Verschlüsselter USB-Stick ohne Software: Hardware-PIN für Firmendaten

Warum Software-Verschlüsselung nicht reicht

Klassische Sticks von SanDisk, Samsung oder Kingston werden oft mit “AES-256 Verschlüsselung” beworben. Was meistens dahintersteht: Eine kostenlose Software, die der Hersteller mitliefert (SanDisk SecureAccess, Kingston DataTraveler Locker), oder die Empfehlung, BitLocker (Windows) oder FileVault (Mac) zu nutzen. Das Problem:

1. Software muss installiert sein. An gesperrten Firmen-PCs, Cyber-Cafés oder Druckerei-Workstations darfst du keine Software installieren — der Stick bleibt unzugänglich.
2. Plattformabhängig. BitLocker-verschlüsselte Sticks öffnen sich am Mac nicht ohne Zusatzsoftware. FileVault-Sticks am Windows-PC ebenfalls nicht.
3. Schwachstelle Passwort-Eingabe. Wenn du das Passwort am fremden Rechner eintippst, kann ein Keylogger es mitschneiden — und der Stick ist offen.
4. Compliance-Probleme. Datenschutz- oder Branchenvorgaben (DSGVO, KBA, FIPS, ISO 27001) verlangen oft zertifizierte Hardware-Verschlüsselung — Software erfüllt das in vielen Fällen nicht.

Hardware-verschlüsselte Sticks lösen alle vier Punkte: Die Verschlüsselung läuft komplett in einem dedizierten Krypto-Chip im Stick. PIN-Eingabe direkt am Stick (PIN-Pad oder Touch-Screen). Kein Treiber, keine App, keine Plattformabhängigkeit.

Drei realistische Empfehlungen

1. Apricorn Aegis Secure Key 3NX — der Standard

Der Apricorn Aegis Secure Key 3NX ist der Klassiker im PIN-Pad-Segment. Robustes Aluminium-Gehäuse mit gummierter Tastatur (10 Ziffern + Tasten). PIN zwischen 7 und 16 Stellen. AES-256 XTS Hardware-Verschlüsselung, FIPS 140-2 Level 3 zertifiziert.

Schnittstelle. USB-A 3.2 — reale ~190 MB/s lesen, ~160 MB/s schreiben.

Sicherheit. Brute-Force-Schutz: Nach 10-20 Fehlversuchen (konfigurierbar) wird der Stick komplett zurückgesetzt — alle Daten gelöscht. Read-Only-Modus über spezielle Tastenkombination aktivierbar (Schreibschutz). Optional getrennte Admin- und User-PIN. Forced-Enrollment-Modus: Admin legt PIN-Policy fest.

Praxis. Funktioniert ohne Treiber an Mac, Windows, Linux, an gesperrten Firmen-PCs, an embedded Systemen mit USB-Host. Kapazitäten 16 GB - 1 TB.

2. Kingston IronKey D300 — größere Kapazitäten

Der Kingston IronKey D300 (bzw. der Nachfolger Vault Privacy 50) ist die Alternative aus dem Hause Kingston. Im Gegensatz zum Apricorn-PIN-Pad-Stick erfolgt die Authentifizierung beim D300 über die “Crypto-Card” mit separatem Mini-Display und Tasten — gleiches Prinzip, plattformunabhängig.

Schnittstelle. USB-A 3.0 — reale ~250 MB/s lesen, ~85 MB/s schreiben.

Sicherheit. AES-256 XTS Hardware. FIPS 140-2 Level 3. Brute-Force-Schutz mit konfigurierbarer Anzahl Fehlversuche. Tamper-Evident-Gehäuse — Manipulationsversuche sind sichtbar. Eingegossene Elektronik (Epoxidharz) verhindert Hardware-Angriffe.

Praxis. Plattformunabhängig, kein Treiber. Kapazitäten 16 GB - 128 GB. Beliebt bei Behörden, Anwälten, Steuerberatern, im Gesundheitswesen.

3. DataLocker Sentry K350 — mit E-Ink-Display

Der DataLocker Sentry K350 fällt durch sein integriertes E-Ink-Touch-Display auf. Statt PIN-Pad gibt der Nutzer die PIN über das Display ein — das hat zwei Vorteile: Die Tastenposition wechselt zufällig (kein Wear-Pattern auf den Tasten), und das Display zeigt Status, Speicherbelegung und Geräte-Logs an.

Schnittstelle. USB-A 3.2 — reale ~310 MB/s lesen, ~140 MB/s schreiben.

Sicherheit. AES-256 XTS Hardware. FIPS 140-2 Level 3 zertifiziert. Anti-Malware-Funktion: Stick scannt sich beim Anstecken selbst. Remote-Management über DataLocker SafeConsole optional (Cloud-Verwaltung in Firmen).

Praxis. Höchstes Tempo unter den Hardware-verschlüsselten Sticks. Kapazitäten 16 GB - 512 GB. Display-Bedienung ist Geschmackssache — manche bevorzugen physische Tasten.

Worauf solltest du beim Kauf achten?

1. FIPS 140-2: Level 2 vs Level 3. Level 2 = Tamper-Evidence (Manipulationsspuren werden sichtbar). Level 3 = Tamper-Resistance (aktiver Schutz mit Auto-Wipe bei Manipulationsversuch). Für Behörden, Verteidigung, Finanzen ist Level 3 oft Pflicht. Für Firmendaten reicht Level 2 in vielen Branchen.

2. PIN-Pad vs Software-Authentifizierung. Reine PIN-Pad-Sticks (Apricorn) brauchen keinen Treiber — Stick einstecken, PIN eintippen, Stick erscheint als normales Laufwerk. Sticks mit “managed software” (DataLocker SafeConsole, IronKey EMS) erfordern teilweise Software auf zumindest einem Verwaltungsrechner — das geht aber meist trotzdem ohne Software auf dem Endgerät selbst.

3. Brute-Force-Schutz. Standard sind 10-20 Fehlversuche bis zum Auto-Wipe. Manche Sticks erlauben Konfiguration. Wichtig: Was passiert beim Auto-Wipe? Die meisten löschen nur den Crypto-Key (Daten sind dann unleserlich) — das geht in Sekunden. Komplettes Überschreiben dauert Stunden und ist selten nötig.

4. Akku-Lebensdauer. PIN-Pad-Sticks haben einen kleinen Akku, der über USB geladen wird. Apricorn gibt 5-10 Jahre Lebensdauer an — danach ist der Stick unbrauchbar. Daher wichtig: Backups der gespeicherten Daten extern sichern, regelmäßig anstecken (lädt Akku).

5. Größe und Robustheit. Hardware-Sticks sind alle deutlich größer als Standard-USB-Sticks (oft 8-10 cm lang, mit Aluminium-Gehäuse). Sie sind nicht für Schlüsselbund-Nutzung gedacht — sondern für sichere Aufbewahrung im Aktenkoffer, Tresor oder Schreibtisch.

6. Kapazität und Preis. Ab ~16 GB beginnen die Preise — kleine Modelle sind oft günstiger pro Stück, aber teurer pro GB. Für reine Dokumenten-Backups reichen 16-32 GB. Für komplette Firmen-Datensätze plant man 256 GB oder mehr ein. Faustformel: Hardware-verschlüsselte Sticks kosten 5-10x mehr pro GB als Standard-Sticks.

7. Garantie und Service. Apricorn, Kingston (IronKey-Serie), DataLocker bieten alle deutsche oder europäische Service-Strukturen. Wichtig bei Verlust oder Defekt: Hersteller können den Stick nicht entschlüsseln — Daten sind dann unwiederbringlich weg. Backup-Strategie ist Pflicht.