Die kostenlose Software Veracrypt zählt zu den beliebtesten Verschlüsselungsprogrammen für Privatanwender. Aus gutem Grund: Hat man sich die Handhabung des Tools einmal angeeignet, lässt es sich einfach nutzen. Das Tool arbeitet sehr schnell und gilt sicherheitstechnisch als besonders zuverlässig. Die meisten Anwender nutzen die Software, um damit einen verschlüsselten Container für Dateien zu erstellen. Veracrypt nennt diese Container auch Volumes. Ein Container ist zunächst mal eine verschlüsselte Datei in einer frei wählbaren Größe. Diese Datei wird nach Eingabe eines Passworts entschlüsselt und automatisch als neues Laufwerk in Windows eingebunden. Der Inhalt des Containers erscheint in diesem Laufwerk, und Sie können die Dateien wie auf einem gewöhnlichen Laufwerk behandeln. Der Unterschied: Sobald Sie das Laufwerk mit Veracrypt per Befehl „Trennen“ wieder entfernen, sind alle Daten darin sicher verschlüsselt und nur für den zugänglich, der das Passwort kennt. Eine ausführliche Anleitung zum Erstellen solcher Container finden Sie in diesem Ratgeber . Tipps für die Profifunktionen von Veracrypt finden Sie hier.
Ein Hinweis noch vorweg: Veracrypt hat die Angewohnheit, einige seiner Assistenten nach Abschluss der Aktion wieder von vorne zu starten. Das passiert etwa nach dem Erstellen eines Containers. Klicken Sie dann einfach auf Abbrechen, um den Assistenten zu beenden.
Tipp: So verschlüsseln Sie E-Mails ganz einfach
Vor der Verschlüsselung kommt unbedingt ein Backup
Bevor Sie ein komplettes Laufwerk inklusive Daten verschlüsseln, sollten Sie die Dateien zuvor unbedingt sichern. Zwar arbeitet Veracrypt seit Jahren sehr zuverlässig, doch Fehler können trotzdem passieren. Das Backup-Gebot gilt für Daten- und für Systemlaufwerke. Empfehlenswert ist etwa das Backup- und Image-Tool Acronis True Image . Darin können Sie übrigens auch angeben, dass das Backup verschlüsselt werden soll. Eine wichtige Funktion, da Sie die Daten ja schützen möchten.
So verschlüsseln Sie komplette Partitionen
Das Verschlüsseln von ganzen Laufwerken funktioniert mit Veracrypt unkompliziert, wenn Sie ein paar Kleinigkeiten beachten. In diesem Beispiel verschlüsseln wir einen kompletten USB-Stick. Wählen Sie dafür in Veracrypt den Assistenten unter „Volume erstellen –› Verschlüsselt eine Partition / ein Laufwerk –› Standard Veracrypt-Laufwerk“.
Datenträgerauswahl: Im nächsten Fenster steht die Datenträgerauswahl an. Vorsichtig sollten Sie bei der angebotenen Historie neben dem Button „Datenträger“ sein: Diese ist bei externen Datenträgern nicht eindeutig. So kann „DeviceHarddisk1 Partition1“ einmal Ihren USB-Stick und nach einem Windows-Neustart Ihre externe Festplatte bezeichnen. Beim Klick auf „Datenträger“ dagegen öffnet sich ein neues Fenster, und Ihnen werden zu einem Laufwerk auch der Laufwerksname (falls vorhanden) sowie Laufwerksbuchstabe und -größe angezeigt. Das hilft bei der Zuordnung ungemein. Das Systemlaufwerk können Sie an dieser Stelle nicht auswählen, da das einen anderen Assistenten in Veracrypt voraussetzt. Meiden Sie auch kleine Partitionen mit ein paar MB Größe, die Sie nicht kennen. Dabei handelt es sich meist um systemrelevante Partitionen. In unserem Beispiel ist der USB-Stick leicht an seiner Größe erkennbar. Wählen Sie die gewünschte Partition sorgfältig aus und klicken Sie auf „Ok“ sowie anschließend auf „Weiter“, um zum Fenster „Volume-Erstellmodus“ zu gelangen.
Erstellmodus: Im „Volume-Erstellungsmodus“ zeigt Veracrypt als erste Auswahlmöglichkeit „Verschlüsseltes Volume erstellen und formatieren“. Achtung: Diese Option löscht alle Daten auf dem Laufwerk. Die zweite Möglichkeit („Partition ‚in-place‘ verschlüsseln“) behält die Daten und verschlüsselt sie. Voraussetzung für die zweite Möglichkeit ist ein NTFS-Laufwerk. Wählen Sie die Methode je nach Ihren Anforderungen.
Verschlüsselung wählen und abschließen: Der Assistent führt Sie nun weiter durch den Verschlüsselungsprozess. Was dabei zu beachten ist, steht im Kasten unten. Haben Sie beim „Volume-Erstellungsmodus“ die Methode „Partition ‚inplace‘ verschlüsseln“ gewählt, fragt Sie der Assistent noch nach einer Löschmethode. Damit legen Sie fest, wie die unverschlüsselten Originaldateien gelöscht werden sollen, nachdem Veracrypt davon Kopien in den verschlüsselten Container gepackt hat.
Meldungen beachten: Bei Problemen meldet sich Veracrypt automatisch. Möchten Sie etwa einen USB-Stick verschlüsseln und haben das Laufwerk des Sticks statt der darauf enthalten Partition ausgewählt, warnt Veracrypt vor Gefahren. Wählen Sie dann wie vorgeschlagen die Partition des Sticks, geht es ohne Beschwerde weiter.
So wählen Sie den passenden Schlüssel in Veracrypt
Wenn Sie mit Veracrypt einen neuen Container oder eine Partition verschlüsseln, bietet das Programm mehrere Optionen an. Sie können zwischen „Passwort“ und „Schlüsseldatei“ wählen sowie einen Wert für die Iterationen („PIM“) angeben und den Verschlüsselungsalgorithmus wählen.
Darauf sollten Sie bei der Verschlüsselung achten:
Passwort: Je länger das Passwort, desto besser. Veracrypt erachtet ein Passwort ab 20 Zeichen als sicher. Nach der Eingabe des Passworts müssen Sie in einem weiteren Fenster den Mauszeiger bewegen. Auf diese Weise erzeugen Sie Zufallszahlen, die den Schlüssel sicherer machen.
Tipp: Lassen Sie sich das eingegebene Passwort durch einen Klick auf „Passwort anzeigen“ einblenden. Es besteht die Gefahr, dass Sie sich vertippt haben oder dass in dem Moment der Eingabe ein anderes Tastaturlayout eingestellt ist. Wenn Sie die Eingabe nicht kontrollieren, aber ein anderes Passwort vergeben haben als gedacht, dann können Sie Ihre Daten nicht mehr entschlüsseln. Sie sind und bleiben unzugänglich.
Personal Iterations Multiplier (PIM): Sie können einen Wert im Feld „PIM“ angeben. Damit bestimmen Sie, mit wie vielen Wiederholungen Ihr Passwort durch die Hashfunktion läuft, bevor es zum Verschlüsseln der Daten verwendet wird. Das erhöht den Aufwand für Passwortknacker.
Grundsätzlich gilt hierfür: Ein kurzes Passwort lässt sich mit einem hohen PIM-Wert sicherer machen. Ein langes Passwort schützt auch mit einem niedrigen PIM-Wert.
Unsere Empfehlung für die meisten Container lautet: Vergeben Sie ein langes Passwort mit mindestens 20 Zeichen und lassen Sie das PIM-Feld leer. Dann nutzt Veracrypt den Standardwert von 500.000 Durchgängen. Der niedrigste PIM-Wert 1 setzt die Iterationen auf 16.000 bei verschlüsselten Partitionen und 2.048 bei Systempartitionen. Je höher der PIM-Wert, desto länger dauert das Entschlüsseln eines Volumes. Auf die Arbeitsgeschwindigkeit nach dem Entschlüsseln hat der Wert aber keinen Einfluss. Diese hängt am verwendeten Algorithmus und der PC-Hardware.
Verschlüsselungsalgorithmus: Die Wahl des Algorithmus für die Verschlüsselung hat entscheidenden Einfluss auf die Sicherheit und Lese-/Schreibgeschwindigkeit der Daten. Einen Überblick über gängige Verschlüsselungsalgorithmen finden Sie hier . Wir empfehlen den bewährten AES-Algorithmus. Dieser ist zusammen mit dem Hash-Algorithmus SHA-512 in Veracrypt voreingestellt.
Schlüsseldatei: Statt eines Passworts oder auch zusätzlich lässt sich ein Volume mit einer Datei als Schlüssel schützen. Weitere Infos dazu finden Sie im nächsten Kasten.
So erstellen Sie einen gut versteckten Container
Mit Veracrypt lassen sich auch versteckte Container erstellen. Bei dieser Methode wird innerhalb eines sichtbaren Containers (Volumes) ein weiterer, unsichtbarer Container mit einem eigenen Passwort erstellt. Der Vorteil: Wenn jemand anderes den ersten Container entdeckt und Sie zwingt, das Passwort dafür zu verraten, dann bleibt der zweite Container trotzdem unentdeckt. Er fällt weder durch seine Dateigröße noch durch andere Details auf.
Am einfachsten erstellen sie einen versteckten Container, wenn Sie sich für „Kompletter Modus“ entscheiden. So erstellt Veracrypt den sichtbaren und den unsichtbaren Container in einem Rutsch. Wichtig: Wenn Sie einen versteckten Container auf einem Laufwerk, etwa einem USB-Stick, erstellen wollen, dürfen darauf zunächst keine Daten gespeichert sein, da Veracrypt den Datenträger formatiert.
So geht’s: Wählen Sie in Veracrypt „Volume erstellen –› Verschlüsselt eine Partition / ein Laufwerk –› Verstecktes Veracrypt- Laufwerk“. Im nächsten Fenster wählen Sie „Kompletter Modus“, um sowohl den sichtbaren Container (Volume) als auch den darin befindlichen unsichtbaren Container zu erstellen. Ein Klick auf „Datenträger“ bringt Sie zum Auswahlfenster mit allen verfügbaren Partitionen und Laufwerken.
Nach der Wahl von Passwort und Verschlüsselungsalgorithmus erstellt Veracrypt den ersten Container. Über „Äußeres Volume öffnen“ greifen Sie darauf zu und kopieren einige unwichtige Dateien hinein, die einen Spion ablenken sollen. Machen Sie das gleich, später kann das Schreiben in den äußeren Container zu Datenverlust im inneren Container führen.
Danach erstellen Sie über „Weiter“ im Veracrypt-Assistenten den inneren Container, in den Sie dann die wirklich wichtigen und vertraulichen Daten speichern können. Dieser Container muss ein anderes Passwort erhalten als der äußere.
Siehe auch: Ist mein PC gehackt? So erkennen Sie Angriffe
So binden Sie das verschlüsselte Laufwerk in Windows ein
Wenn Sie auf das verschlüsselte Laufwerk zugreifen möchten, dann müssen Sie es zuerst mit Veracrypt entschlüsseln und einem Laufwerksbuchstaben zuweisen. Ist Ihr Container eine Datei, wählen Sie in Veracrypt „Datei“. Möchten Sie einen verschlüsselten Datenträger einbinden, wählen Sie in Veracrypt den Button „Datenträger“. Wählen Sie zudem einen Laufwerksbuchstaben aus der Liste in Veracrypt und klicken Sie auf „Einbinden“.
Versteckte Container einbinden: Um einen versteckten Container als Laufwerk einzubinden, wählen Sie wie gewohnt die Datei oder den Datenträger des äußeren Containers aus. Doch als Passwort geben Sie das Passwort des inneren Containers ein. Veracrypt bindet dann diesen als Laufwerk ein und ignoriert den äußeren.
Wichtig: Wenn Sie einen kompletten Datenträger, etwa einen USB-Stick, verschlüsselt haben, dann greifen Sie nicht vor der Entschlüsselung mit dem Windows-Explorer darauf zu. Denn der Explorer würde Ihnen melden, dass Sie den USB-Stick vor der Nutzung formatieren müssen. Kommen Sie dem nach, vernichten Sie alle Daten auf dem Laufwerk.
Systemverschlüsselung
Sie können mit Veracrypt auch das Systemlaufwerk verschlüsseln. Das empfiehlt sich etwa für Notebooks, die auch mit nach draußen genommen werden. Als Verschlüsselungsalgorithmus empfiehlt sich hier AES, da dieser flott arbeitet und es so nur zu sehr geringen Verzögerungen beim Festplattenzugriff kommt.
So geht’s: Wählen Sie in Veracrypt „Volume erstellen –› Eine System-Partition bzw. ein System-Laufwerk verschlüsseln“. Klicken Sie auf „Normal“, um die vorhandene Systempartition zu verschlüsseln. An dieser Stelle gibt es auch die Möglichkeit, eine versteckte Systempartition zu erstellen. Nach einem Klick auf „Weiter“ wählen Sie „Die Windows-System-Partition verschlüsseln“. Nutzen Sie auf Ihrem Rechner nur ein Windows, wählen Sie anschließend „Ein Betriebssystem“, nutzen Sie aber mehrere Systeme im Multibootverfahren, wählen Sie die andere Option. Es folgt die Auswahl von Passwort und Verschlüsselung. Folgen Sie den weiteren Anweisungen des Assistenten, der unter anderem ein bootfähiges Rettungs-ISO auf Ihrer Festplatte speichert. Am besten brennen Sie diese ISO-Datei gleich auf CD oder erstellen mithilfe des Tools Veracrypt USB Rescue Disk einen USB-Stick. Der Veracrypt-Assistent bietet an, diese CD umgehend zu prüfen. Wenn Sie dem zustimmen, geht es erst weiter, wenn die Überprüfung erfolgreich war. Sollten Sie das ISO nicht gleich brennen wollen, können Sie es mit der rechten Maustaste anklicken und „Bereitstellen“ wählen. Windows bindet das ISO als virtuelle CD ein. So kann Veracrypt die CD prüfen und den Assistenten fortsetzen.
Folgen Sie dem Veracrypt-Assistenten weiter, der zunächst einen Verschlüsselungstest inklusive Neustart durchführt. Ist dieser Test erfolgreich, geht es ans tatsächliche Verschlüsseln.
Achtung: An dieser Stelle zeigt Veracrypt eine Anleitung für die Nutzung der Notfall-CD an. Drucken Sie sich diese am besten aus, um im Notfall darauf zugreifen zu können. Speichern Sie sie nicht auf die zu verschlüsselnde Partition.
Nach Abschluss der Systemverschlüsselung müssen Sie bei einem Neustart zunächst das Passwort eingeben und Enter drücken. Haben Sie keine Angabe bei „PIM“ gemacht, lassen Sie das Feld beim Neustart leer und drücken ebenfalls Enter (siehe Abbildung im Kasten unten).
So nutzen Sie die Notfall-CD von Veracrypt
Sollte eine verschlüsselte Systempartition trotz richtigem Passwort nicht starten wollen, nutzen Sie die bootfähige Notfall-CD von Veracrypt. Sie kann Probleme mit dem Bootloader beheben. Sie hilft allerdings nicht, wenn Sie das Passwort vergessen haben. Wie Sie die CD nutzen, steht in der Anleitung, die Sie sich kurz vor der Verschlüsselung der Systempartition ausgedruckt haben. Kurz gesagt können Sie im Menü der Rettungs-CD „Repair Options“ mittels F8-Taste wählen und dann „Restore Veracrypt Bootloader“ mit „Y“ bestätigen, um die Aktion auszuführen. Die CD hält ein paar weitere Rettungswerkzeuge bereit, die in der Anleitung beschrieben sind.
Tipps zu den Veracrypt-Containern
1. Veracrypt-Laufwerk schnell trennen: Klicken Sie mit der rechten Maustaste auf das Veracrypt-Laufwerk im Windows-Explorer, um aus dem Kontextmenü den Trennen-Befehl auszuwählen.
2. Kennwort ändern: Sie können das Passwort eines Containers ändern, wenn er gerade nicht geöffnet ist. Wählen Sie den Container in Veracrypt über „Datei“ aus und klicken Sie dann auf „Volumes –› Volume-Passwort ändern“.
3. Schlüsseldatei verwenden: Wenn Sie einen Container erstellen, können Sie zusätzlich zum Passwort oder auch ersatzweise eine Schlüsseldatei wählen. Das kann jede beliebige Datei auf Ihrem PC sein, etwa eine MP3-Datei oder ein Foto. Zum Entschlüsseln des Containers wählen Sie dann diese Datei aus.
Wichtig: Sie dürfen diese Datei nicht verändern oder löschen. Sie ist Ihr Schlüssel zum Volume.
4. Container automatisch laden: Soll mit jedem Windows-Start auch ein Container entschlüsselt werden, müssen zwei Bedingungen erfüllt sein: Veracrypt muss zusammen mit Windows starten, und Sie müssen ein entschlüsseltes Volume zu den Favoriten in Veracrypt hinzufügen. Wie das genau geht, verrät dieser Beitrag .
Autor: Arne Arnold
Arne Arnold arbeitet seit über 15 Jahren bei der PC-WELT als Redakteur in den Bereichen Software und Internet. Sein Schwerpunkt liegt auf dem Thema Sicherheit für Endanwender bei PC und Mobil-Geräten.