Datenträger verschlüsseln
Daten verschlüsseln
Warum verschlüsseln?
Neben der Erhöhung der Hürde für Zugriffe von Geheimdiensten, Einreise- und Ermittlungsbehören bietet Verschlüsselung der eigenen Festplatte bzw. der eigenen Daten zunächst den Schutz, dass diese nach einem Diebstahl den Dieben nicht im Klartext in die Hände fallen. Denn neben den eigenen Urlaubsfotos liegen auch Passwörter ungeschützt auf der Festplatte. Bedenken Sie: Immer wenn Sie Ihrem Browser sagen, dass die Zugangsdaten gespeichert werden sollen, liegen diese anschließend irgendwo auf der Festplatte. Das sind z.B. die Zugangsdaten zu Ihrem Online-Banking-Portal, Ihrem liebgewonnenen Online-Shop oder Ihrem bevorzugten sozialen Netzwerk.
Auch die vermeintlich sicherste Datenverschlüsselung kann jedoch gebrochen werden. Neben einer Vielzahl von Angriffsmöglichkeiten auf Hard- und Softwareebene sind schwache Passwörter und nachlässige Nutzung Gefahren, die verschlüsselten Daten drohen. Seien Sie deshalb sorgfältig im Umgang mit den vorgestellten Möglichkeiten und informieren Sie sich genau über die verwendete Software!
Was soll verschlüsselt werden?
Die Daten auf Ihrer Festplatte und in Ihrem Benutzerverzeichnis werden standardmäßig nicht verschlüsselt. Durch das Login-Passwort für das Benutzerkonto wird lediglich der Zugang über das Betriebssystem verwaltet. Hängen Computerdiebe Ihre Festplatte als normales Speichermedium, also als externe Festplatte, ein oder benutzen eine Live-CD bzw. einen USB-Stick mit einem eigenen Betriebssystem, umgehen sie die Passwortabfrage und können sich leicht Zugriff zu den Daten verschaffen. Deshalb sollten Sie mindestens Ihr Benutzerverzeichnis, besser noch die gesamte Festplatte verschlüsseln.
Wenn Sie die gesamte Festplatte verschlüsseln, wird unter anderem das Betriebssystem verschlüsselt, das heißt: Ohne das richtige Passwort kann Ihr Rechner nicht hochfahren.
Teilen Sie den Computer mit mehreren Nutzer.innen, kann es deshalb sinnvoll sein, stattdessen die einzelnen Benutzerverzeichnisse (engl.: home directory) mit den darin enthaltenen Nutzerdaten (Passwörter, Browsereinstellungen, E-Mails, etc.) zu verschlüsseln. Damit bekommt jede.r Nutzer.in ein eigenes Passwort, und die Daten sind gegenseitig (und somit auch nach einem Diebstahl) nicht einsehbar.
Festplatten verschlüsseln
Aktuelle Betriebssysteme bringen die Fähigkeit normalerweise mit, einzelne Partitionen oder die gesamte Festplatte zu verschlüsseln. Die verschiedenen Betriebssysteme nutzen dabei unterschiedliche Lösungen:
Android
Android beherrscht seit Version 3 die Verschlüsselung der Datenpartition des internen Speichers. Eine eventuell vorhandene SD-Karte bleibt unverschlüsselt – es sei denn, man bindet sie in den internen Speicher ein, was ab Android 6 möglich ist.
Um herauszufinden, ob die Geräteverschlüsselung aktiv ist, rufen Sie üblicherweise Einstellungen → Sicherheit auf. Den Punkt Verschlüsselung finden Sie meist ganz oben, ab Android 8 allerdings auch weiter unten. Wenn dort Telefon verschlüsseln: verschlüsselt steht, ist alles in Ordnung. Fehlt diese Option ganz, deutet dies – ab Android 5 – ebenfalls darauf hin, dass Ihr Gerät bereits verschlüsselt ist.
Wenn Ihr Gerät nicht verschlüsselt ist, denken Sie bitte darüber nach, diese Option zu aktivieren. Planen Sie für die Umstellung etwas Zeit ein. Vorher gibt es aber noch ein paar Dinge zu beachten:
- Vollständige und verschlüsselte Backups anlegen! Entweder Sie übertragen alles über USB-Kabel auf einen anderen Computer oder Sie nutzen das Recovery-System Ihres Smartphones, um ein verschlüsseltes Android-Backup auf der SD-Karte zu speichern – das funktioniert z. B. mit TWRP ab Version 3.0.2 sehr gut und sogar ohne Root-Rechte. Viele Apps verfügen zudem über eigene Sicherungsfunktionen.
- Statt eines Entsperrmusters oder anderer Methoden sollten Sie in Einstellungen → Bildschirmsperre ein nicht zu kurzes Passwort festlegen, das Sie nach jedem Einschalten eingeben werden. Wer sein Gerät gerootet hat, kann an dieser Stelle eine kurze PIN festlegen und später (siehe letzter Punkt) ein sicheres Einschalt-Passwort bestimmen.
- Jetzt kann die Verschlüsselung gestartet werden. Wenn Sie noch unsicher sind, werfen Sie einen Blick auf folgende Anleitung zur Android-Geräteverschlüsselung. Sie erschien ursprünglich in c't Android 1/2014.
- Falls Sie im vorvorigen Punkt ein langes Passwort gesetzt haben, wird es Ihnen bald lästig werden, dieses bei jedem Entsperren des Bildschirms eingeben zu müssen. Das können Sie (ab Android 5) umgehen, indem Sie einen neuen User mit einem kürzeren Passwort oder einer PIN anlegen. Für Root-Nutzer.innen gibt es die App Cryptfs Password, mit der man das Gerätepasswort jederzeit ändern kann – wir raten dringend dazu, wenn Sie zum Entsperren Ihres Bildschirms ausschließlich eine PIN oder eine andere wenig(er) sichere Methode verwenden.
iOS
Mobile Apple-Geräte mit dem Betriebssystem iOS können schon lange die auf ihnen gespeicherten Daten verschlüsseln, aber erst die Version 8 sorgte für Schlagzeilen, weil von da an die Verschlüsselung frei von Hintertüren sein soll. Wirksam ist die Verschlüsselung nur, wenn man eine Codesperre aktiviert, die beim Starten des Geräts einen Code abfragt. Dieser lässt sich in aktuellen iOS-Versionen über Einstellungen → Touch ID & Code festlegen. Wer möchte, kann den Gerätespeicher nach zehn falschen Eingaben löschen lassen: Aktivieren Sie dazu im bereits genannten Menü die Option Daten löschen.
macOS
Mac OS X hat standardmäßig die Funktion FileVault/FileVault 2 an Bord. Ab Mac OS X 10.7 wird damit statt des eigenen Nutzerverzeichnisses die gesamte Festplatte verschlüsselt. Eine Anleitung gibt es direkt von Apple.
Windows
Seit Windows 7 ist eine Festplattenverschlüsselung mit BitLocker möglich. Microsoft zeigt auf der eigenen Homepage, wie sie funktioniert.
Linux
Linux verwendet für die Verschlüsselung dm-crypt bzw. LUKS. So kann beispielsweise bei einer Installation von Ubuntu, einer weitverbreiteten kostenlosen Linux-Distribution, die Verschlüsselung der Festplatte mit einem einfachen Klick eingestellt werden. Im deutschsprachigen Ubuntu-Wiki gibt es zudem sehr ausführliche Anleitungen, wie man mit Linux Daten und Festplatten verschlüsseln kann.
Hintertüren?
Bei der Verschlüsselung unter Windows und macOS sollten Sie sich klarmachen, dass es sich um proprietäre Software handelt. Das heißt, der Quellcode ist nicht offen und kann nicht auf Hintertüren (engl.: Backdoors) geprüft werden, mit denen zum Beispiel Geheimdienste die Verschlüsselung aushebeln können. Auch wenn der Schutz gegenüber Geheimdiensten - die in der Vergangenheit immer wieder Hintertüren in Software eingebaut und durchgesetzt haben - damit nicht zu 100% sichergestellt werden kann, lässt sich mit wenigen Klicks und einem sicheren Passwort wenigstens Computerdieben das Leben schwer machen.
Systemübergreifende Verschlüsselung von einzelnen Dateien, Ordnern und Datenträgern
Mit den betriebssysteminternen Verschlüsselungsverfahren lassen sich teilweise auch einzelne Dateien und Ordner verschlüsseln. Darüber hinaus gibt es weitere Programme, die teilweise plattformübergreifend sind und mit unterschiedlichen Betriebssystemen verwendet werden können.
Unsere Empfehlung ist VeraCrypt. Es ist eines der weitverbreitetsten Programme für die Verschlüsselung von Dateien. Allerdings lassen sich auch Datenträger, wie zum Beispiel Festplatten oder USB-Sticks, verschlüsseln.
Das quelloffene VeraCrypt ist ein Fork von TrueCrypt. Denn die Weiterentwicklung des plattformübergreifenden und quelloffenen TrueCrypt wurde unter merkwürdigen Umständen eingestellt. Diverse Probleme von TrueCrypt sind in VeraCrypt behoben worden. Es gilt allgemein als sicher, was in unabhängigen Audits bestätigt wurde.
Mit EncFS lassen sich ebenfalls einzelne Dateien verschlüsseln. Ursprünglich für Unix-Systeme entwickelt, ist es im Prinzip mit unterschiedlichen Plattformen nutzbar: Windows. Für Linux-Nutzer.innen gibt es zudem das quelloffene ECryptfs, zu dem es auch ein Audit gibt.
Darüber hinaus lassen sich auch mit PGP, dem Programm, das auch zur E-Mail-Verschlüsselung eingesetzt wird, Dateien verschlüsseln. Für Windows gibt es eine Anleitung vom BSI, für macOS (via GPG Tools) und Linux (über die Paketverwaltung) gibt es GnuPG und kurze Anleitungen auf der Projektseite. Für Android empfehlen wir die OpenPGP-Adaption OpenKeychain.
Auch age ist ein Kommandozeilentool, welches sich für das Ver- und Entschlüsseln von Dateien nutzen lässt.
Fazit
Gegen das Erpressen Ihres Passwortes durch physische Gewalt, die Verweigerung der Einreise oder Strafandrohungen helfen auch die besten Kryptoalgorithmen nicht. Trotzdem sollten Sie Ihre Daten durch Verschlüsselung vor Diebstahl und einfachem Auslesen schützen, denn sensible Daten, Zugangsdaten und Passwörter sind sonst leicht erreichbar.
Heutige Betriebssysteme liefern bereits die nötigen Werkzeuge dafür, und auch darüber hinaus finden sich viele hilfreiche Programme für die unterschiedlichen Plattformen. Nutzen Sie die Möglichkeiten zur Verschlüsselung!
Digitalcourage setzt sich für Ihre Privatsphäre und Grundrechte ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.
- März 2023: Links korrigiert
Wir aktualisieren unsere Texte in unregelmäßigen Abständen. Prüfen Sie das Datum der letzten Überarbeitung unter „Letztes Update“. Sollten Sie Fehler finden, Ergänzungen haben oder Empfehlungen bei Ihnen nicht funktionieren, geben Sie uns Bescheid.