Festplatten verschlüsseln
Daten verschlüsseln
Digitalcourage-Newsletter abonnieren und ständig auf dem Laufenden bleiben.
Auf die Verschlüsselung digitaler Kommunikation sind wir an andere Stelle bereits eingegangen. Dadurch sind aber noch nicht die auf dem eigenen Rechner ruhenden Daten geschützt. Zum Glück ist der Umgang mit Datei- und Festplatten-Verschlüsselung heutzutage recht einfach.
Warum verschlüsseln?
Neben der Erhöhung der Hürde für Zugriffe von Geheimdiensten, Einreise- und Ermittlungsbehörden bietet eine Verschlüsselung der eigenen Festplatte beziehungsweise der eigenen Daten zunächst den Schutz, dass diese nach einem Diebstahl den Dieben nicht im Klartext in die Hände fallen. Denn neben den eigenen Urlaubsfotos liegen auch Passwörter ungeschützt auf der Festplatte. Bedenken Sie: Immer wenn Sie Ihrem Browser sagen, dass die Zugangsdaten gespeichert werden sollen, liegen diese anschließend irgendwo auf der Festplatte. Das sind zum Beispiel die Zugangsdaten zu Ihrem Online-Banking-Portal, Ihrem liebgewonnenen Online-Shop oder Ihrem bevorzugten sozialen Netzwerk.
Auch die vermeintlich sicherste Datenverschlüsselung kann jedoch gebrochen werden. Neben einer Vielzahl von Angriffsmöglichkeiten auf Hard- und Softwareebene sind schwache Passwörter und nachlässige Nutzung Gefahren, die verschlüsselten Daten drohen. Seien Sie deshalb sorgfältig im Umgang mit den vorgestellten Möglichkeiten und informieren Sie sich genau über die verwendete Software! Außerdem ist eine Festplattenverschlüsselung nur wirksam, während das Gerät ausgeschaltet ist. Lassen Sie Ihr Gerät also möglichst nicht lange unbeaufsichtigt laufen.
Was soll verschlüsselt werden?
Die Daten auf Ihrer Festplatte und in Ihrem Benutzerverzeichnis werden standardmäßig nicht verschlüsselt. Durch das Login-Passwort für das Benutzerkonto wird lediglich der Zugang über das Betriebssystem verwaltet. Benutzen Computerdiebe Ihre Festplatte als normales Speichermedium, beispielsweise als externe Festplatte, umgehen sie die Passwortabfrage und können sich leicht Zugriff zu den Daten verschaffen. Deshalb sollten Sie mindestens Ihr Benutzerverzeichnis, besser noch die gesamte Festplatte verschlüsseln.
Digitalcourage wirkt. Wirken Sie mit!
Wenn Sie die gesamte Festplatte verschlüsseln, wird unter anderem das Betriebssystem verschlüsselt. Das bedeutet: Ohne das richtige Passwort kann Ihr Rechner nicht hochfahren.
Teilen Sie den Computer mit mehreren Nutzer.innen, kann es deshalb sinnvoll sein, stattdessen die einzelnen Benutzerverzeichnisse (engl.: home directory) mit den darin enthaltenen Nutzerdaten (Passwörter, Browsereinstellungen, E-Mails, etc.) zu verschlüsseln. Damit bekommt jede.r Nutzer.in ein eigenes Passwort, und die Daten sind gegenseitig (und nach einem Diebstahl) nicht einsehbar.
Festplatten verschlüsseln
Aktuelle Betriebssysteme bringen die Fähigkeit, Dateien, Partitionen oder die gesamte Festplatte zu verschlüsseln, normalerweise mit. Die verschiedenen Betriebssysteme nutzen dabei unterschiedliche Lösungen:
Android
Android beherrscht die Verschlüsselung der Datenpartition des internen Speichers. Die Systempartition bleibt unverschlüsselt, was aber meist nicht schadet, denn sie ist schreibgeschützt eingebunden und enthält keine Nutzerdaten. Eine evt. vorhandene SD-Karte bleibt ebenfalls unverschlüsselt – es sei denn, man bindet sie in den internen Speicher ein, was ab Android 6 möglich ist.
Um herauszufinden, ob die Geräteverschlüsselung aktiv ist, rufen Sie Einstellungen → Sicherheit (oder manchmal Speicher) auf. Meist ganz oben steht da Verschlüsselung. Wenn da Telefon verschlüsseln: verschlüsselt steht, ist alles in Ordnung. Fehlt diese Option ganz, deutet das ab Android 5 darauf hin, dass Ihr Gerät schon verschlüsselt ist. Mit Android 6 ausgelieferte Geräte sind laut Google immer verschlüsselt.
Wenn Ihr Gerät nicht verschlüsselt ist, denken Sie bitte darüber nach, diese Option zu aktivieren. Planen Sie für die Umstellung ein, zwei Stündchen Zeit ein. Vorher gibt es aber noch einiges zu beachten:
- Vollständige und verschlüsselte Backups anlegen! Entweder Sie übertragen alles über USB-Kabel auf einen anderen Computer. Oder Sie nutzen das Recovery-System Ihres Smartphones, um ein verschlüsseltes Nandroid-Backup auf der SD-Karte zu speichern – das funktioniert z.B. mit TWRP) ab Version 3.0.2 sehr gut und sogar ohne Root-Rechte.
- Akku aufladen und das Gerät am besten am Netzteil lassen.
- Statt eines Entsperrmusters oder anderer Methoden sollten Sie in Einstellungen → Bildschirmsperre ein nicht zu kurzes Passwort festlegen, das Sie nach jedem Einschalten eingeben werden. Wer sein Gerät gerootet hat, kann an dieser Stelle eine kurze PIN festlegen und später (siehe letzter Punkt) ein sicheres Einschalt-Passwort festlegen.
- Jetzt kann die Verschlüsselung gestartet werden. Wenn Sie noch unsicher sind, können Sie einen Blick auf eine Anleitung zur Android-Geräteverschlüsselung werfen, die ursprünglich in c't Android 1/2014 erschienen ist.
- Falls Sie im vorvorigen Punkt ein langes Passwort gesetzt haben, wird es Ihnen bald lästig werden, dieses immer beim Entsperren des Bildschirms eingeben zu müssen. Das können Sie (ab Android 5) umgehen, indem Sie einen neuen User mit einem kürzeren Passwort oder einer PIN anlegen. Für Root-Nutzer gibt es die kleine App Cryptfs Password, mit der man das Gerätepasswort jederzeit ändern kann – das geht ganz schnell und ist dringend anzuraten, wenn man zum Entsperren des Bildschirms nur eine PIN oder eine andere weniger sichere Methode verwendet.
In Android 7 geht Google dazu über, einzelne Dateien statt kompletter Laufwerke zu verschlüsseln. Da die meisten mobilen Geräte ständig eingeschaltet sind, erscheint das sinnvoll. Die Idee stammt von Apples iOS, die Umsetzung ist allerdings nach Ansicht mancher Experten noch nicht ganz gelungen.
iOS
Mobile Apple-Geräte mit dem Betriebssystem iOS können schon lange (seit iOS 4) die auf ihnen gespeicherten Daten verschlüsseln, aber erst die Version 8 sorgte für Schlagzeilen, weil von da an die Verschlüsselung frei von Hintertüren sein soll. Da wir keine iPhones oder iPads einsetzen, können wir bei diesen Geräten nicht helfen. Aber wir haben eine Anleitung gefunden.
macOS
macOS hat standardmäßig die Funktion FileVault/FileVault 2 an Bord. Ab Mac OS X 10.7 wird damit statt des eigenen Nutzerverzeichnisses die gesamte Festplatte verschlüsselt. Eine Anleitung gibt es direkt von Apple. Installieren Sie unbedingt die Sicherheitsupdates vom 13.12.2016, denn bis dahin ließ sich der Schlüssel mit spezieller Hardware auslesen!
Windows
Auch Windows kann ruhende Daten verschlüsseln. Da dieses Betriebssystem aber nicht quelloffen ist, raten wir davon ab, sensible Daten auf einem Windows-System abzulegen. Wenn Sie es doch tun müssen und ein Umstieg auf Linux nicht für Sie in Frage kommt, raten wir von der Verwendung der bordeigenen Verschlüsselungswerkzeuge BitLocker bzw. EFS ab und raten zur quelloffenen Software VeraCrypt, die wir unter Verschlüsselung von einzelnen Dateien und Ordnern beschreiben. VeraCrypt kann auch ganze Laufwerke verschlüsseln.
Windows 7 bringt zur Festplattenverschlüsselung die Software BitLocker mit. Microsoft zeigt auf der eigenen Homepage, wie das für Windows 7, Windows 8.1 und Windows 10 funktioniert.
Wir setzen uns für Ihre Privatsphäre und Grundrechte ein. Werden Sie Fördermitglied bei Digitalcourage.
Für ältere Windows-Versionen (zum Beispiel XP) besteht die Möglichkeit, mit EFS (engl.: Encrypting File System, dt.: verschlüsselndes Dateisystem) Dateien und Ordner zu verschlüsseln. Dieses Verfahren ist allerdings nur auf NTFS-Festplatten (bei Windows-Installation Standard) und an den Benutzer gebunden möglich. Das Bundesministerium für Sicherheit in der Informationstechnik bietet Anleitungen.
Linux
Linux verwendet für die Verschlüsselung dm-crypt bzw. LUKS. So kann beispielsweise bei einer Installation von Ubuntu, einer weit verbreiteten kostenlosen Linux-Distribution, die Verschlüsselung der Festplatte mit einem einfachen Klick eingestellt werden. Im deutschsprachigen Ubuntu-Wiki gibt es zudem sehr ausführliche Anleitungen, wie man mit Linux Daten und Festplatten verschlüsseln kann.
Hintertüren?
Bei der Verschlüsselung unter Windows, iOS und macOS sollten Sie sich klarmachen, dass es sich um proprietäre Software handelt. Das heißt, der Quellcode ist nicht offen und kann nicht auf Hintertüren (engl.: Backdoors) geprüft werden, mit denen zum Beispiel Geheimdienste die Verschlüsselung aushebeln können. Auch wenn der Schutz gegenüber Geheimdiensten – die in der Vergangenheit immer wieder Hintertüren in Software eingebaut und durchgesetzt haben – damit nicht zu 100% sichergestellt werden kann, lässt sich mit wenigen Klicks und einem sicheren Passwort Computerdieben das Leben schwer machen.
Verschlüsselung von einzelnen Dateien und Ordnern
Mit den betriebssysteminternen Verschlüsselungsverfahren lassen sich teilweise auch einzelne Dateien und Ordner verschlüsseln. Darüber hinaus gibt es weitere Programme, die teilweise plattformübergreifend sind und mit unterschiedlichen Betriebssystemen verwendet werden können.
Deutschsprachige VeraCrypt-Anleitung der Landesakademie für Fortbildung und Personalentwicklung an Schulen Esslingen.
Im Mai 2014 wurde die Weiterentwicklung des plattformübergreifenden und quelloffenen TrueCrypt unter merkwürdigen Umständen eingestellt, das bis zu diesem Zeitpunkt durch Audits überprüft wurde und eines der weitverbreitetsten Programme für die Verschlüsselung von Dateien war. Es entstanden mehrere Forks, um die Arbeit an TrueCrypt weiterzuführen. Als im September 2015 zwei Sicherheitslücken in TrueCrypt entdeckt wurden, war die Abspaltung VeraCrypt die erste, die diese beseitigte. VeraCrypt ist unter macOS, Windows und Linux einsetzbar.
Mit EncFS lassen sich ebenfalls einzelne Dateien verschlüsseln. Ursprünglich für Unix-Systeme entwickelt, ist es im Prinzip mit unterschiedlichen Plattformen nutzbar, beispielsweise Windows. EncFS ist quelloffen und wurde ebenfalls einem Audit unterzogen, das allerdings einige Schwachstellen zutage förderte.
Für Linux-Nutzer.innen gibt es zudem das quelloffene ECryptfs, zu dem es ein Audit gibt.
Darüber hinaus lassen sich auch mit PGP, dem Programm, das auch zur E-Mail-Verschlüsselung eingesetzt wird, Dateien verschlüsseln. Für Windows gibt es eine Anleitung vom BSI, für macOS, Linux und Android gibt es den Download und kurze Anleitungen auf der Projektseite.
Fazit
Digitalcourage-Newsletter abonnieren und ständig auf dem Laufenden bleiben.
Gegen das Erpressen Ihres Passwortes durch physisches Gewalt, die Verweigerung der Einreise oder Strafandrohungen helfen auch die besten Kryptoalgorithmen nicht. Trotzdem sollten Sie Ihre Daten durch Verschlüsselung vor Diebstahl und einfachem Auslesen schützen, denn sensible Daten, Zugangsdaten und Passwörter sind sonst leicht erreichbar.
Heutige Betriebssysteme liefern bereits die nötigen Werkzeuge dafür, und auch darüber hinaus finden sich viele hilfreiche Programme für die unterschiedlichen Plattformen. Nutzen Sie die Möglichkeiten zur Verschlüsselung!
Digitalcourage setzt sich für Ihre Privatsphäre und Grundrechte ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.
Hinweis:
Hundertprozentige Sicherheit gibt es nicht, auch nicht durch unsere Empfehlungen. Programme können unentdeckte Fehler haben, und Datenschnüffeltechniken entwickeln sich weiter. Bleiben Sie wachsam!
Der Artikel ist auf dem Stand vom 15.12.2016. Sollten Sie Fehler finden, Ergänzungen haben oder Empfehlungen bei Ihnen nicht funktionieren, geben Sie uns bitte Bescheid.
Bilder
Encryption: Yuri Samoilov auf Flickr CC BY 2.0