschlüsselung erfolgt automatisch. Voraussetzung hierfür ist, dass Sie in Ihrem Windows-Konto angemeldet sind. Befinden Sie sich an einem anderen PC, müssen Sie stattdessen ein Passwort für die Entschlüsselung eingeben.

Bitlocker finden Sie nur in den Pro-Versionen von Windows, die mit entsprechenden Kosten verbunden ist. Unter Windows Vista müssen Sie die Datei Bitlockertogo.exe starten, um die Funktionen von Bitlocker verwenden zu können. Direkt unterstützt werden nur Windows 7, 8 und 10.

Um die Funktionen von Bitlocker zu nutzen, verbinden Sie Ihren Stick zuerst mit einem Windows-PC. Klicken Sie mit der rechten Maustaste auf das Icon Ihres USB-Sticks im Windows-Explorer und gehen Sie dann auf "Bitlocker aktivieren". Der Stick muss hierfür nicht unbedingt leer sein. Folgen Sie nun den Anweisungen des Assistenten. Die erste Verschlüsselung wird einige Zeit in Anspruch nehmen, eine schnelle CPU hilft hier spürbar. Sie möchten, dass der Stick bei jeder Verbindung mit dem PC automatisch entschlüsselt wird? Dann klicken Sie mit der rechten Maustaste auf den Stick und wählen Sie "Bitlocker verwalten" aus. Sie gelangen zu einem neuen Fenster, in dem Sie den Laufwerkbuchstaben des Sticks heraussuchen und auf "Automatische Entsperrung aktivieren" klicken.

Achten Sie darauf, dass Ihre Daten auf dem PC auch dann entschlüsselt bleiben, wenn Sie den Benutzer wechseln. Sonst können Unbefugte leicht auf die Daten zugreifen.

Wechseln Sie den Benutzer daher erst, nachdem Sie den USB-Stick ausgeworfen haben. Das erledigen Sie über das Kontextmenü des Explorers. Außerdem sollten alle Daten gespeichert sein, bevor Sie den Stick abziehen.

Bitlocker deaktivieren Sie, indem Sie per Rechtsklick das Kontextmenü des USB-Sticks aufrufen und "Bitlocker verwalten" auswählen. Klicken Sie dann unter dem jeweiligen Laufwerkbuchstaben auf "Bitlocker deaktivieren".

Veracrypt verschlüsselt den USB-Stick

Als Alternative zu Bitlocker empfiehlt sich das Tool Veracrypt. Diese Software ist kostenlos und lässt sich einfach installieren. Starten Sie die Installation und wählen Sie dann den Punkt "Extract" statt "Install" aus. Entpacken Sie die Dateien auf den Stick, von wo aus Sie das Tool über Veracrypt.exe direkt starten können.

Auf Ihrem Windows-PC benötigen Sie Administratorenrechte, um Daten ver- und entschlüsseln zu können. Mit dem Tool erstellen Sie einen verschlüsselten Container und nutzen diesen dann als virtuelles Laufwerk. Verwenden Sie die entsprechende Funktion in Veracrypt, um das Laufwerk mit Ihren Daten wieder zu trennen. Damit stellen Sie sicher, dass keine Unbefugten darauf zugreifen können. Nach dem Trennen ist nur noch die Datei zu sehen, die den gesicherten Container enthält. Wer bereits Erfahrungen mit Truecrypt gesammelt hat, wird sich in Veracrypt sofort zurechtfinden.

USB-Raptor: So schützen Sie die Windows-Anmeldung

Auf dem Markt sind etliche kostenlose Tools zu finden, mit denen die Windows-Anmeldung per USB-Stick geschützt wird. Einen perfekten Schutz bieten diese Sticks aber in keinem Fall und die tiefe Integration in Windows kann zu Problemen führen. Einen guten Schutz bietet das Tool USB-Raptor. Hier finden Sie auch eine Alarm-Funktion, sollte das falsche Passwort für den Stick eingegeben worden sein.

Rohos Logon Key ist eine gute Alternative zum USB-Raptor. Die Free-Version ist gegenüber dem Vollprogramm etwas eingeschränkt und macht die Windows-Anmeldung ohne passenden Stick unmöglich. In der Vollversion bietet das Tool deutlich mehr Sicherheit, die Kosten liegen aber bei 25 Euro. Dann können Sie sogar den Stick selbst per PIN sichern.

Keepass Portable: Übersichtliche Passwortverwaltung

Keepass Portable ist die mobile Variante von Keepass und befindet sich auf einem USB-Stick. Anders als Lastpass speichert dieses Tool die Daten nur auf dem Stick und nicht etwa zusätzlich in einer Cloud. Die Passwortdatei selbst ist wiederum mit einem Masterpasswort geschützt.

Sardu: Bootfähiger Stick und Virenscanner

Mit Sardu erstellen Sie einen bootfähigen USB-Stick, der dann als Multiscanner für Viren eingesetzt werden kann. Entpacken Sie das Archiv und starten Sie die EXE-Datei. Sie müssen sich nun kostenlos registrieren und können das Tool dann auf Ihren USB-Stick spielen.

Hinter den Systemnamen finden Sie Download-Pfeile. Klicken Sie auf diese, um zu den Antiviren-Livesystemen zu gelangen. Setzen Sie einen Haken vor jene Systeme, mit denen Ihr PC von nun an geschützt werden soll.

Wählen Sie in Sardu "USB" und dann "Search for USB", nachdem Sie einen USB-Stick mit möglichst viel freiem Platz in den PC gesteckt haben. Rechts oben sollte Ihr Stick nun angezeigt werden. Klicken Sie auf das Symbol und wählen Sie die bootfähige Software aus, die Sie verwenden möchten. Alle Antiviren-Livesysteme werden auf dem Stick eingerichtet. Starten Sie den PC neu und achten Sie auf die Anzeige für die Funktions-Taste, mit der Sie in das Bootmenü gelangen können. Drücken Sie diese Taste und starten Sie dann vom Stick.

Daten-Container mit Truecrypt auf dem Stick einrichten

Starten Sie Truecrypt vom Stick, indem Sie auf die Datei "TrueCrypt Format.exe" klicken. Lassen Sie sich vom Assistenten durch die weiteren Dialoge führen und verwenden Sie die Optionen "Einen verschlüsselten Daten-Container erstellen" und "Standard True Crypt-Volume" sowie "Datei", "AES" und "Größe".

Sie können einen beliebigen Dateinamen für "Datei" wählen. Denkbar ist zum Beispiel der Name "Data" direkt im Hauptverzeichnis. In diesem Container können Sie später Ihre Daten ablegen, die Sie verschlüsseln möchten. Sie müssen noch nicht einmal eine Dateierweiterung eingeben. Als Größe wählen Sie einen Wert, der für alle Ihre Dokumente ausreichend ist und nicht größer ist als der Stick selbst. Nicht verwendeten Speicherplatz auf dem Stick können Sie wie gewohnt weiterverwenden.

Legen Sie nun fest, wie der Zugriff auf die verschlüsselten Daten erfolgen soll. Möglich ist der Zugriff per Kennwort, per Schlüsseldatei oder mittels beider Zugriffsmethoden. Entscheiden Sie sich für die Schlüsseldatei, können Sie den Container nur auf solchen Systemen öffnen, auf denen sich der Schlüssel als Datei befindet.

Vergeben Sie stattdessen ein Kennwort, können Sie auch unterwegs zum Beispiel über Ihr Smartphone auf die Daten zugreifen. Geben Sie das gewünschte Kennwort ein und bestätigen Sie es im Feld "Bestätigung". Im nächsten Fenster müssen Sie den Mauszeiger bewegen, um die Verschlüsselung zu verbessern. Danach können Sie auf "Formatieren" klicken.

Hier nicht erwähnte Optionen müssen von Ihnen auch nicht geändert werden.

Den Container befüllen

Binden Sie jetzt den Container manuell ein, damit Sie ihn mit Daten füllen können. Diese Einbindung geschieht später automatisch. Starten Sie die Truecrypt.exe und markieren Sie einen freien Laufwerksbuchstaben. Klicken Sie dann auf "Datei" und wählen Sie den bereits erstellten Container aus. Geben Sie nun das Kennwort ein oder verweisen Sie auf die Schlüsseldatei.

Im Explorer sollten Sie nun ein neues Laufwerk sehen, das leer ist. Legen Sie in dieses Laufwerk eine Datei mit dem Namen "Loaded.txt" an. Das erreichen Sie, indem Sie mit der rechten Maustaste in das Laufwerksfenster klicken. Wählen Sie dann "Neu" und danach "Textdokument" aus.

Nun können Sie alle Ihre Daten auf das neue Laufwerk kopieren. Sind Sie damit fertig, klicken Sie im Hauptfenster von Truecrypt auf "Trennen".

Automatische Einbindung und Abmeldung von Containern

Nachdem Sie den vorherigen Schritten gefolgt sind, enthält Ihr USB-Stick nun einen Ordner mit dem Namen "Truecrypt" und einen Container mit dem Namen "Data". Mehr ist im Prinzip nicht notwendig. Nun können Sie überall auf Ihre Daten zugreifen, die zugleich aufgrund ihrer Verschlüsselung gesichert sind. Wenn Sie möchten, kann das Einbinden und das Auswerfen des Laufwerks noch etwas komfortabler gestaltet werden. Hierzu müssen Sie die Kommandozeilenoptionen nutzen, die Truecrypt Ihnen zur Verfügung stellt. Das Verschlüsselungsprogramm wird dann gar nicht mehr sichtbar, sondern arbeitet nur noch im Hintergrund. Eingeben müssen Sie lediglich ihr Kennwort.

Im vorigen Schritt haben Sie im Hauptverzeichnis des verschlüsselten Laufwerks bereits eine Datei mit dem Namen "Loaded.txt" erstellt. Nun benötigen Sie noch ein zusätzliches Programm, das in der Lage ist, Kommandozeilenbefehle abzuarbeiten. Dieses Programm befindet sich in einer Batch-Datei. Verwenden können Sie hierfür zum Beispiel Load+Unload.cmd. Legen Sie diese Datei einfach im Hauptverzeichnis des USB-Sticks ab, um sie nutzen zu können. Im Hauptverzeichnis befinden sich nun die beiden Ordner "Truecrypt" und "Data" sowie die Datei Load+Unload.cmd.

Klicken Sie mit der rechten Maustaste auf die neue Batchdatei und überprüfen Sie deren Inhalt, indem Sie "Bearbeiten" wählen. Sehen Sie insbesondere in Zeile 14 nach: Haben Sie Ihren Ordner anders als "Data" benannt, ändern Sie den Eintrag hier entsprechend. Sollte die Textdatei nicht den Namen "Loaded.txt" tragen, müssen Sie zudem den Eintrag in der Zeile 15 ändern.

Haben Sie sichergestellt, dass alle Eintragungen korrekt sind, können Sie Ihr verschlüsseltes Laufwerk nun viel schneller und unkomplizierter aufrufen. Sie müssen nur den Stick in den PC stecken und warten, bis Windows das USB-Laufwerk automatisch erkannt hat. Jetzt führen Sie einen Doppelklick auf der Batch-Datei aus und das Laufwerk wird sofort eingebunden. Das Einzige, was Sie von nun an von Truecrypt mitbekommen werden, ist das Fenster für die Kennworteingabe. Sie möchten das Laufwerk wieder auswerfen? Auch hier genügt ein Doppelklick auf die Batchdatei. Vergessen Sie diesen Schritt aber nicht, bevor Sie den Stick wieder vom PC entfernen, sonst könnte es zu einem Verlust von Daten kommen.

Komfortablerer Umgang mit Schlüsseldateien

Wie bereits angesprochen, ist der Umgang mit Schlüsseldateien komfortabler als das ständige Eingeben von Passwörtern. Einen Nachteil hat diese Methode jedoch, denn eine Öffnung des Containers ist nur auf solchen Systemen möglich, auf denen die Schlüsseldatei abgelegt ist. Es gibt jedoch Methoden, wie Sie mit diesem Nachteil umgehen können.

Ein Tipp für besonders erfahrene PC-Anwender: Es ist möglich, Truecrypt so einzustellen, dass die Software immer dann nach einem Kennwort fragt, wenn keine Schlüsseldatei gefunden werden kann. Aktivieren können Sie diese Funktion über die Befehlszeile, über die sich Truecrypt steuern lässt. Hier können Sie auch gleich eine Schlüsseldatei angeben. Geben Sie den Befehl "Truecrypt/volume x:/keyfile c:.txt" ein. Bei dieser Eingabe wird die Containerdatei vom Laufwerk X: geladen und der Schlüssel mit dem Namen "Key.txt" verwendet.

Mit einigen Befehlen erreichen Sie hier, dass Truecrypt mehrere Fälle unterscheiden kann. Liegt eine Schlüsseldatei vor, soll Truecrypt diese statt eines Kennworts verwenden. Kann Truecrypt die Datei nicht finden, soll es stattdessen nach einem Passwort fragen. Das Batchprogramm schreibt im letzteren Fall das eingegebene Kennwort in eine "keyfile"-Datei, die von Truecrypt verwendet werden kann. Load+Onload_[K].cmd dient hierbei als Vorlage für eine solche Batchdatei. Sie müssen nichts weiter tun, als diese Datei direkt auf den USB-Stick zu kopieren.

Starten Sie diese Datei sofort, kann die Einbindung eines geeigneten Truecrypt-Containers noch nicht erfolgen, da noch keine Schlüsseldatei verwendet wird. Sie sollten die Datei dennoch starten und dann ein möglichst sicheres Kennwort eingeben. Auf dem Windows-Desktop wird nun eine Datei mit dem Namen "Key.txt" abgelegt. Verschieben Sie diese Datei an einen beliebigen Ort auf dem PC.

Danach kann die Umstellung auf die Schlüsseldatei erfolgen. Klicken Sie doppelt auf die Truecrypt.exe und dann auf "Datei". Wählen Sie jetzt den Container aus. Über "Vol.-Operationen, Volume-Kennwort ändern" gelangen Sie zu "Kennwort oder Schlüsseldateien ändern". Geben Sie das alte Kennwort unter "Momentan" ein und wählen Sie über "Neu" die Schlüsseldatei aus. Klicken Sie auf "Dateien hinzuf." und verweisen Sie auf die bereits erstellte "Key.txt". Sie müssen zweimal bestätigen. Warten Sie nun einen Augenblick, bis der Vorgang abgeschlossen ist.

Klicken Sie mit der rechten Maustaste abschließend auf die Batchdatei und wählen Sie "Bearbeiten". Nehmen Sie gegebenenfalls Änderungen in den Zeilen 15 bis 17 vor, damit alle Dateinamen auch tatsächlich übereinstimmen. Mehr müssen Sie nicht tun.


Tag: