2309692

Verschlüsselung: So sichern Sie alles ab

11.06.2018 | 08:00 Uhr |

Seit die Internetkriminalität zunimmt und das Netz immer stärker überwacht wird, sind sichere Verschlüsselungsmethoden mehr gefragt denn je. Doch nicht jeder Schutz ist für jeden Anwender sinnvoll. Hier finden Sie die besten Verschlüsselungstools für Ihren PC.

Verschlüsselung ist kein Zeichen von Paranoia. Daten wie Kreditkartennummern, Kontozugänge, vertrauliche Dokumente oder Firmenunterlagen sind bei Hackern heiß begehrt, denn sie lassen sich direkt oder indirekt zu Geld machen. Wer sich dagegen durch Verschlüsselung schützt, leidet nicht an Verfolgungswahn, sondern handelt vorausschauend und vernünftig. Welche Daten allerdings wie verschlüsselt werden, ist individuell unterschiedlich. Vielen Menschen genügt es bereits, wenn sie einige Kontodaten in einem Ordner schützen können. Manche Anwender wollen auch ihre E-Mail-Kommunikation verschlüsseln, damit kein Ungebetener mitlesen kann. In Unternehmen ist es wiederum aus Datenschutzgründen häufig erforderlich, die komplette Festplatte oder das Windows-System zu verschlüsseln. Bei Notebooks, die leicht verloren gehen können, empfiehlt sich eine sichere Hardware-Verschlüsselung der enthaltenen Daten.

Alle diese Verschlüsselungsarten haben Vor- und Nachteile. Entweder muss man sich ein langes Passwort merken oder es gibt keine Wiederherstellungsroutinen, mal macht die Verschlüsselung zwar den Inhalt der Datei unsichtbar, nicht jedoch den Namen, mal ist die Handhabung äußerst kompliziert. PC-WELT stellt Ihnen hier verschiedene Formen der Verschlüsselung vor und zeigt jeweils die Vor- und Nachteile auf.

Tipp: 5 Mythen über die EU-Datenschutz-Grundverordnung

Dateiverschlüsselung

7-Zip beherrscht eine Verschlüsselung nach zwei verschiedenen Verfahren.
Vergrößern 7-Zip beherrscht eine Verschlüsselung nach zwei verschiedenen Verfahren.

So schützen Sie einzelne Dateien.

Gerade im privaten Bereich genügt es häufig, einzelne, ausgewählte Dateien zu verschlüsseln, um ihren Inhalt vor fremden Blicken zu verbergen. Windows bietet dafür eine Funktion namens EFS (Encrypted File System); Sie können die Dateien aber auch mit dem Packprogramm 7-Zip sicher in einem Archiv verschlüsseln. Die Files sind dann zwar nach einem Klick auf die ZIP-Datei noch frei sichtbar, können jedoch von anderen Personen nicht geöffnet werden. Geht es um den Schutz von Office-Dokumenten, so können Sie etwa in Word und Excel Ihre Dokumente mit einem Kennwort versehen. Allerdings lässt sich diese Verschlüsselung mithilfe von speziellen, kommerziellen Tools knacken.

Aber auch EFS und 7-Zip haben ihre Tücken: Bei EFS ist die Verschlüsselung an den Benutzer-Account auf dem lokalen Windows-System gebunden. Wenn Sie die verschlüsselten Dateien auf einen externen Speicher wie etwa eine USB-Festplatte kopieren und vergessen, das Zertifikat mitzunehmen, sind diese Daten nahezu unrettbar verloren, sofern Ihre Windows-Installation nicht mehr besteht. Das Gleiche gilt, wenn eine fremde Person mit einer der bekannten Methoden das Windows-Passwort ersetzt. Bei 7-Zip müssen Sie sich hingegen das Passwort merken. Bei Windows EFS kommt ein weiteres Problem hinzu. Sie können mit den verschlüsselten Dokumenten ganz normal weiterarbeiten und etwa DOCX-Files in Word öffnen. Doch Vorsicht: Word und Excel legen aus Sicherheitsgründen beim Bearbeiten Kopien der Originaldateien an. Diese Kopien sind jedoch unverschlüsselt und lassen sich eventuell nachträglich wiederherstellen. Besser ist es daher, per EFS den kompletten Ordner zu verschlüsseln, in dem das Dokument gespeichert ist. Denn dort erzeugen Word & Co. auch die Kopien.

E-Mails verschlüsseln

Microsoft hat in Outlook als Verschlüsselungsmethode S/MIME integriert.
Vergrößern Microsoft hat in Outlook als Verschlüsselungsmethode S/MIME integriert.

Wenig verbreitet, aber (relativ) sicher

Mailverschlüsselung geschieht üblicherweise mit einer asymmetrischen Verschlüsselung. Asymmetrisch bedeutet, dass Sie Ihrem Kommunikationspartner zunächst Ihren öffentlichen Schlüssel zukommen lassen. Damit verschlüsselt er seine Nachrichten an Sie. Entschlüsseln lassen sich die Mails nur mit Ihrem privaten Schlüssel, den Sie niemals aus der Hand geben. Wenn andererseits Sie einer anderen Person verschlüsselte Nachrichten schicken wollen, benötigen Sie deren öffentlichen Schlüssel. Es gibt auch ein weltweit vernetztes System von Servern, auf denen Sie Ihren öffentlichen Schlüssel zum Download anbieten können.

Dieses Prinzip wurde in zwei Verschlüsselungsverfahren umgesetzt, S/MIME und Pretty Good Privacy, das heute als Open-Source-Projekt Open PGP verfügbar ist. Beide bieten eine vergleichbare, sehr hohe Sicherheit. S/MIME ist bereits in Outlook integriert, Open PGP müssen Sie über das kostenlose Plug-in Gpg4win hinzufügen. Der Unterschied zwischen den beiden Verfahren liegt in erster Linie beim Zertifikat, das sicherstellt, dass es sich bei den beiden Partnern einer E-Mail-Kommunikation tatsächlich um die Personen handelt, als die sie sich ausgeben. S/MIME verwendet Zertifikate einer offiziellen Zertifizierungsstelle. Bei OpenPGP stammt das Zertifikat von einem Web of Trust. Einen ausführlichen Ratgeber zur Mailverschlüsselung mit Open PGP finden Sie hier . Eine einfachere Methode erklären wir hier .

Hinweis: Kurz vor Redaktionsschluss wurde im Mai 2018 eine Sicherheitslücke in beiden Arten der Mailverschlüsselung gefunden. Bis es ein Update gibt, empfehlen Experten, auf Mails im HTML-Format zu verzichten.

Festplattenverschlüsselung

Veracrypt bietet das Anlegen eines Containers, die Verschlüsselung des gesamten Laufwerks oder der Festplatte oder den Schutz der Systempartition an.
Vergrößern Veracrypt bietet das Anlegen eines Containers, die Verschlüsselung des gesamten Laufwerks oder der Festplatte oder den Schutz der Systempartition an.

Nutzen Sie Windows oder Veracrypt

Die Verschlüsselung von kompletten Festplatten empfiehlt sich vor allem für Notebooks. Die Maßnahme dient nicht nur dem Schutz interner und eventuell unternehmenskritischer Daten, sie stellt für Firmen auch sicher, dass die Vorschriften der europäischen Datenschutz-Grundverordnung (EU-DSGVO) eingehalten werden. Dabei empfiehlt es sich, nicht nur die interne Festplatte zu verschlüsseln, sondern auch externe Laufwerke.

Windows bietet zu diesem Zweck in seinen Pro- und Enterprise-Versionen das Programm Bitlocker an. Es verschlüsselt sowohl interne Disks wie auch externe USB-Laufwerke und gilt als sehr sicher. Als Zugriffsschutz dient wahlweise ein Passwort, eine Smartcard oder ein lokal gespeicherter Schlüssel. Bitlocker arbeitet im Hintergrund und ist nach Eingabe des Kennworts praktisch unsichtbar. Die neueren Versionen des Programms sind leider nicht mehr hundertprozentig kompatibel zu den älteren Ausgaben, daher ist bei der Verschlüsselung Vorsicht angesagt.

Der Klassiker für die Festplatten-Verschlüsselung ist jedoch Veracrypt  , das aus der Open-Source-Szene stammt und sowohl komplette Festplatten wie auch einzelne Partitionen und separate Container (siehe nächsten Abschnitt) verschlüsselt. Leider hat das Entwicklerteam die Arbeit an dem Programm im Mai 2014 eingestellt, die Software ist jedoch nach wie vor erhältlich. Das Programm unterstützt die Verschlüsselungsverfahren AES, Twofish und Serpent, die alle drei als hochgradig sicher gelten. Eine ausführliche Schritt-für-Schritt-Anleitung zu Veracrypt finden Sie hier .

Datensicherheit: 5 Mythen rund um die Verschlüsselung

Containerverschlüsselung

Programme wie Steganos Safe legen einen verschlüsselten Container an.
Vergrößern Programme wie Steganos Safe legen einen verschlüsselten Container an.

Einfaches Verschlüsselungsverfahren

Die im vorherigen Abschnitt bereits angesprochenen Container sind verschlüsselte Dateien mit einem festen, einstellbaren Volumen, die auf einer ansonsten unverschlüsselten Partition angelegt werden und beliebige Files aufnehmen, die der Anwender schützen will. Im Unterschied zur Datei- und Ordnerverschlüsselung ist von außen nicht sichtbar, wie viele Files mit welchen Namen und in welcher Verzeichnisstruktur im Container lagern. Diese Form der Verschlüsselung bietet daher noch einmal ein Plus an Sicherheit.

Die Container lassen sich als eigene Laufwerke in das Dateisystem einhängen (mounten), so dass man ein File einfach nur dorthin verschieben muss, um es zu verschlüsseln. Das Mounten wird durch ein eigenes Passwort geschützt. Sobald man den Container nicht mehr benötigt, kann man ihn einfach entmounten, um den Zugriff auf die Inhalte auch dann unmöglich zu machen, wenn sich jemand unter Ihrem Benutzernamen am Rechner anmeldet. Viele Containerprogramme können die Container auch auf einem Onlinespeicher wie Onedrive oder Google Drive erzeugen, so dass die dort gespeicherten Dateien sicher vor Zugriffen sowohl des Cloudanbieters wie auch von anderen Benutzern sind.

Die Containerfunktion beherrschen sowohl das kostenlose Profi-Tool Veracrypt wie auch mehrere kommerzielle Programme, darunter etwa Steganos Safe . Ganz gezielt an Cloudanwender richtet sich das ebenfalls kostenpflichtige Boxcryptor .

Als Open-Source-Alternative, die sich zudem durch eine betont einfache und übersichtliche Oberfläche auszeichnet, hat sich Cryptomator  von der deutschen Firma Skymatic etabliert. Im Cloudeinsatz hat dieses Programm gegenüber Veracrypt zudem den Vorteil, dass bei Veränderungen am lokalen Sync-Order nicht der gesamte Container aktualisiert und langwierig neu hochgeladen werden muss.

Systemverschlüsselung

Veracrypt kann mehrere Verschlüsselungsverfahren miteinander kombinieren.
Vergrößern Veracrypt kann mehrere Verschlüsselungsverfahren miteinander kombinieren.

Sinnvoller Systemschutz für Windows

Bitlocker und Veracrypt bieten an, einzelne Partitionen zu verschlüsseln. Auf Wunsch schützen die beiden Programme gezielt die Systempartition. Sinnvoll ist das beispielsweise, wenn ein PC von mehreren Personen benutzt wird und über eine Multiboot-Konfiguration verfügt, also zwei oder mehr Windows-Installationen vorhanden sind. In diesem Fall können Sie eine Installation über die Verschlüsselung wirksam vor Veränderungen schützen. Wenn ein Benutzer versucht, sie über das Bootmenü zu erreichen, wird er zur Eingabe eines Passworts aufgefordert.

Doch Vorsicht: Eine Verschlüsselung bedeutet zusätzliche Arbeit für die CPU. Da Windows in kurzen Abständen immer wieder auf den Datenträger zugreift, häufig unbemerkt im Hintergrund, wird der Prozessor von den Ver- und Entschlüsselungsprozessen ständig in Beschlag genommen, wenn auch natürlich nicht zu 100 Prozent. Je schneller und leistungsfähiger die CPU, desto geringer wirkt sich die Verschlüsselungsarbeit auf die Performance des Gesamtsystems aus. Tests haben jedoch ergeben, dass die Kombination aus verschiedenen Verschlüsselungsalgorithmen, die Veracrypt anbietet, besonders viel Rechenleistung bindet. Insbesondere auf älteren, langsameren Computern empfiehlt sich daher das als sicher geltende AES-256 als alleinige Verschlüsselungsmethode, da es im Vergleich mit Twofish und Serpent deutlich schneller ist.

Achten Sie bei der Systemverschlüsselung darauf, dass sämtliche Daten auf der gesicherten Partition bleiben. Stellen Sie also sicher, dass Temp-Ordner, Auslagerungsdatei, Benutzer-Verzeichnis und die aktuell bearbeiteten Files allesamt auf der verschlüsselten Partition liegen.

Hardwareverschlüsselung

Externe verschlüsselte Laufwerke wie der Intenso Memory Safe verlangen nach einer Passcode-Eingabe über das Tastenfeld an der Oberseite.
Vergrößern Externe verschlüsselte Laufwerke wie der Intenso Memory Safe verlangen nach einer Passcode-Eingabe über das Tastenfeld an der Oberseite.

Für besonders hohe Sicherheitsansprüche

Vor allem Unternehmen greifen gerne zu Festplatten und SSDs mit integriertem Krypto-Prozessor, sogenannten Self-Encrypting Drives (SEDs), die sämtliche Daten, die auf das Medium geschrieben werden, sicher verschlüsseln. Sobald der Computer gestartet oder aus dem Schlafmodus geholt wird, muss vor dem Zugriff auf den Datenträger ein Passwort eingegeben werden. Mit solchen Modellen lassen sich beispielsweise die Vorgaben der Datenschutz-Grundverordnung umsetzen. Der Vorteil einer Hardware- gegenüber einer Software-Verschlüsselung ist, dass keine Reste ungeschützter und nicht gelöschter Daten in den nicht belegten Bereichen des Mediums zurückbleiben. Hier ist einfach alles verschlüsselt, sogar die unsichtbaren Daten.

Der Nachteil von SEDs ist, dass sich die darauf gespeicherten Daten bei einer Beschädigung nicht wiederherstellen lassen, auch nicht durch ein professionelles Datenrettungsunternehmen. Denn die Verschlüsselung lässt sich nicht abschalten und arbeitet mit einem intern erzeugten Zufallswert, den Sie lediglich ändern, aber nicht abschalten können. Ein weiteres Problem beim Einsatz von SEDs ist, dass sie vom Bios unterstützt werden müssen und teilweise nach spezieller Zusatzsoftware oder aktiviertem Bitlocker-Schutz verlangen. Aus diesem Grund werden sie meist vorkonfiguriert zusammen mit Security- PCs und -Notebooks verkauft.

Neben internen SED-Laufwerken existieren auch USB-Modelle etwa von Intenso oder Lenovo. Entsprechende Festplatten besitzen entweder ein Tastenfeld, mit dem sie über einen Passcode freigeschaltet werden, oder der Besitzer muss sich über eine auf dem Computer installierte Verwaltungssoftware authentifizieren. Das Gleiche gilt für USB-Sticks, etwa von Kingston.

In den vergangenen Jahren demonstrierten Hacker auf Sicherheitskonferenzen, wie sich externe, per Hardware verschlüsselte Laufwerke knacken lassen, etwa über Manipulationen an der Firmware. Solche fortgeschrittenen Angriffsmethoden sind jedoch nur von Spezialisten durchführbar, im normalen Alltagsgebrauch sind die Medien als sicher anzusehen.

PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
2309692