Um vertrauliche Inhalte von Dokumenten und einzelnen Ordnern vor fremden Blicken zu verbergen, lassen sich die Dateien mit kostenlos erhältlichen Tools oder auch mit dem Windows-Dateisystem EFS sicher verschlüsseln. Darüber hinaus ist es aber auch möglich, komplette Partitionen zu verschlüsseln. Das ist in erster Linie dann sinnvoll, wenn sie auf mobilen Geräten und Datenträgern liegen, wie beispielsweise Notebooks, externen Festplatten oder USB-Sticks.
Diese Geräte gehen durchaus einmal verloren, und niemand will, dass in einem solchen Fall fremde Personen die eigenen Daten einsehen können.
Hinzu kommen zwei Spezialfälle:
- NAS-Geräte werden zwar normalerweise stationär eingesetzt und bleiben dauerhaft an ihrem Platz. Doch insbesondere dann, wenn die Netzwerkrechner von mehreren Personen genutzt werden, empfiehlt es sich oft, auch hier die gespeicherten Daten zu verschlüsseln.
- Und auch Cloudspeicher lässt sich verschlüsseln. Das ist immer dann eine sinnvolle Maßnahme, wenn mehrere Personen den Speicher nutzen, und schützt darüber hinaus Unternehmen vor den neugierigen Blicken der Konkurrenten und eventuell sogar der Geheimdienste.
Lesetipp: Vertrauliche Daten sicher von PC zu PC schicken
Aufgrund der unterschiedlichen Aufgaben der Partitionen auf einem PC und der verschiedenen Eigenschaften der Speichermedien ist keine Verschlüsselungssoftware für alle geeignet. Stattdessen empfehlen sich jeweils Spezialisten.
Systempartition: Mit Bitlocker geht’s am besten
Bitlocker kann nur die vorhandenen Dateien verschlüsseln oder das gesamte Laufwerk. Bei der Systempartition sollten Sie sich für die zweite Option entscheiden.
IDG
Für die Systempartition eines Rechners empfiehlt sich Bitlocker als Verschlüsselungsprogramm. Bitlocker ist integrierter Bestandteil von Windows, daher sind beim Booten keine Probleme zu erwarten.
Achtung: Die Bitlocker-Laufwerksverschlüsselung ist lediglich in Windows Pro und Education verfügbar. Dennoch gehen die Besitzer von Windows Home nicht leer aus, denn auch diese Version kann mit Bitlocker verschlüsselte Laufwerke wie etwa USB-Festplatten oder -Sticks zumindest lesen. Und falls der Rechner den Modern-Standby-Modus unterstützt, finden Sie in den „Einstellungen“ von Windows unter „Datenschutz und Sicherheit –› Geräteverschlüsselung“ eine auf Bitlocker basierende Verschlüsselung für die Systempartition. Lediglich das Verschlüsseln von Datenpartitionen ist mit dem Bitlocker in Windows Home dann nicht möglich.
Siehe auch: Windows Pro-Funktionen für Home nachrüsten – so geht’s
So gehen Sie vor: Tippen Sie Bitlocker ins Suchfeld der Taskleiste und klicken Sie auf „Bitlocker verwalten“. Es öffnet sich das Fenster „Bitlocker-Laufwerksverschlüsselung“. Klicken Sie dort auf „Bitlocker aktivieren“. Windows fragt Sie nun, wo es den Wiederherstellungsschlüssel sichern soll. Diesen Schlüssel benötigen Sie, falls Sie das Bitlocker-Passwort oder die PIN einmal vergessen sollten.
Windows bietet an dieser Stelle drei Optionen an: das Microsoft-Konto, eine lokale Datei oder einen Ausdruck. Aufgrund der hohen Flexibilität empfehlen wir die Datei-Option. Speichern Sie das File am besten auf einem USB-Stick.
Im nächsten Schritt wählen Sie „Gesamtes Laufwerk verschlüsseln“, im folgenden Fenster sollten Sie sich dann für „Neuer Verschlüsselungsmodus“ entscheiden. Zum Schluss setzen Sie ein Häkchen vor „Bitlocker-Systemüberprüfung ausführen“. Nach einem Neustart des Computers beginnt die Verschlüsselung der Partition.
Sobald der Vorgang abgeschlossen ist, bootet der Rechner wie gewohnt zur Windows-Anmeldung. Anders als zuvor ist es jetzt nicht mehr möglich, ohne Anmeldung bei Windows auf die Daten zuzugreifen, also auch nicht mit einer Boot-CD oder über den Einbau der Festplatte in einen anderen Rechner.
Die Freeware Veracrypt (nächster Punkt) kann auch Systempartitionen verschlüsseln, was seit Jahren zuverlässig funktioniert. Dennoch empfehlen wir Bitlocker allen Anwendern, die das Tool nutzen können.
Systemlaufwerk mit Pin schützen
Nach Aktivieren der Bitlocker-Richtlinie taucht im Fenster der Bitlocker-Laufwerkverschlüsselung ein neuer Eintrag für die Definition einer PIN auf.
IDG
Auch bei einem mit Bitlocker verschlüsselten Laufwerk C: können Sie ohne Passwort- und PIN-Eingabe zur Windows-Anmeldung booten.
Wer das nicht möchte, kann vor dem Anmeldebildschirm eine PIN-Abfrage per Gruppenrichtlinie aktivieren. Tippen Sie gpedit ins Suchfeld der Startleiste und klicken Sie auf „Gruppenrichtlinie bearbeiten“. Klicken Sie unter „Richtlinie für Lokaler Computer“ auf „Administrative Vorlagen –› Windows-Komponenten –› Bitlocker-Laufwerksverschlüsselung –› Betriebssystemlaufwerke“. Öffnen Sie auf der rechten Seite die Gruppenrichtlinie „Zusätzliche Authentifizierung beim Start anfordern“. Klicken Sie auf den Radio-Button „Aktiviert“, stellen Sie sicher, dass unter „TPM-Systemstart-PIN konfigurieren“ die Option „Systemstart-PIN bei TPM zulassen“ ausgewählt ist, und bestätigen Sie mit „OK“.
Rufen Sie nun wie vorher beschrieben die Bitlocker-Laufwerksverschlüsselung auf. Dort sehen Sie nun die Option „Ändern, wie das Laufwerk beim Start entsperrt wird“. Nach einem Klick startet ein Assistent, bei dem Sie über den Befehl „PIN eingeben (empfohlen)“ eine PIN mit einer Länge zwischen sechs und 20 Zeichen definieren können. Alternativ dazu bietet Windows das Speichern eines Schlüssels auf einem USB-Stick an.
Beim nächsten Start des Rechners fordert Windows Sie direkt nach dem Bootvorgang zur Eingabe der PIN beziehungsweise zum Anschließen des Sticks auf.
Datenlaufwerk: Einfach mit Veracrypt verschlüsseln
Die Verschlüsselung einzelner Partitionen erledigen Sie am besten mit Veracrypt, das in dieser Hinsicht die meisten Anpassungsmöglichkeiten bietet.
IDG
Veracrypt ist eine Open-Source-Software, die sich zum Verschlüsseln von Dateien und Ordnern genauso eignet wie zum Verschlüsseln ganzer Laufwerke.
Nach der Installation stellen Sie zunächst unter „Settings –› Preferences –› More Settings –› Language“ die Sprache auf Deutsch um. Dann klicken Sie auf „Volumen erstellen“, um den Assistenten zu starten. Markieren Sie „Eine Partition / ein Laufwerk verschlüsseln“, entscheiden Sie sich für ein „Standard-Verycrypt-Volume“, und klicken Sie im folgenden Fenster auf „Datenträger“. Markieren Sie die Partition, die Sie verschlüsseln möchten, und bestätigen Sie mit „OK“.
Im nächsten Schritt wählen Sie „Partition ‚in-place‘ verschlüsseln“ – mit dieser Option verschlüsseln Sie ein bereits bestehendes Laufwerk mit gespeicherten Daten. Die Alternative „Verschlüsseltes Volumen erstellen und formatieren“ löscht (!) hingegen sämtliche vorhandenen Dateien auf dem gewählten Laufwerk und legt eine neue Partition an.
Veracrypt enthält einen Benchmarktest, mit dessen Hilfe Sie abschätzen können, welche Verschlüsselungsmethode auf Ihrem PC die schnellste ist.
IDG
Die Einstellungen im nächsten Fenster zum Verschlüsselungsalgorithmus können Sie übernehmen. Anschließend geht es um die Definition eines Passworts; es sollte mindestens 20 Zeichen umfassen. Im Folgenden erscheint das Fenster „Zufällige Daten sammeln“. Bewegen Sie den Mauszeiger mindestens 30 Sekunden lang über das Feld mit den Sonderzeichen, um die Verschlüsselung sicherer zu machen. Beim Löschmodus können Sie es bei der Voreinstellung „Ohne (am schnellsten)“ belassen.
Klicken Sie dann zum Schluss auf „Verschlüsseln“, um mit dem Vorgang zu beginnen. Je größer die Partition und je mehr Daten sie enthält, desto länger dauert die Verschlüsselung. Bestätigen Sie die Warnung mit „OK“, und klicken Sie auf „Verschlüsseln“.
Sobald der Vorgang abgeschlossen ist, markieren Sie im Hauptfenster von Veracrypt einen freien Laufwerksbuchstaben und klicken auf „Einhängen“. Tippen Sie das Passwort ein, oder geben Sie den Pfad zur Schlüsseldatei an.
Nach einiger Zeit erscheint im Windows-Explorer ein neues Laufwerk mit dem gewählten Buchstaben; Sie können frei darauf zugreifen. Nachdem Sie es jedoch in Veracrypt über „Trennen“ wieder aus dem System entfernt haben, ist ohne Kenntnis des Passworts oder die Schlüsseldatei kein Zugriff darauf möglich.
USB-Festplatte: Mit Veracrypt verschlüsseln
Für die Verschlüsselung externer USB-Festplatten empfiehlt es sich, mit Veracrypt auf dem leeren Datenträger ein verschlüsseltes Laufwerk anzulegen.
IDG
Veracrypt eignet sich auch gut für die Verschlüsselung von externen Laufwerken. Wenn Sie die Festplatte bereits in Gebrauch haben, gehen Sie genauso vor wie zuvor für das Datenlaufwerk beschrieben (siehe oben). Bei neuen, noch nicht beschriebenen Modellen können Sie die Verschlüsselung hingegen beschleunigen:
Schließen Sie das Laufwerk an und rufen Sie Veracrypt auf. Klicken Sie auf „Volume erstellen“ und im nächsten Fenster auf „Eine Partition / ein Laufwerk verschlüsseln“. Weiter geht’s mit „Standard-Veracrypt-Volume“ und die Auswahl des Laufwerks mit dem Button „Datenträger“. Anschließend markieren Sie „Verschlüsseltes Volume erstellen und formatieren“, übernehmen die Vorschläge für die Verschlüsselungseinstellungen, überprüfen die Volumengröße, geben ein Passwort ein und formatieren schließlich das Laufwerk, nachdem Sie zuvor die Sicherheit der Verschlüsselung noch durch einige Mausbewegungen erhöht haben. Mit der Auswahl „Schnell-Formatierung“ ist die Verschlüsselung in kürzester Zeit erledigt. Klicken Sie im letzten Fenster auf „Beenden“.
Zurück im Hauptfenster von Veracrypt gehen Sie auf „Datenträger“ und wählen das verschlüsselte Laufwerk aus. Markieren Sie den gewünschten Laufwerksbuchstaben und klicken Sie auf „Einhängen“. Tippen Sie das Passwort ein und bestätigen Sie mit „OK“. Im Windows-Explorer taucht das Laufwerk nun zweimal auf, einmal mit dem ursprünglichen und einmal mit dem neu definierten Buchstaben.
Beim Klick auf die ursprüngliche Partition verlangt Windows nun, dass Sie einen Datenträger einlegen; das verschlüsselte Laufwerk hingegen können Sie wie gewohnt mit Daten bestücken. Doch Achtung: Um Datenverluste zu vermeiden, sollten Sie das Laufwerk, bevor Sie es abziehen, immer zunächst in Veracrypt mit einem Klick auf „Trennen“ abmelden.
USB-Stick: Bitlocker to Go für Nutzer von Windows Pro
Wenn Sie den USBStick auch an andere Computer anschließen wollen, sollten Sie für die Verschlüsselung den kompatiblen Modus einstellen.
IDG
Sticks werden meist nur kurz an einen Rechner angeschlossen und nach wenigen Minuten wieder abgezogen. Um sie zu verschlüsseln, eignet sich die mobile Verschlüsselung Bitlocker To Go besser als Veracrypt.
Öffnen Sie das Fenster der Bitlocker-Laufwerksverschlüsselung. Dort sollte unter „Wechseldatenträger – Bitlocker To Go“ bereits der Laufwerksbuchstabe des USB-Sticks mit der Beschreibung „Bitlocker deaktiviert“ erscheinen. Klicken Sie den Link an, wählen Sie „Bitlocker aktivieren“, warten Sie, bis die Initialisierung abgeschlossen ist, und setzen Sie ein Häkchen vor „Kennwort zum Entsperren des Laufwerks verwenden“. Definieren Sie ein Kennwort, und speichern Sie den Wiederherstellungsschlüssel in einer Datei auf der eingebauten Festplatte Ihres PCs.
Je nachdem, ob der Stick bereits Daten enthält oder nicht, wählen Sie „Nur verwendeten Speicherplatz verschlüsseln“ oder „Gesamtes Laufwerk verschlüsseln“. Wenn Sie den Stick auch an anderen Windows-Rechnern verwenden wollen, markieren Sie im nächsten Fenster „Kompatibler Modus“. Klicken Sie zum Schluss auf „Verschlüsselung starten“. Sobald der Stick verschlüsselt ist, fordert Windows beim Anschließen das Kennwort an, bevor es den Zugriff freigibt.
Cloudspeicher: Cryptomator für schnelle Verschlüsselung
Cryptomator ist eine deutsche Open-Source-Software, die mit verschlüsselten Container-Dateien arbeitet. Ein solcher Container heißt in Cryptomator „Tresor“ und lässt sich auch auf einem Cloudspeicher wie etwa Onedrive ablegen.
Alle Dateien, die Sie dann im Tresor speichern, werden automatisch verschlüsselt. Klicken Sie in Cryptomator auf „Tresor hinzufügen –› Neuen Tresor erstellen“. Vergeben Sie einen Namen, und wählen Sie im folgenden Fenster Ihren Cloudspeicher aus. Cryptomator gibt die Standard-Sync-Verzeichnisse von Google Drive und Onedrive vor, die Ordner von anderen Clouddiensten konfigurieren Sie selbst. Legen Sie ein Passwort an, und schützen Sie es vor Verlust mit einem Wiederherstellungsschlüssel.
Klicken Sie zum Schluss auf „Tresor erstellen“ und anschließend auf „Jetzt entsperren“. Nach Eingabe des Passworts leitet Cryptomator Sie mit „Laufwerk anzeigen“ direkt zu Ihrem Tresor. Die Software hat ihm automatisch einen freien Laufwerksbuchstaben zugewiesen. Sobald Sie ihn nicht mehr benötigen, sollten Sie den Tresor in Cryptomator mit „Sperren“ wieder schließen.
Nas-Geräte mit eingebauter Verschlüsselung sichern
Bei NAS-Geräten von Synology können Sie mit Bordmitteln lediglich eine Verschlüsselung für freigegebene Ordner einrichten.
IDG
Viele NAS-Geräte sind klein und leicht genug, um ein lohnendes Ziel für Diebstähle zu sein. Insbesondere in Umgebungen, zu denen mehrere Personen Zugang haben, sollten Sie die Daten daher verschlüsseln.
Die beiden Marktführer Qnap und Synology bieten in ihren Betriebssystemen eine sichere Verschlüsselung auf Basis von AES-256 an. Allerdings mit einem gewichtigen Unterschied: Qnap erlaubt die Verschlüsselung kompletter Volumes, während Synology lediglich gemeinsame Ordner verschlüsseln kann. Eine Alternative ist in beiden Fällen das Open-Source-Betriebssystem True NAS Core, früher bekannt als Free NAS, das eine integrierte Laufwerkverschlüsselung mitbringt.
Eine andere Möglichkeit ist es, mit Veracrypt auf dem lokalen Computer eine verschlüsselte Container-Datei anzulegen und diese manuell per Explorer auf das NAS zu verschieben. Klicken Sie dann in Veracrypt auf „Datei“, geben den Pfad zu dem Container auf dem NAS an und klicken auf „Einhängen“.