Datalocker DL4 FE im Test: Eine Festplatte mit Selbstzerstörungsfunktion
DataLocker bietet Datensicherheit auf höchstem Niveau. Mit Soft- und Hardware möchte die Firma wichtige Daten mit allen möglichen Mitteln schützen. Bei den mobilen Speichern der DL4 FE Serie kommen dazu einige ganz besondere Methoden zum Einsatz.
Die Festplatten der DL4-FE-Serie sind nach dem FIPS 140-2 Level 3 Standard und nach IP64 zertifiziert. Das heißt, die Daten werden auf dem Laufwerk nicht nur einfach mit dem AES-256-XTS-Algorithmus verschlüsselt, sondern auch durch viele weitere Maßnahmen geschützt. Dazu zählen ein Gehäuse, das möglichst hohen Widerstand gegen ein unbefugtes Öffnen liefert und erkennen lässt, ob manipuliert wurde, sowie die Passworteingabe am Gerät selbst. Dafür hat die Festplatte einen ca. 6 × 4,5 cm großen farbigen Touch-Bildschirm. Um verräterische Fingerabdrücke zu vermeiden, können Daten mit jedem Objekt auf dem resistiven Bildschirm eingegeben werden, zudem ändern sich nach jeder Passworteingabe die Positionen der Zeichen. Insgesamt fühlt sich die Benutzung der Festplatte so an, als wäre man in einem Agentenfilm gelandet.
DataLocker bietet die DL4 FE in unterschiedlichen Speichergrößen von 500 GB bis 15,3 TB mit SSD- oder HDD-Festplatten an. Bei unserem Testgerät handelt es sich um eine SSD mit einem Terabyte Speicherplatz.
Gehäuse - Sicherheit von Außen nach Innen
Das Gehäuse des Datentresors ist mit 118 × 73 × 16,5 mm etwas größer als üblich und mit 261 g ist die Festplatte zudem kein Leichtgewicht. Aber dafür ist der mobile Hochsicherheitsspeicher nach IP64 staub- und spritzwassergeschützt. Das Zertifikat nach FIPS 140-2 Level 3 erfordert zudem weitere Maßnahmen, die sich deutlich im Gewicht niederschlagen. Die oberen und unteren Abdeckungen aus Aluminium sind spaltfrei mit dem Rahmen aus Hartplastik verklebt. Dies soll ein Eindringen in das Gehäuse deutlich erschweren. Weiterhin sind im inneren alle Hardwarekomponenten in ein Epoxidharz vergossen. Zerstörungsfrei führt kein Weg an den Kryptografie-Chip oder die Festplatte im Inneren.
Zum Anschluss an einen Computer oder ein anderes Gerät, das mindestens USB 2.0 versteht, gibt es an der hinteren Seite eine USB-C Buchse. Zum Sichern der Festplatte kann zudem ein Kabelschloss oder Ähnliches an dem Kensington-Sicherheits-Slot befestigt werden.
Zubehör
Im Karton der Festplatte befanden sich bei uns zwei USB-Kabel, und eine Neopren-Tasche, mehr nicht. Keine Zettel, keine Anleitung. Beides braucht die Festplatte, welche an gewerbliche Kunden verkauft werden soll, nicht. Alle wichtigen Informationen stehen auf dem Karton. Die Einrichtung der Festplatte ist selbsterklärend.
Als Zubehör von DataLocker lässt sich noch das Programm SafeConsole nennen, mit dem der verschlüsselte Datenspeicher aus der Ferne verwaltbar ist.
Sicherheit - Die DL4 FE hat eine Selbstzersörungsfunktion
Die DL4 FE kann sowohl im Einzelbetrieb als auch in Verbindung mit dem Programm SafeConsole von Datalocker betrieben werden. Im Einzelbetrieb kann die Festplatte uneingeschränkt mit jedem System, das USB-Massenspeicher nutzen kann, eingesetzt werden. Durch die Passworteingabe auf dem Touchscreen der Festplatte ist keine weitere Software nötig, um diese zu entschlüsseln. Damit hat die Festplatte ein wesentlich breiteres Einsatzfeld als die von uns vorgestellten Softwarelösungen für die Verschlüsselung von Daten. Sollte die mobile Festplatte für die Verwendung mit der SafeConsole aktiviert werden, bringt dies einige Vorteile für die Sicherheit, aber unter Umständen auch Nachteile, was die Konnektivität angeht. Für die Verwendung der SafeConsole ist eine extra Lizenz nötig.
Die DL4 FE von Datalocker ist dabei von unabhängigen Institutionen auf ihre Sicherheit geprüft worden und nach den Standards FIPS 140-2 Level 3 und CC EAL 5+ zertifiziert. Dies sorgt dafür, dass man sich im Falle eines Verlusts der Festplatte sicher sein kann, dass es Unbefugten so schwer wie nur möglich gemacht wird an die Daten zu gelangen.
Einzelbetrieb
Alle Dateien auf der Festplatte werden immer mit dem modernen AES-256-XTS-Algorithmus verschlüsselt. Die offensichtlicheren Sicherheitsfeatures der DataLocker DL4 FE sind die Passworteingabe und das robuste Gehäuse. Allerdings gibt es noch viele weitere Funktionen, die die Sicherheit der Daten auf der Festplatte garantieren sollen. Das wohl spannendste Feature ist die Selbstzerstörungsfunktion. Nach zu vielen Fehleingaben des Passworts kann sich die Festplatte selbst unbrauchbar machen, wenn dies so konfiguriert wurde. Dabei wird nicht nur einfach der kryptografische Schlüssel, der auf einem der Chips im Gehäuse sicher verwahrt wird, gelöscht, sondern die komplette Firmware. Durch das Löschen der Firmware kann die Festplatte anschließend nicht mehr benutzt werden, von Computern wird sie nicht erkannt. Die Ingenieure von DataLocker behaupten, eine neue Firmware auf das Gerät zu spielen sei unmöglich.
Nach jeder Passworteingabe ändern sich die Positionen von Buchstaben und Zahlen auf dem Bildschirm, somit werden Rückschlüsse auf das Passwort durch Fingerabdrücke erschwert. Nur bei der ersten Ersteinrichtung sind die Buchstaben und Zahlen sortiert. Sobald die Festplatte das erste Mal gestartet wird, muss ein Passwort festgelegt werden. Da es sich bei diesem Passwort um das Administratorpasswort handelt, verlangt die Festplatte für dieses Passwort auch eine gewisse Komplexität. "1111AAAA" funktioniert beispielsweise nicht! Der Administrator kann anschließend weitere Sicherheitsrichtlinien festlegen und ein Benutzerkonto anlegen.
In den Sicherheitsrichtlinien kann zum Beispiel festgelegt werden, nach wie vielen Fehleingaben die verschlüsselte Festplatte auf Werkseinstellungen zurückgesetzt werden soll, oder ob gleich die komplette Firmware gelöscht wird (Selbstzerstörung). Weiterhin kann der Administrator die Passwortkomplexität und -Länge für Benutzer festlegen, einstellen, nach wie vielen Minuten der Inaktivität sich das Laufwerk sperrt und ob die Dateien auf der Festplatte verändert werden dürfen. Auch die Tastentöne können vom Administrator ausgestellt werden, denn diese könnten Beobachtern zumindest Rückschlüsse über die Länge des Passwortes geben. All diese Einstellungen und weitere können über den Touchscreen direkt an der Festplatte gesetzt werden.
Menüstruktur der DL4 FE
SafeConsole
Wenn beinahe absolute Kontrolle über die Daten auf einer DL4 FE erlangt werden soll, kann sie in Verbindung mit dem Programm SafeConsole verwendet werden. Mit dieser Server-basierten Anwendung lassen sich an der DL4 FE und an weiteren von DataLocker angebotenen Laufwerken noch einige weitere Anpassungen vornehmen. Zunächst einmal kann der Administrator jederzeit einsehen, wo auf der Welt zuletzt ein bestimmtes Laufwerk eingesetzt wurde. Aus der Ferne lassen sich mit der SafeConsole verwaltete Laufwerke sperren, löschen oder zerstören. Administratoren können ganz genau festlegen, welche Dateitypen auf die Festplatte gelangen dürfen. Beispielsweise könnte man alle Anwendungen (*.exe-Dateien) von der DL4 FE verbannen.
Über Benutzergruppen lassen sich genaue Vorgaben erstellen, was mit einer Festplatte möglich ist und was nicht. Geofencing, Anmeldungen ohne SafeConsole, Veränderung von Dateien und vieles mehr kann eingestellt werden. Sogar die Verwendung mit einzelnen Computern oder in bestimmten Netzwerken kann unterbunden werden.
Des Weiteren kann ein im Management-Programm eingebauter Virenscanner die Festplatte permanent auf ihre Sicherheit überprüfen. Aber auch eine genaue Dateihistorie kann erstellt werden. So kann ganz genau festgestellt werden, ob und wann eine Datei auf einem verwalteten Laufwerk war und ob die Datei verändert wurde.
Für die Verwendung der SafeConsole muss dieses Feature unumkehrbar auf der Festplatte aktiviert werden. Hat mein keine Lizenz für die SafeConsole, ist die Festplatte im ungünstigsten Falle ebenso Elektroschrott wie nach der Selbstzerstörung. Sollte die Lizenz der SafeConsole auslaufen, kann man jedoch vorher die Festplatte für eine Weiterbenutzung entsprechend konfigurieren. Des Weiteren funktioniert das Steuerungsprogramm, welches geöffnet werden muss, um an die Daten zu kommen, nur auf einem Windows-PC mit Internetzugang. Zumindest hin und wieder muss ein mit SafeConsole verwalteter Speicher also an einen Windows-Rechner angeschlossen werden, damit Sicherheitsrichtlinien aktualisiert werden.
Übertragungsgeschwindigkeiten - die DL4 FE übertrifft die Herstellerangaben bei weitem
Die Lese- und Schreibgeschwindigkeiten der Festplatte werden von DataLocker mit bis zu 150 MB/s lesend und 100 MB/s schreibend angegeben. Im Test zeigte die Festplatte allerdings zum Teil wesentlich höhere Übertragungsgeschwindigkeiten. Bis zu 251 MB/s lesend und 238 MB/s schreibend konnte der Benchmark mit MiniTool Partition Wizard feststellen. Allerdings sind die Übertragungsraten der Festplatte stärker als üblich von der Art und Größe der Dateien abhängig. Dies liegt auch an der Verschlüsselung, bei der eine bestimmte Anzahl von Blöcken zu je 128-Bit parallel verschlüsselt werden. Liegt die Größe der einzelnen Dateien bei unter 128 kB fallen die Übertragungsraten. 4 kB große Dateien werden nur noch mit maximal 26 MB/s übertragen.
Auch ASS SSD und ChristalDiskMark bestätigen diese Ergebnisse. Bei der erwartbaren Geschwindigkeit der Festplatte kommt es also stark auf die verwendeten Dateien an. Allerdings ist die Geschwindigkeit der SSD wohl eher ein nachrangiges Kaufkriterium.
Touchdisplay - die DL4 FE hat einen beinahe zu guten Bildschirm.
Die gute Ablesbarkeit des Bildschirms in der DL4 FE ist ein zweischneidiges Schwert. Aus allen Richtungen lassen sich die Zeichen auf dem Bildschirm klar erkennen. Dadurch wird Benutzerfreundlichkeit erhöht, aber es fällt ungewollten Beobachtern dadurch auch leichter Passwörter auszuspähen. Bei hellem Umgebungslicht reicht die ab Werk eingestellte Bildschirmhelligkeit auf Stufe 10 von 30 nicht unbedingt aus, um den Bildschirm noch gut ablesen zu können. Auf voller Helligkeit lässt sich das Passwort aber auch im hellen Sonnenschein eingeben.
Die Bedienung des resistiven Touchscreens erfolgt nach einiger Übung problemfrei, ist allerdings anfangs wirklich gewöhnungsbedürftig. Erschwerend hinzu kommen die ständig wechselnden Orte der Buchstaben und Zahlen bei der Passworteingabe. Mittels eines Eingabestiftes geht die Eingabe leichter von der Hand.
Energieaufnahme - zeigt sich die Verschlüsselung beim Energieverbrauch?
Um möglichst mobil zu sein, sollte die externe Festplatte trotz ihrer Verschlüsselung nicht zu viel Energie aufnehmen um den Akku vom Laptop oder ähnlichem zu schonen. Getestet haben wir die Energieaufnahme mit einem günstigen USB-C-Strom- und Spannungsmonitor, daher sind die Messwerte nicht allzu genau, zeigen aber die Größenordnung der Stromaufnahme. Maximal hat die DL4 FE eine Stromaufnahme von 470 mA bei 5,03 V mit eingeschaltetem Bildschirm auf höchster Helligkeit. Minimal liegt der USB-Speicher entsperrt mit deaktiviertem Bildschirm bei 80 mA. Über mehrere Lese- und Schreibtests hinweg stellte sich ein durchschnittlicher Energieverbrauch von 539 mW (bei deaktiviertem Bildschirm) ein. Damit verbraucht der mobile Datentresor trotz der Verschlüsselung nicht mehr Energie als andere mobile SSD-Speicher. Insgesamt lässt sich feststellen, dass die Stromaufnahme der DL4 FE sowohl unter dem angegebenen Wert von 1500 mA bei 5V liegt als auch weit unter den 2 A, welche ein USB 2.0 Anschluss liefern können sollte. Selbst 500 mA, die viele USB-Anschlüsse von embedded Systemen und Produktionsanlagen wie CNC-Fräsen oder Ähnlichem liefern, werden von dem mobilen Datentresor nicht ausgereizt. Damit zeigt sich ein weiteres Mal das breite Einsatzspektrum der mobilen SSD von DataLocker.
Kompatibilität
Ob man die DL4 FE mit einem bestimmten Gerät betreiben kann hängt beinahe ausschließlich davon ab, wie die Festplatte über die SafeConsole eingestellt ist, wenn aktiviert. Auch dann kann die Festplatte aber richtig konfiguriert immer noch mit allen Geräten, die USB-Massenspeicher und die Formatierung der Daten-Partition verstehen, verwendet werden. Ob Linux-, Windows-, Mac- oder Solaris-Rechner machte im Test keinen Unterschied. Smartphones, 3D-Drucker, Fernseher und FritzBox haben sich auch mit der Festplatte bestens verstanden. DataLockers Versprechen, dass die Festplatte dank der Passworteingabe und der Hardwareverschlüsselung im Gerät höchste Kompatibilität bietet, kann nur bestätigt werden. Allerdings ist für ein breites Kompatibilitätsspektrum eine kleine Anpassung notwendig. Da die Festplatte ab werk auf NTFS formatiert ist, muss sie zum Beispiel auf exFAT umformatiert werden, um breite Anwendbarkeit zu erlangen.
Fazit
Die Frage, welche sich nach dem Test stellt, ist, warum nicht alle Unternehmen, Vereine, Ärzte, Politiker, Journalisten und so weiter, wichtige Daten auf einer verschlüsselten Festplatte wie der DL4 FE sichern. Gerade die Einrichtung im Einzelbetrieb ist so simpel, dass niemand vor einer Fehlbedienung Angst haben muss. Die Festplatte bietet wirklich Kryptografie für alle Anwendungszwecke. Geht die Festplatte einmal verloren, muss man sich zudem keine Sorgen um die Sicherheit der Daten machen. Nach Datenschutz-Grund-Verordnung müsste man wohl nicht mal einen Verlust von Kundendaten auf der Festplatte melden, wenn diese abhandenkommt und ein sicheres Passwort gewählt wurde.
Natürlich könnte die Festplatte hier und da noch sicherer sein, als sie eh schon ist. Paranoide Geister finden unter Garantie noch so einige Knackpunkte. Gerade in Verbindung mit der SafeConsole, muss man sich fragen, ob die dadurch geschaffenen Datenspuren nicht auch Angriffspunkte liefern. Kein (Daten-)Tresor kann absolute Sicherheit liefern und das größte Sicherheitsrisiko sitzt auch bei dieser Festplatte vor dem Computer und klickt niedliche Katzenbilder an. Nur, weil die Festplatte an sich sicher ist, darf man nicht sämtliche andere Sicherheitsmaßnahmen fallen lassen.
Verarbeitung, Stabilität und Konnektivität sind bei der DL4 FE sehr gut. Ob das Design der Festplatte überzeugen kann, ist wirklich zweitrangig. Bei den Datenübertragungsraten kann die DL4 FE nicht mit aktuellen USB-SSD-Speichern mithalten, allerdings wird dies auch klar von DataLocker angegeben. Die Übertragungsgeschwindigkeiten sollten dennoch für alle Anwendungszwecke ausreichend sein. Nur bei größeren Backups muss etwas mehr Zeit für die Sicherheit der Daten in kauf genommen werden.
Preise und Verfügbarkeit
Die DL4 FE ist, auch wenn sie kein Nischenprodukt ist, in Deutschland, Österreich und der Schweiz nur schwer im Laden zu finden und über Preise spricht man dann auch nicht sofort. Sicherheit ist unbezahlbar oder ähnliche Sprüche fallen einem dabei ein. Als Einzelstück liegt unser Testgerät mit einem TB SSD-Speicher wohl zwischen 500 und 600 Euro. Für größere Speicherkapazitäten könnten aber auch mehrere tausend Euro fällig werden.
Für einige Kunden kommen als Händler zum Beispiel. ARP, Bechtle und Dell infrage. Weitere europäische Vertreter können über die Homepage von Datalocker gefunden werden. Auch bei Amazon gibt es die DL4 FE Festplatten. Da dort allerdings keiner der Händler auf der autorisierten Liste, von DataLocker steht, ist die Herkunft der Festplatten zumindest fragwürdig. Prinzipiell sollte eine solche Festplatte, die sicher sein soll wie nur irgend möglich, bis zum Werk in den USA zurückverfolgbar sein.