Datenträger verschlüsseln

Daten verschlüsseln

Auf die Verschlüsselung digitaler Kommunikation sind wir bereits eingegangen. Damit sind aber die Daten auf Ihrem Rechner oder externen Datenträgern – zum Beispiel USB-Sticks – noch nicht geschützt. Zum Glück ist Verschlüsselung inzwischen recht einfach.

Warum verschlüsseln?

Neben einer höheren Hürde für Geheimdienste, Einreise- und Ermittlungsbehörden bietet das Verschlüsseln der eigenen Festplatte beziehungsweise der eigenen Daten zunächst insofern Schutz, als Daten eventuellen Dieben nicht im Klartext in die Hände fallen. Nicht nur Urlaubsfotos, sondern auch Passwörter sind ja zunächst ungeschützt. Wenn Sie Ihrem Browser sagen, dass Zugangsdaten gespeichert werden sollen, liegen diese anschließend irgendwo auf der Festplatte. Auch die Zugangsdaten zum Onlinebanking, Ihrem Lieblings-Onlineshop und Ihren sozialen Netzwerken.

Selbst die vermeintlich sicherste Datenverschlüsselung kann gebrochen werden. Neben einer Vielzahl von Angriffsmöglichkeiten auf Hard- und Software sind schwache Passwörter und mangelnde Sorgfalt auch für verschlüsselte Daten gefährlich. Gehen Sie mit den hier vorgestellten Möglichkeiten deshalb sorgfältig um und informieren Sie sich über die verwendete Software.

Was soll verschlüsselt werden?

Die Daten auf Ihrer Festplatte werden standardmäßig nicht verschlüsselt. Das Passwort Ihres Benutzerkontos schützt lediglich den Zugang zum Betriebssystem. Stiehlt jemand Ihren Rechner und verbindet Ihre Festplatte wie ein normales Speichermedium, also wie eine externe Festplatte, mit seinem eigenen PC oder verwendet er ein Live-Betriebssystem, umgeht er die Passwortabfrage und kann sich leicht Zugriff zu Ihren Daten verschaffen. Deshalb sollten Sie mindestens Ihr Benutzerverzeichnis verschlüsseln, also die Ordner in denen Ihre persönlichen Daten liegen.

Sie können und sollten auch einen Schritt weitergehen und sämtliche Datenträger komplett verschlüsseln. Das umfasst die Festplatte mit dem Betriebssystem und sämtliche weitere externe Datenträger wie USB-Sticks. Vor allem, wenn Sie Geheimnisträger.in sind oder sich einem hohen Risiko ausgesetzt sehen, Ziel von Ermittlungen zu werden, ist das Verschlüsseln von Daten unerlässlich.

Bei einer Hausdurchsuchung zum Beispiel werden in der Regel nämlich sämtliche IT-Systeme beschlagnahmt, nicht etwa nur ein paar USB-Sticks. Für so eine Situation gibt es weitere wichtige Verhaltensregeln, die wir in einem eigenen Artikel beschreiben. Zum richtigen Verhalten gehört es, unter keinen Umständen das Entschlüsselungspasswort herauszugeben. Dazu darf Sie niemand zwingen, und im Notfall berufen Sie sich einfach auf Ihr schlechtes Gedächtnis.

Wenn Sie die gesamte Festplatte verschlüsseln, wird unter anderem das Betriebssystem verschlüsselt. Das heißt: Ohne Passwort kann Ihr Rechner nicht hochgefahren werden. Teilen Sie den Computer mit anderen, kann es deshalb sinnvoll sein, statt der Festplatte die Benutzerverzeichnisse mit den jeweiligen Passwörtern, Browsereinstellungen, E-Mails und sonstigen Nutzerdaten zu verschlüsseln. Damit schützen Sie Ihre Daten vor den anderen Benutzer.innen und vor Dieben.

Festplatten verschlüsseln

Aktuelle Betriebssysteme können normalerweise einzelne Partitionen oder die gesamte Festplatte verschlüsseln. Dafür gibt es je nach Betriebssystem unterschiedliche Lösungen:

Android

Bei Android ist das Verschlüsseln des Speichers seit einigen Jahren Standard. Alle Geräte, die mindestens mit der im Jahr 2019 veröffentlichten Android-Version 10 betrieben werden, haben einen verschlüsselten Speicher. Diese Funktion muss also nicht eigens aktiviert werden. Selbstverständlich benötigt man unabhängig davon eine gute Bildschirmsperre. Eine PIN wie „1234“ genügt da nicht, sie wäre problemlos zu knacken. Ob der Speicher Ihres Smartphones tatsächlich verschlüsselt ist, sehen Sie in den Einstellungen. Den entsprechenden Menüpunkt finden Sie je nach Gerät und Androidversion an unterschiedlichen Stellen, meistens unter „Einstellungen“ → „Sicherheit“ → „Verschlüsselung“. Oder Sie sehen nach, ob Android 10 oder höher auf Ihrem Gerät läuft. Das finden Sie gewöhnlich unter „Einstellungen“ → „Über das Telefon“.

iOS

Mobile Apple-Geräte mit dem Betriebssystem iOS können schon lange die auf ihnen gespeicherten Daten verschlüsseln. Aber erst Version 8 sorgte für Schlagzeilen, weil die Verschlüsselung seitdem keine Hintertüren mehr hat. Und zwar dann, wenn man eine Sperre aktiviert, die beim Starten des Geräts einen Code abfragt. Der Code lässt sich in aktuellen iOS-Versionen über „Einstellungen“ → „Touch ID & Code“ festlegen. Wer möchte, kann den Gerätespeicher nach zehn falschen Eingaben löschen lassen. Aktivieren Sie dazu in besagtem Menü die Option Daten löschen.

macOS

Mac OS X verfügt standardmäßig über die Funktion FileVault/FileVault 2. Ab Mac OS X 10.7 wird damit nicht nur das eigene Nutzerverzeichnis, sondern die gesamte Festplatte verschlüsselt. Eine Anleitung gibt es direkt von Apple.

Windows

Seit Windows 7 bietet Microsoft eine Festplattenverschlüsselung mit dem hauseigenen BitLocker an, allerdings nur für die Pro-Varianten. Wie sie funktioniert, ist auf der zugehörigen Webseite nachzulesen.

Für die BitLocker-Verschlüsselung braucht das Gerät einen TPM-Chip und muss im UEFI-Modus gebootet werden. Außerdem werden Sie schon während der Installation von Windows zum Anlegen eines Online-Accounts bei Microsoft genötigt. Dort wird später eine Art Zweitschlüssel für BitLocker hinterlegt. Der Schlüssel für Ihre private Festplatte landet also auf fremden Servern! Das ist ein No-Go, denn es schafft ein unnötiges Sicherheitsrisiko für unerwünschte Fremdzugriffe.

Selbst wenn der Schlüssel für die Festplatte nur auf dem TMP-Chip Ihres Geräts liegt, lässt er sich unter Umständen leicht auslesen. Ein gut vorbereiteter Angriff kann inklusive Aufschrauben des Geräts weniger als eine Minute dauern.

Die verschiedenen Zwänge hinsichtlich TPM und Microsoft-Account lassen sich (noch!) mit etwas Aufwand umgehen. Ein entscheidender Nachteil bleibt jedoch: Microsoft verheimlicht den Programmcode der BitLocker-Verschlüsselung. Es könnten sich also gezielt Hintertüren (siehe unten) darin befinden.

Wegen all dieser Nachteile, empfehlen wir für Windows den Einsatz der freien und transparenten Software VeraCrypt. Übrigens: Allein der Zeitaufwand zum Umgehen von TPM und Microsoft-Account wäre größer als das einmalige Einrichten von VeraCrypt (siehe unten) zur Systemverschlüsslung.

Linux

Linux verwendet für die Verschlüsselung LUKS. Die meisten Linux-Distributionen bieten während der Installation an, die Festplatte komplett zu verschlüsseln. Das geht beispielsweise bei Ubuntu, einer weitverbreiteten kostenlosen Linuxdistribution, ganz einfach, indem man während der Installation den entsprechenden Haken setzt und ein Passwort wählt. Im deutschsprachigen Ubuntu-Wiki gibt es zudem ausführliche Anleitungen, wie man mit Linux Daten und Festplatten verschlüsselt.

Hintertüren?

Im Gegensatz zu Linux sind macOS und Windows proprietäre Software. Das bedeutet unter anderem, dass der Programmcode der zwei Betriebssysteme vor der Öffentlichkeit geheim gehalten wird. Diese Intransparenz verhindert, dass die Software durch unabhängige Expert.innen auf absichtlich installierte Hintertüren geprüft werden kann.

US-Behörden dürfen dort angesiedelte Unternehmen - etwa Apple oder Microsoft - über einen National Security Letter (NSL) jederzeit zur geheimen Kooperation zwingen. Es gibt dann nur zwei Optionen für die Betroffenen Firmen: ein Produkt entweder vom Markt nehmen oder eine Hintertür für die "Zusammenarbeit" hinzufügen.

Staaten haben in der Vergangenheit immer wieder Hintertüren in Software eingebaut bzw. auf legalem Wege erzwungen.

Unterm Strich bedeutet das: Mit proprietärer Software können Sie privaten Computerdieben das Leben schwer machen. Möglicherweise bleiben Ihre Daten - z. B. nach einer Hausdurchsuchung mit Beschlagnahmung - trotzdem unerwünschten Zugriffen ausgesetzt.

Systemübergreifende Verschlüsselung einzelner Dateien, Ordner und Datenträger

Manche in Betriebssysteme eingebauten Verschlüsselungsverfahren können auch einzelne Dateien und Ordner verschlüsseln. Andere sind plattformübergreifend, funktionieren also auf Linux, MacOS und Windows.

Wir empfehlen VeraCrypt. Es ist eines der am weitesten verbreiteten Programme zum Verschlüsseln von Dateien und Datenträgern und gilt als sicher, was in unabhängigen Audits bestätigt wurde.

Darüber hinaus lassen sich Dateien auch mit PGP verschlüsseln, einem Programm, mit dem auch E-Mails verschlüsselt werden. Für Windows gibt es die Software GPG4Win, ebenfalls mit PGP. Das Bundesamt für Sicherheit in der Informationstechnik hat dafür eine Anleitung.

Für macOS gibt es GPG Tools und für Linux GnuPG, mit kurzen Anleitungen auf der Projektseite. Für Android empfehlen wir die OpenPGP-Adaption OpenKeychain.

Wer mit der Kommandozeile umgehen kann, hat mit age eine weitere Software zum Verschlüsseln von Dateien.

Fazit

Gegen das Erpressen Ihres Passwortes mit physischer Gewalt, Verweigerung der Einreise oder Strafandrohung helfen auch die besten Kryptoalgorithmen nicht. Gegen den viel wahrscheinlicheren Fall, dass Ihr Gerät gestohlen wird, wenn Sie es in der Straßenbahn liegen lassen, oder dass jemand Ihre Privatsphäre nicht akzeptiert, hilft Verschlüsselung aber auf jeden Fall.

Heutige Betriebssysteme besitzen bereits die nötigen Werkzeuge. Nutzen Sie die Möglichkeiten!

Digitalcourage setzt sich für Ihre Privatsphäre und Ihre Grundrechte ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.