Willkommen

Passwort vergessen? Noch kein Mitglied? Jetzt registrieren

Tech-Review.de

  • Donnerstag, 21. November 2024
iStorage datAshur PRO²

iStorage datAshur PRO²: Kleines Laufwerk mit großer Verschlüsselung

Einleitung

Wer kennt sie nicht, die kleinen, länglichen Speichermedien mit einem USB-Anschluss. Seit Jahren sind USB-Sticks in allen Formen und Farben omnipräsent im Alltag eines jeden Menschen, der auch nur vereinzelt mit PCs zu tun hat. Umso erstaunlicher mag es vielleicht klingen, dass wir heute einen USB-Stick testen. Und, dass dieser 128 GB Stick momentan auf Geizhals.de für satte 220,- € (Stand: 05.04.2020) gelistet ist, erst recht. Immerhin kosten selbst interne SSDs mit der vierfachten Speichermenge kaum mehr die Hälfte. Doch wie auch auch bei unserem Review der diskashur² weiß iStorage einmal mehr mit Features und Sicherheit zu glänzen. Während die meisten Sticks verwendet werden, um mal eben ein Dokument zum Drucker zu tragen, einem Freund ein paar Lieder zu geben oder Windows neu zu installieren, haben wir es hier mit einem High-Tech-Gerät zu tun, auf dem man kritische Dokumente ganz entspannt in der Hosentasche transportieren kann.

Dieser USB-Stick beinhaltet einen kleinen Akku, ein Tastenfeld auf der Oberseite und einen Crypto-Prozessor, welcher alle abgelegten Daten in Echtzeit AES ver- und entschlüsselt, um sie vor unerwünschten Augen zu schützen. Im Gegensatz zu vielen (günstigeren) Produkten mit ähnlichen Features läuft die gesamte Verschlüsselung am Gerät in der Hardware ab und ist damit nicht nur auf jedem PC und Betriebssystem ohne extra Software voll funktionsfähig, sondern schützt auch noch effektiv vor Keyloggern und Ähnlichem, da das Passwort nicht am Rechner eingegeben wird. Kurz gesagt - iStorage verspricht kompromisslose Sicherheit bei maximalem Bedienkomfort.

Wie gut dies im Alltag funktioniert und ob dieses Premiumprodukt seinem Preissegment auch gerecht werden kann, haben wir im heimischen Testlabor, aber auch unterwegs im Alltagseinsatz überprüft. Wir wünschen euch viel Spaß beim Lesen!

Der Lieferumfang

Die Verpackung fällt recht minimalistisch aus und besteht nur aus einer Plastik-Folie, in welcher das Laufwerk eingeschweißt ist. Zur Gestaltung liegt noch ein glänzend bedrucktes Karton-Stück mit den wichtigsten Daten bei. Ganz unten auf der Vorderseite informiert uns der Hersteller erstmal, womit wir es eigentlich genau zu tun haben - einem "Hardware encrypted flash drive", also einem Solid-State-Speicher, auf dem Daten durch einen extra Chip verschlüsselt abgelegt werden. Neben dem Herstellerlogo und der Kapazität finden wir auch einen Hinweis, dass der Pin zwischen 7 und 15 Stellen lang sein kann (bzw. muss) und, dass das Laufwerk Wasser- und staubdicht ist. Es bietet mit USB 3.2 den aktuellsten USB-Standard (was allerdings dank aktuell sehr verwirrender USB Normen leider wenig Aussagekraft hat). Vorbildlicher Weise spezifiziert iStorage allerdings auch die genaue Generation, 1x1. Dies entspricht technisch USB 3.0 und erlaubt Transferraten von bis zu 5 Gigabit pro Sekunde - was immerhin stolze 625 Megabyte pro Sekunde wären. Weiterhin läuft der USB-Stick, wie bereits erwähnt, ohne eigene Software mit so gut wie jedem Rechner, der über einen USB Port verfügt.

In der Verpackung finden wir, neben dem Laufwerk und einer stabilen Aluminium-Schutzhülle nur einen kurzen "Quick Start Guide", welcher allerdings mehr als ausreicht, um den datAshur erstmals in Betrieb zu nehmen. Doch dazu später mehr.

Das Laufwerk neben der Kurzanleitung

Für die vollen technischen Daten zitieren wir die Presse-Mappe, welche uns netterweise gemeinsam mit dem Produkt zugestellt wurde. Die wohl wichtigsten Merkmale des Geräts sind sein "Common Criteria EAL4+ ready" Prozessor, der eine Echtzeit-Verschlüsselung (AES-XTS 256 bit) in Hardware erlaubt. Dank diesem kann iStorage etliche Zertifikate (FIPS 140-2 Level 3, NCSC CPA, NLNCSA BSPA, NATO Restricted validations) vorweisen, welche es sogar erlauben, dass der datAshur in diversen Regierungs-Behörden für kritische Daten verwendet werden darf. Sehr interessant für den mobilen Einsatz ist die Staub- und Wasserbeständigkeit nach IP68, welche allerdings nur mit angebrachtem Aluminium-Schutzgehäuse gilt.

Dazu kommen etliche Sicherheits- und Verwaltungsfeatures. Es gibt einen getrennten "Admin" und "User" Mode, wobei der Admin (beispielsweise der Systemadministrator einer großen Firma) Einstellungen wie minimale Passwortlänge oder Schreibschutz treffen kann, die der Benutzer dann nicht mehr verändern darf. Auf diese Optionen werden wir aber, wie auch auf die Sicherheits-Features, später nochmal näher eingehen.

Hersteller iStorage
Modellname iStorage datAshur PRO²
Modellnummer IS-FL-DP2-256-128
Kapazität nominell / verfügbar 128 / 116 GB
Dateisystem exFAT (ab Werk, beliebig änderbar)
Lesen (bis zu) 168,00 MB/s
Schreiben (bis zu) 116,00 MB/s
Anschluss SuperSpeed USB 3.2, kompatibel zu USB 3.0/2.0/1.1
Stromversorgung Über den USB-Anschluss, interner Li-Ion Akku
Kabellänge Stecker direkt am Gehäuse
Material Gehäuse / Sleeve: Eloxiertes Aluminium
Farbe Schwarz
Abmessungen (HxBxT) 87,4 x 19,4 x 13,4 mm
Gewicht ca. 37 g (mit Sleeve) bzw ca. 28 g (ohne Sleeve)
Weitere Features Hot-Plug-fähig, IP68 zertifiziert, OS unabhängig, Tastenfeld mit 256 bit Hardware-Verschlüsselung, Bootbar
Garantie 3 Jahre, lebenslanger inkludierter Tech-Support
Preis ~ 220,- € (Geizhals.de - Stand 03.05.2020)
Preis pro GB ~ 1,90 € (Rechnung: Preis / verf. Kapazität = Preis pro GB)
Preisvergleich Geizhals Deutschland
Herstellerseite www.istorage-uk.com

 

datAshur PRO² im Detail

Wenn ihr bei den Spezifikationen bereits ein hochwertiges Gerät erwartet habt, dann können wir euch diesen Verdacht nun bestätigen. Sowohl der "Sleeve" als auch der Stick selbst sind aus sauber verarbeitetem, entgrateten und in schönem Mattschwarz eloxierten Aluminium. Einzig die Verschlusskappen sind leider nur aus Kunststoff, was der hochwertigen Haptik aber keinen Abbruch tut. Die "Schlüsselring" Öse am hinteren Ende besteht aus einer silbern glänzenden und robusten Zink-Legierung, wobei wir uns erwarten, dass die Oberfläche eventuell schnell zerkratzt, wenn das Laufwerk an einem Schlüsselpunkt getragen wird. Der datAshur PRO² ist allerdings allgemein etwas zu groß für einen Schlüsselanhänger, wie wir finden. Daher wird die Öse vermutlich ohnehin von den Wenigsten hierfür verwendet werden.

Wie auch schon bei der diskAshur² stellt beim datAshur Pro² das zentrale Tastenfeld das optisch auffälligste Designmerkmal dar. Dieses Mal haben wir es allerdings mit keiner typischen "Tastentelefon"-Anordnung zu tun, sondern mit je sechs mal zwei nebeneinander positionierten Eingabe-Knöpfen - eine quadratische Anordnung wäre auf dem schlanken Datenträger nicht möglich gewesen. Diese Tasten bestehen aus einem Gummi, welches dem von manchen TV-Fernbedienungen nicht unähnlich ist, haben allerdings nur grob einen halben Millimeter Hub, mit einem sehr deutlich spürbaren Feedback, sobald der Schalter im Inneren auslöst. Damit können versehentliche mehrfach-Betätigungen gut vermieden werden. Die drei LEDs über dem Tastenfeld haben ebenfalls eine Abdeckung aus einem Gummi, das sich recht ähnlich wie das der Tasten anfühlt. Hier haben wir - angesichts der Preisklasse - allerdings etwas große Spaltmaße zum Gehäuse. Dies tut der Funktion keinen Abbruch, trübt aber leider den ansonsten herausragenden haptischen und optischen Eindruck.

Auf der Rückseite des Datenträgers finden wir erneut Herstellerlogo, Modellname, Kapazität und einige weitere Informationen sowie Zertifikate, welche wohl mit einem Laser in die Oberfläche eingraviert zu sein scheinen. Diese Art der Beschriftung fand auch schon beim Sleeve und den drei LED-Symbolen auf der Vorderseite Verwendung und ist sehr langlebig, da sie nicht abgekratzt werden kann, ohne die gesamte Oberfläche abzuschleifen. Der USB-Stecker ist stabil mit dem Gehäuse verbunden, wackelt nicht und besteht aus einem sehr robusten Blech, welches sich nur mit viel Kraft verbiegen lassen würde.

Obwohl der Sleeve über keinen Einrast-Mechanismus verfügt, lässt er sich dank hoher Passgenauigkeit nur mit einem sehr leichten Widerstand auf das Laufwerk schieben, und wird anschließend von der Dichtung gut in Position gehalten. Wie fest diese Verbindung im Langzeit-Einsatz bleibt müssen wir erst noch feststellen - eine kleine Rast-Nase, an der die Schutzhülle fest einschnappt, wäre eventuell die elegantere Lösung. Leider hat iStorage - wie auch schon bei der diskAshur² - keine leere Fläche auf der Rückseite des Gehäuses vorgesehen, wo man Name, Adresse oder Inhalt des Datenträgers mit einem Stift notieren könnte. Für Privatpersonen, die kaum mehr als eines dieser Geräte besitzen werden, ist das natürlich kein Problem. Für Firmen oder Regierungsbehörden, die vielleicht zig oder hunderte baugleicher Laufwerke ordern, würde eine Möglichkeit der Beschriftung aber einen großen Mehrwert mit sich bringen. Auf Wunsch kann man die Laufwerke allerdings mit individueller Lasergravur direkt beim Hersteller beziehen.

Bedienung

Ein USB-Laufwerk mit einer Vielzahl an Funktionen wie es die datAshur PRO² ist, hat natürlich auch eine etwas komplexere Bedienung, die über „Auspacken und Anstecken“ hinausgeht. Wir erläutern hier kurz die wichtigsten Features, aber auf alles im Detail einzugehen würde den Rahmen sprengen. Die beiliegende und in fünf Sprachen ausgeführte Schnellanleitung erklärt wie man das Laufwerk zum ersten Mal in Betrieb nimmt auf insgesamt einem A4 Blatt. Auf dem Stick selbst liegt ein Handbuch als PDF, in dem der Hersteller auf grob 40 Seiten auf Englisch umfangreich und verständlich auf alle Funktionen des Gerätes eingeht. Alternativ gibt es das Handbuch auch auf der Homepage des Herstellers in drei Sprachen (inklusive Deutsch) zum Download.

Akku-Ladeanzeige und Leerlauf

Da der datAshur Pro² einen integrierten Akku besitzt, kann dieser natürlich auch leer werden, und das Modell verfügt über Stromspar-Mechanismen, um das zu möglichst lange hinauszuzögern. Wenn die rote LED drei Male kurz blinkt, und dann langsam ausgeht, ist das ein Zeichen für einen leeren Akku. Das Laufwerk muss an einen USB Port der 5V bereitstellt (also so gut wie jeder) angeschlossen werden. Wenn man das Laufwerk einige Minuten nicht verwendet, wechselt es automatisch in den Stromsparmodus (alle LEDs sind aus), aus dem es entweder durch Anstecken an einen USB Port, oder durch eine Sekunde gedrückt Halten von "Shift" aufgeweckt werden kann. Beim Trennen vom Rechner, oder (falls es gar nicht angesteckt war) durch eine Sekunde langes gedrückt Halten von "Shift" kann es auch gezielt in den Stromsparmodus versetzt werden.

Erste Verwendung

Auf das Auspacken folgt natürlich die erste Inbetriebnahme. Der datAshur wird ohne Passwörter verkauft, weshalb man im ersten Schritt - erklärt im Quick-Start-Guide - ein Admin-Passwort setzen muss, um ihn verwenden zu können. Hierfür muss der USB-Stick eventuell erst an einem USB Port aufgeladen werden, da er je nach Lager-Zeit komplett entladen sein kann. Bei uns war dies nicht nötig und wir konnten direkt loslegen. Nachdem man eine Sekunde "Shift" gedrückt hält, sollten rote und grüne LED dauerhaft leuchten. Nun müssen "Schlüssel" und "1" so lange gehalten werden, bis die grüne LED blinkt, und die blaue dauerhaft leuchtet. Dann wartet der Stick auf eine Eingabe des gewünschten Admin-Passworts, welches man nicht vergessen sollte. Anschließend bestätigt man die Eingabe mit "Schlüssel", tippt das Passwort zur Kontrolle ein weiteres Mal ein, und bestätigt erneut. Nun hat das Laufwerk einen gesetzten Admin-PIN und ist somit einsatzfähig.

Ein kurzes gedrückt-halten von "Shift" weckt den datAshur aus dem Ruhezustand, woraufhin einmaliges Antippen der "Schlüssel" Taste mitteilt, dass man ihn gerne im Admin-Modus entsperren möchte. Nach Eintippen des Passworts muss dieses mit "Schlüssel" bestätigt werden, und der Stick wechselt zu einer blinkenden grünen LED. Wenn man ihn nun mit dem PC verbindet, hat man vollen Zugriff auf alle Daten - im Auslieferungszustand ist dies nur das PDF-Handbuch.

Der Admin-Modus und Ändern des Admin-PINs

Wenn man die Schritte des "Entsperren im Admin-Modus" befolgt, allerdings nach dem "Schlüssel" Tastendruck zum Bestätigen, diese Taste weitere drei Male innerhalb von zwei Sekunden drückt, wechselt das Laufwerk in den Admin-Modus, was durch eine durchgehend leuchtende blaue LED angezeigt wird. Durch ein Drücken von "Schlüssel" und "2" kann hier ein neuer Admin-Code festgelegt werden. Auch wenn das im Handbuch nicht erwähnt ist, funktionierte das bei uns nur, wenn das Laufwerk nicht mit einem Rechner verbunden war!

Benutzer-PIN

datAshur PRO² auf seinem großen Bruder

Falls ein Administrator eines Unternehmens den Angestellten im Außendienst verschlüsselte Laufwerke aushändigt, will er diesen natürlich nicht den vollen Administrator-Zugang zu den Laufwerken geben, weshalb es auch die Möglichkeit gibt, einen unabhängigen Benutzer-Pin einzustellen. Hierfür aktivieren wir wieder wie bereits vorhin den Admin Modus, aber statt „Entsperren“ und „2“ drücken wir nun „Entsperren“ und „3“. Der Rest läuft wie bereits beim Ändern des Admin-PINs ab.

Wollen wir das Laufwerk mit dem Benutzer-Kennwort entsperren, so ist diese Prozedur ähnlich wie beim Admin-PIN, nur müssen wir dem Laufwerk im Stand-By mit kurzem gedrückt Halten von "Shift" und "Schlüssel" mitteilen, dass wir ein Passwort eingeben möchten, statt wie bisher nur mit "Schlüssel" alleine. Ebenfalls im Admin-Modus lässt sich eine Richtlinie einstellen, welche Mindestlänge des Benutzer-PIN erfüllen soll, sowie ob „Sonderzeichen“ nötig sind („Shift“ gleichzeitig mit einer Zahl gedrückt, zählt als eigenes Zeichen, wodurch es 20 verschiedene „Zahlen“ gibt!). Damit kann verhindert werden, dass Benutzer ihr Kennwort zu einem zu Simplen abändern und damit Daten gefährden.

Natürlich können Benutzer ihr Passwort auch selbst ändern. Dafür muss man es einmal im Benutzer-Modus entsperren, und daraufhin "Schlüssel" und "4" gedrückt halten, bis die grüne LED blinkt und die blaue durchgängig leuchtet. Nun muss zwei Male in Folge ein neuer PIN eingegeben werden, welcher mit "Sperren" bestätigt wird - analog zum Ändern von PINs im Admin-Modus.

Benutzerwiederherstellungs-PIN

Im Admin-Modus kann über "Schlüssel" und "4" eine Wiederherstellungs-PIN festgelegt werden, wobei das eigentliche Festlegen des PINs abläuft wie gewohnt. Wird der Stick im Stand-By mit einem gedrückt Halten von "Schlüssel" und "4" in den Recovery-Modus versetzt, kann mit einem Eintippen des Wiederherstellungs-PINs eine neue Benutzer-PIN festgelegt werden.

Brute-Force-Schutz

Gibt der Benutzer zehn Mal in Folge die falsche PIN ein, greift der Brute-Force-Schutz des datAshur und die Benutzer-PIN wird gelöscht. Nun muss über die Wiederherstellungs-PIN, oder den Admin-Modus eine neue Benutzer-PIN festgelegt werden. Die Wiederherstellungs-PIN darf nur fünf Male falsch eingetippt werden, ehe sie gelöscht wird und nur mehr ein neues Setzen über den Admin-Modus bleibt. Wird hingegen die Admin-Pin 10 Male in Folge falsch eingegeben, setzt sich der datAshur PRO² zurück. Hierbei löscht das Gerät sofort alle Passwörter sowie die Schlüssel zur Daten-Entschlüsselung. Die Dateien liegen dann zwar im Grunde noch im Speicher, allerdings können sie ohne die Keys nicht wiederhergestellt werden. Laut aktuellem Wissens- und Technologie-Stand ist AES ein sicherer Kryptographie-Standard, der in absehbarer Zeit nicht fallen wird. Das macht ein zeitaufwändiges (und potenziell mit Spezial-Equipment reversibles) sicheres Löschen der Dateien überflüssig, da ein schnelles Entfernen der Schlüssel bereits zuverlässig alle Informationen im Speicher unbrauchbar macht.

Diese Funktion ist für eine sichere Aufbewahrung der Daten Essenziell, aber wird in den falschen Händen auch zum Nachteil des Besitzers. Ein spielendes Kind oder ein böswilliger Arbeitskollege können ohne Probleme die gespeicherten Dokumente vernichten, wenn man das Laufwerk unbeaufsichtigt lässt.

Schreibschutz

Beide Geräte aus dem Hause iStorage im Einsatz

Ein Feature, das wir beim großen Bruder mit Festplatte vermisst haben, war, dass man für Admin- und Benutzer Modus getrennt einstellen kann, ob der Schreibschutz aktiv sein soll. Hier hat iStorage nachgebessert - beim datAshur PRO² kann der User-Mode auf "Nur lesen" gestellt werden, während der Admin nach wie vor volle Lese- und Schreibrechte besitzt. Dies ist beispielsweise sehr nützlich, wenn man das Gerät sowohl an eigenen Rechnern (denen man natürlich vertraut), aber auch an potenziell infizierten Geräten, die Malware auf das Laufwerk laden könnten, verwenden möchte. An diesen kann man sich so gezielt als Benutzer anmelden, an den eigenen Rechnern als Admin. Aber auch für Unternehmen kann diese Einstellung interessant sein - der IT Admin kann den Mitarbeitern Programme oder wichtige Daten auf das Laufwerk spielen, welche diese nicht modifizieren oder löschen können.

Diese Funktion wird durch kurzes gedrückt halten von "6" und "7" im Admin-Modus und anschließendes Bestätigen mit "Schlüssel" aktiviert. Zum Deaktivieren erfolgt die gleiche Prozedur, allerdings mit "7" und "9".

Sonstige Features

iStorage hat dem Gerät auch dieses Mal noch weit mehr Funktionen mitgegeben als wir hier im Detail erläutert haben. Auf den Recovery-Pin sind wir beispielsweise gar nicht ein-, und auch beim Zurücksetzen des Laufwerks nicht ins Detail gegangen. Die Anzahl an Versuchen pro PIN ehe der Brute-Force-Schutz eingreift kann frei zwischen ein und zehn gewählt werden. Ein Timer, der das Laufwerk nach 5-99 Minuten Inaktivität automatisch wieder sperrt, ist ebenso optional verfügbar. Ein "bootable Mode", in dem das Laufwerk sich bei einem Reboot des PCs nicht automatisch sperrt (wenn man ein Live-Betriebssystem davon starten möchte) existiert auch. Des Weiteren lässt sich ein sogenannter „Selbstzerstörungs-PIN“ aktivieren, welcher, statt des Benutzer-Schlüssels eingegeben, mit sofortiger Wirkung alle Dateien vernichtet - wie der Brute-Force-Schutz. Falls jemand den Benutzer zwingt seine sensiblen Daten preiszugeben, könnte er vortäuschen hier nachzugeben, aber in Wahrheit alle Dateien unwiderruflich zerstören. Ob dies in einer solchen Extremsituation mit offenbar derart wertvollen Dokumenten der klügste Schachzug ist, lassen wir dahingestellt – technisch wurde sogar für solche Fälle vorgesorgt. Auch die Firmware-Revision ist direkt auf der diskAshur² prüfbar, ohne dass dafür eine PC-Software nötig wäre. Vom Benutzer aktualisierbar ist sie (vermutlich aus Sicherheitsgründen) jedoch nicht. Wir vermuten, dass iStorage im Falle einer kritischen Sicherheitslücke die Geräte zurückrufen, aktualisieren oder ersetzen würde.

Zwischen-Fazit

Die Bedienung des datAshur PRO² mag hier in der stark verkürzten Beschreibung verwirrend klingen, ist aber dank des hervorragenden Handbuchs und der Tatsache, dass man nach dem anfänglichen Einrichten nur mehr die gänzlich unkomplizierten Entsperr-Vorgänge wissen muss, im Alltag kein Problem. Wir begrüßen es, dass der Hersteller sämtliche Einstellungen lokal umgesetzt hat und nichts über eine Software am Rechner gemacht werden muss. Dies limitiert den Kunden einerseits nicht bei seiner Auswahl an Betriebssystemen und verhindert andererseits weitere Sicherheitslücken. Das Laufwerk kommuniziert mit dem PC ausschließlich nach Eingabe des PINs und selbst dann nur als Wechseldatenträger ohne weitere Daten-Schnittstellen, die wir hätten finden können. Das senkt natürlich das Risiko eines Hacks oder einer Malware-Infektion deutlich. Passwort-Eingabe direkt am Gerät schützt darüber hinaus auch vor potenziellen Keyloggern am Rechner.

Leider ist die Funktion, das Laufwerk direkt über das Tastenfeld zu sperren, beim datAshur PRO² nicht mehr vorhanden - um dieses zu sperren, muss es entweder im Betriebssystem ausgeworfen oder physisch vom USB Port entfernt werden. Ersteres ist natürlich vorzuziehen, da in dem Falle aktuell noch laufende Datenübertragungen abgeschlossen und keine Dateien korrumpiert werden können.

Tipps zu Passwörtern

Die beste Verschlüsselung hilft nicht, wenn sie mit einem schwachen PIN geschützt ist – doch wie sieht ein sicheres Kennwort aus? Allzu einfache Kombinationen (beispielsweise 1-2-3-4-5-6-7 oder 2-2-2-2-2-2-2) blockiert die diskAshur² selbst. Eine PIN bestehend nur aus sequenziellen Ziffern ist ebenso wenig erlaubt, wie lauter gleiche. Im Kapitel „Ändern der Admin-PIN“ gibt der Hersteller selbst Tipps für sichere Passwörter. Auf den Tasten sind neben Zahlen auch Buchstaben - wie bei Mobiltelefonen - abgebildet. Diese kann man verwenden um Wörter oder Sätze in Zahlen „umzuwandeln“.

So wird das Beispiel „iStorage“ genannt, welches folgendermaßen aussieht:
Taste 4 (ghi) -> Shift+7 (PQRS) -> Taste 8 (tuv) -> Taste 6 (mno) -> Taste 7 (pqrs) -> Taste 2 (abc) -> Taste 4 (ghi) -> Taste 3 (def).
Ebenso kann man sich einen Satz ausdenken und die Anfangsbuchstaben der Wörter verwenden. Wir haben für den Testzeitraum „This is my top secret hard disk drive“ verwendet: Shift+8 (TUV) -> Taste 4 (ghi) -> Taste 6 (mno) -> Taste 8 (tuv) -> Taste 7 (pqrs) -> Taste 4 (ghi) -> Taste 3 (def) -> Taste 3 (def).

Diese Passwörter sind zwar nicht so sicher wie eine rein zufällige Zahlen-Kombination, dafür aber einfacher zu merken. Für maximale Sicherheit empfiehlt es sich, dass man Wörter verwendet, welche sich nicht einfach mit der Person in Verbindung bringen lassen. Davon, den Namen des Haustiers oder des Ehepartners, die Wohnadresse oder das Geburtsdatum in Zahlenform zu nehmen, raten wir dringend ab! In dem Fall hilft auch die Verschlüsselung des Laufwerks wenig. Für gute Kennwörter könnte man beispielsweise ein Wörterbuch auf einer zufälligen Seite aufschlagen und das erste Wort mit geeigneter Länge als Passwort wählen – nur als Tipp!

Verschlüsselung und Sicherheit

Da die Verschlüsselung der zentrale Kaufgrund für das Laufwerk sein dürfte, widmen wir dieser natürlich eine eigene Seite (welche allerdings aufgrund beinahe identischer Spezifikationen weitestgehend mit unserem früheren Test zum diskAshur² übereinstimmt). Wie bereits beim Abschnitt der Bedienung angesprochen, muss man am Tastenfeld ein Passwort eintippen, um Zugriff auf die Dateien des Speichers zu erhalten. Doch wie sicher ist iStorages Verschlüsselung tatsächlich? Dies haben wir im Folgenden etwas genauer unter die Lupe genommen. Während des 35. chaos communication congress (35c3 – eine mehrtägige, in Deutschland ausgetragene Veranstaltung, bei der sich die internationale Hackerszene trifft und welche vom Chaos Computer Club (CCC) ausgerichtet sowie auch organisiert wird) gab es einen interessanten Talk zum Thema „self encrypting devices", also sich selbst (in Hardware) verschlüsselnder Laufwerke. Konkret ging es dort um die Implementierung von Verschlüsselung (primär TCG-Opal) in Samsung und Crucial SSDs. Die versprochene Sicherheit konnte bei diesen Produkten kaum eingehalten werden und manche Laufwerke hielten dem PhD Studenten Carlo Meijer lediglich einige Minuten stand, bis er die Schutzmechanismen schlussendlich aushebelte.

Im Vergleich zu diesen Implementationen ist die datAshur PRO² allerdings schon im Ansatz deutlich sicherer. In erster Linie kommuniziert sie erst nach vollzogener Verschlüsselung mit dem Rechner. Ebenso muss sie nicht den TCG Opal Standard erfüllen, welcher eine sichere Verschlüsselung dank sehr komplexer Feature-Anforderungen deutlich erschwert (siehe den oben verlinkten Talk). Doch fangen wir am Anfang an.

Spezifikationen

Die datAshur PRO² hat einen eigenen Prozessor für Verschlüsselung, welcher Common Criteria EAL4+ zertifiziert ist. CC ist ein internationaler Zusammenschluss von Organisationen mit dem Ziel, die Sicherheit von IT-Produkten zu überprüfen. Während niedrigere Stufen nur oberflächliche Tests erfordern, muss für EAL4(+) bereits ein erheblicher Aufwand vom Hersteller getrieben werden, um die Anforderungen zu erfüllen.

Einige Zertifikate des Laufwerks

Die Verschlüsselung basiert auf einem sehr sicheren AES-XTS 256 bit Algorithmus, welcher FIPS PUB 197 zertifiziert ist. FIPS („Federal Information Processing Standards“) sind von der US-Regierung für Regierungs-Systeme zugelassene Standards, welche natürlich aufwändige Evaluierungen benötigen, ehe sie als solche freigegeben werden. Der Prozessor verfügt über eine mehrstufige "Tamper Protection", also Schutz gegen unerlaubte, physische Modifikation. In erster Ebene der Elektronik sind alle sicherheitsrelevanten Komponenten mit einem speziellen Epoxid-Harz überzogen, welches sich nur sehr schwer zerstörungsfrei ablösen lässt - und auf jeden Fall nicht ohne sichtbare Spuren. In zweiter Ebene schützt sich dann der Prozessor selbst gegen Beeinflussung über beispielsweise angelötete Kontakte, mit welchen ein Angreifer versuchen könnte, Daten mitzulesen oder zu verändern. Auch gegen Versuche, über den Verlauf der Stromaufnahme (DPA/SPA Angriffe) oder kontaktloses Auslesen von elektromagnetischen Feldern des Chips (DEMA/SEMA). Wie dies im Detail umgesetzt ist wird leider nicht erläutert.

Zusammengefasst verspricht iStorage auch bei diesem Gerät sehr viel, kann dies aber auch durch offizielle Zertifikate, welche im Normalfall langwierig und kostenintensiv zu erhalten sind, belegen. Das verspricht eine gut umgesetzte und zuverlässige Datensicherheit. Interessant wäre hier auch eine Open Source Implementation, sodass sich jeder interessierte potenzielle Kunde mit dem nötigen Fachwissen selbst überzeugen könnte. Wir verstehen aber natürlich, dass iStorage als gewinnorientiertes Unternehmen ungern ihr gesamtes Know-How öffentlich stellt. Zudem macht es eine Veröffentlichung aller sicherheits-relevanten Details auch für Hacker einfacher, Fehler zu finden und auszunutzen, als wenn die genaue Funktion nicht näher bekannt ist - "security through obscurity" zusätzlich zu einer an sich bereits durchdachten Implementierung. Je weniger zu einer Technologie bekannt ist, desto niedriger ist die Wahrscheinlichkeit, dass jemand eventuell vorhandene Lücken auch tatsächlich findet und ausnutzt.

Abschließende Gedanken

Ohne mechanisches Zerstören des Laufwerks in Kauf zu nehmen und über ausgiebiges Fachwissen in Kryptographie zu verfügen, können wir natürlich lange nicht alle Features und Aussagen überprüfen, aber ob der datAshur PRO² sich bereits vor dem Entsperren in irgendeiner Weise beim PC meldet, haben wir getestet. In erster Linie sind offene Debug- oder Update-Schnittstellen über USB Einfallschneisen für Angreifer. Auch, dass herkömmlich verschlüsselte Festplatten oft auf ein Passwort über USB warten, kann eine Schwachstelle sein, indem man entweder mit Keyloggern das Passwort mitschneidet oder aber indem ein Hacker automatisiert über USB sogenannte Brute-Force-Angriffe durchführt. Um zu checken, ob das Laufwerk eine potentielle Schwachstelle über USB haben könnte, haben wir es mit unseren Testrechnern (Arch Linux und Windows 10 Education) verbunden und überprüft, ob es vor der Passwort-Eingabe als USB Gerät aufscheint. Tatsächlich taucht es weder im dmesg unter Linux noch im Geräte-Manager unter Windows auf, ehe nicht das Passwort direkt am Gerät eingegeben wurde, und meldet sich danach nur als Datenträger. Nach erneutem Sperren verschwindet es wieder komplett als USB-Gerät.

Im dmesg kann man erkennen, dass sich die datAshur PRO² erst nach dem Entsperren meldet. Danach erscheint er als „usb-storage“ (USB Speichermedium) und taucht anschließend als „uas“ (USB attached SCSI, eine über USB verbundene Festplatte) auf.

Gleiches Verhalten findet sich auch im Windows Geräte-Manager wieder, der Stick erscheint erst nach dem physikalischen Entsperren per PIN-Eingabe. Vor dem Anstecken sieht der Geräte-Manager so aus wie auf dem ersten Bild - keine Spur des soeben angesteckten USB Laufwerks. Nach dem Entsperren hingegen zeigte sich uns das rechte Bild, wo man den Stick einmal als USB-Massenspeichergerät und einmal als "Tragbares Gerät" aufgelistet vorfindet. Nach Sperren (durch "Auswerfen" in Windows) verschwinden wieder alle Einträge bis er erneut entsperrt wird.

datAshur PRO² im Praxistest

Wie auch schon den diskAshur² haben wir auch dieses Sample etliche Wochen im Alltagseinsatz getestet - sei es zu Hause am Stand-PC als auch unterwegs am Notebook. Der positive Eindruck des letzten Geräts aus dem Hause iStorage wurde dabei durchweg bestätigt. Dabei fiel - erneut - vor allem der absolut unproblematische Einsatz an Windows- und Linux Rechnern, sowie sogar an Android-Smartphones mit Adapter auf.

Unsere Eindrücke der Bedienung und Verschlüsselung haben wir bereits auf den vorhergehenden Seiten im Detail beleuchtet, deshalb möchten wir uns auf dieser Seite eher auf die Leistungs-Daten beschränken und euch sowohl mit synthetischen Benchmarks als auch realitätsnahen Messungen zeigen, was das Laufwerk abgesehen von der Verschlüsselung so drauf hat. Dabei wurden wir leider nicht ganz so positiv überrascht wie noch bei der Festplatte. Für einen USB3.2 Stick ist der datAshur PRO² leider nicht auffallend schnell. Die große Speicherkapazität (bis zu 512 Gigabyte!) und der Mikroprozessor für die Verschlüsselung benötigen wohl so viel Platz im Inneren des schlanken Sticks, dass ein Kompromiss bei der Geschwindigkeit gewählt werden musste.

CrystalDiskMark:

Das erste unserer Benchmarks tätigen wir mit dem Tool "CrystalDiskMark", parametrieren das Messprogramm so, dass es aus fünf Mess-Durchgängen die Mitte bildet und beginnen anfangs mit einer Testdateigröße von 50 MiB, die mit allen Testprozeduren beschrieben und von der gelesen wird. Wir simulieren dabei also kurzweilige Lese- und Schreibdurchgänge. Die Ergebnisse spiegeln an dieser Stelle die Leistung wieder, wie sie zum Beispiel beim Kopieren vieler kleinerer Dateien oder auch bei der Arbeit mit einem Betriebssystem zu erwarten sind. Im Anschluss starten wir selbigen Test mit einer 1 GiB großen Testdatei, um möglichst genaue Testwerte auch über einen längeren Messzeitraum der Transferarbeit zu erhalten. Je länger ein Test dauert, also je größer die Testdatei desto genauere Durchschnitts-Messwerte bekommt man. Allerdings taugt dies nur für die Beurteilung bei größeren Dateien, denn hierbei fehlen die vielen zugehörigen System-Anweisungssequenzen, welche eine Übertragung sehr stark abbremsen können. Da die Messwerte recht stark schwanken, haben wir auf zwei Testrechnern jeweils 3 solcher Durchläufe gestartet und anschließend die Mittelwerte aus allen Messungen für das Diagramm verwendet.

Nachfolgend wollen wir Euch noch kurz die vier Messvorgänge erklären:

  • Seq Q32T1: Es werden Daten in der fixen Blockgröße von 128 KB sequentiell, also zusammenhängend, mit 32 zeitgleich gestarteten Anfragen (Queues) und einer Sequenz von Anweisungen (1 Thread) übertragen.
  • 4K Q32T1: Die Daten werden mit einer Blockgröße von 4 KB an zufälligen (einzelnen) Speicherstellen der Festplatte mit 32 zeitgleich gestarteten Anfragen (Queues) und einer Sequenz von Anweisungen (1 Thread) übertragen.
  • Seq: Dieser Test sagt aus, wie schnell eine große und zugleich zusammenhängende Datei übertragen wird (sequentiell = fortlaufend/nacheinander) – Blockgröße: 1 MB, 1 Thread.
  • 4K: Dieser Test sagt aus, wie schnell eine kleine 4-KB-Datei übertragen wird – 1 Queue, 1 Thread. Hinweis: Große und zusammenhängende Dateien lassen sich grundsätzlich mit höherer Transferleistung, also schneller, übertragen als viele Kleine. Zum einen liegt das an der Kontinuität des Datentransfers und zweitens an den deutlich weniger mitgesendeten Anweisungen, welche verarbeitet werden müssen.

Ergebnisse:

Crystal Disk Mark Messungen des Laufwerks

Beurteilung:

iStorage gibt 130 MB/s Lese- und 116 MB/s sequenzielle Schreibgeschwindigkeit an. Während unsere Messungen interessanterweise zwischen 50 MiB und 1GiB Testdateien auch über mehrere Messungen hinweg beinahe identisch ausfallen, bleiben sie doch deutlich unter den Herstellerangaben zurück. Woran dies liegt, wissen wir nicht - wir haben es auch an einem anderen Rechner gegen-geprüft. Es könnte sein, dass (wie auch manchmal bei SSDs) erst das größte Modell die volle Bandbreite erreicht. Trotzdem ist die gemessene Bandbreite für die meisten Aufgaben mehr als nur ausreichend - Kinofilme überträgt man mit so einem Laufwerk ohnehin selten, sondern in erster Linie wichtige Dokumente. Dafür lief das Laufwerk auch über etliche Durchgänge ohne Unterbrechung hinweg stabil mit den beinahe identischen Transferraten. Dies spricht dafür, dass Speicher und Prozessor sinnvoll gekühlt sind, und das Laufwerk nicht nur blitzschnelle Caches aufweist. Solche ergeben in Benchmarks tolle Werte, aber laufen im Alltag schnell voll, woraufhin die Ergebnisse einbrechen. Unter diesen Problemen leidet der Testkandidat nicht - die Performance ist nicht herausragend, dafür aber stabil.

Praxisnaher Kopiertest mit Zeitmessung

Die ganzen synthetischen Werte sagen einem Laien oftmals aber nichts darüber aus, ob und wie schnell sich das Speichermedium zum Beispiel während der eigenen Nutzung oder beim Kopieren von Bildern oder Videos eignet. Schließlich ist dieses Szenario die Hauptaufgabe eines (gewöhnlichen) USB-Sticks, er soll Daten in einer möglichst kurzen Zeitspanne lesen und schreiben können. Um dieses für unsere Anwender zu testen, kopieren wir mehrfach 250 Bilder und ein Video auf und von dem Laufwerk und notieren dabei die dafür benötigte Durchschnittszeit nach jeweils fünf Durchgängen.

Beurteilung:

Nachdem der Stick im (sequenziellen) synthetischen Test deutlich hinter den verglichenen Drehscheiben lag, konnte er im praxisnahen Test ein wenig überraschen, da er stark aufholen und manche Konkurrenten hinter sich lassen konnte. Vor allem das Schreiben/Lesen der Fotos (also vieler, kleinerer Dateien) zeigte klar die Stärken des Flash-Speichers gegenüber dem mechanischen Speicher mit höheren Zugriffszeiten auf. Wenn man noch mehr und kleinere Files schreibt, wäre dies noch stärker ausgeprägt. Bei einer Vielzahl von winzigen Files, wie Textdokumenten oder (oft) Programm-Ordnern mit verteilten Dateien, könnte der datAshur die Konkurrenz in diesem Vergleich sogar hinter sich lassen. Gegen schnelle USB3 Flashlaufwerke hingegen hätte der Kandidat auch hier keine Chance. Hier rächt sich wohl die hohe Packungsdichte von komplexer Elektronik im kleinen Formfaktor.

Auch, wenn die Ergebnisse hinter den offiziellen Angaben zurückliegen, ist die Performance im Alltag solide und für die meisten potenziellen Anwendungsbereiche ausreichend. Dokumente laden ohne bemerkbare Verzögerung vom und auf den Stick, und unser Test-System (Archlinux) bootete beinahe ebenso schnell wie von der internen Samsung 860 Evo SSD im Testnotebook.

Moritz Plattner meint …

Moritz Plattner

iStorage liefert erneut ein durchdachtes und wirklich spannendes - wenn auch nicht ganz günstiges - Nischenprodukt. Aber, wie schon beim Schwestermodell, finden wir den Preis durchaus gerechtfertigt. Die sehr sichere (und durch kostenintensive Zertifikate bestätigte) Verschlüsselung, die ihresgleichen sucht, hochwertige Verarbeitung und die Tatsache, dass das Produkt in Europa entwickelt und gebaut wird, relativieren den hohen Preis unserer Meinung nach sehr schnell wieder.

Der datAshur PRO² ist kein USB-Laufwerk, um mal eben die Urlaubsfotos zur Druckerei zu tragen, oder einem Freund ein neues Album mitzubringen. Es ist ein hochsicherheits-USB-Laufwerk, um wichtige Dokumente, Private-Keys oder Zertifikate, oder direkt ein ganzes vor Ort bootbares Live-Betriebssystem mit Anwendungen und Passwörtern geschützt zu transportieren. Wenn man dabei nur auf eigenen Rechnern arbeitet, gibt es mehrere sichere (open oder closed source) Softwarelösungen als kostengünstigere Alternative. Sobald hingegen verschiedene Betriebssysteme oder fremde Rechner, auf denen man nichts installieren kann, sowie PCs auf denen unter Umständen Keylogger vorhanden sein könnten ins Spiel kommen, zeigt iStorage mal wieder ihre Stärken. Da man das Laufwerk wahlweise schreibgeschützt, oder mit Schreibzugriff entsperren kann, sogar noch mehr als ihr großer Bruder mit Festplatte. Die potenziellen Kunden werden wohl größtenteils Regierungen, größere Unternehmen oder Forschungseinrichtungen sein, und für die spielt der einmalige Anschaffungspreis meist auch nur eine untergeordnete Rolle, solange das Produkt passt - und das tut es!

Im Alltag hat sich der datAshur PRO² als zuverlässig und ausreichend schnell erwiesen. Das riesige Speicher-Angebot bei den kompakten Maßen sowie die tolle Verarbeitung wussten zu überzeugen. Eine nette Beigabe ist der robuste Aluminium-Sleeve, mit dem das Laufwerk sogar spritzwasserfest wird, der aber auch gut gegen mechanische Einwirkungen schützt.

Negativ aufgefallen sind uns erneut nur Kleinigkeiten. Wir würden uns - wieder - einen Platz für die eigene Adresse und/oder Namen auf dem Typen-Aufkleber auf der Unterseite wünschen, sodass man die Laufwerke ohne hässliche Aufkleber beschriften kann. Dass iStorage nun eine individuelle Laser-Gravur für Laufwerke und Sleeves anbietet ist aber ein guter Schritt, der den Kritikpunkt beinahe obsolet macht. Mit gemischten Gefühlen lässt uns aber auch der Datendurchsatz zurück. Während er für unsere Zwecke stets ausreichend war, hätten wir uns doch erwartet, dass das Laufwerk seine Nennleistung erbringen kann.

Zusammenfassend haben wir es mit einer hervorragenden Ergänzung des iStorage Portfolios zu tun, die ihren Aufgabenbereich mit Bravour erfüllt und uns im Alltag sehr überzeugt hat.

  • Positiv
  • Sichere Verschlüsselung
  • Software-freier Betrieb mit beinahe jedem Betriebssystem
  • Hervorragende Verarbeitung
  • Durchdachtes Design
  • Produktion und Entwicklung in der EU
  • Neutral
  • Negativ
  • Hoher Preis pro GB

Weiterführende Links

VG Wort
  • 0 Beiträge

  • Deine Meinung hinzufügen

  • Falsches oder unvollständiges Ergebnis

Diese Seite verwendet Cookies zur Darstellung und für Funktionen aller angebotenen Inhalte. Nutzt du diese Website ohne Einstellungen zu setzen weiter, erklärst du dich mit den gesetzten Einstellungen einverstanden. Ausführliche Informationen und Hinweise sind unter Datenschutz beziehungsweise im Impressum nachlesbar.

Datenschutzeinstellungen

Einige Cookies sind essenziell und können nicht deaktiviert werden. Ohne diese würde die Webseite zu keinem Zeitpunkt funktionieren. Andere hingegen helfen zwar zur Optimierung, können allerdings nachstehend per Klick aktiviert oder deaktiviert werden.

Notwendig
Statistiken
Details

Cookies sind kleine Textdateien, die von Webseiten verwendet werden, um die Benutzererfahrung effizienter zu gestalten. Laut Gesetz können Cookies auf deinem Gerät gespeichert werden, wenn diese für den Betrieb dieser Seite unbedingt notwendig sind. Für alle anderen Cookie-Typen kann deine Erlaubnis gegeben oder entzogen werden.

Notwendige Cookies

Name Anbieter Zweck Ablauf Typ
PHPSESSID Tech-Review Dieses Cookie ermöglicht es, die Onlineaktivitäten einer einzelnen Browser-Sitzung bzw. einen Nutzer eindeutig zuordnen. Sitzungsende HTTP
cookieApprovement Tech-Review Speichert, ob der Nutzer den Konfigurationsprozess der Cookies bereits abgeschlossen hat oder nicht. 30 Tage HTML

Optionale Cookies

Name Anbieter Zweck Ablauf Typ
mtm_consent Tech-Review Dieses Cookie wird angelegt, wenn der Erhebung von Statistiken zugestimmt wurde. circa 6 Monate HTML
mtm_consent_removed Tech-Review Dieses Cookie wird angelegt, nachdem die Zustimmung widerrufen wurde. Sitzungsende HTML
_pk_id Tech-Review Dieses Cookie dient zum Speichern einiger Details zum Benutzer, z. B. der eindeutigen pseudonymisierten Besucher-ID. 13 Monate HTML
_pk_ref Tech-Review Attributionsinformationen werden gespeichert, die der Referrer ursprünglich zum Besuch der Website verwendet hat. 6 Monate HTML
_pk_ses, _pk_cvar, _pk_hsr Tech-Review Dieses Cookies speichert Daten für den Besuch vorübergehend. 30 Minuten HTML
_pk_testcookie Tech-Review Dieses Cookie wird einmalig verwendet, um zu überprüfen, ob der Browser des Besuchers Cookies unterstützt. Danach wird dieses sofort gelöscht. 1 Minute HTML