158342

USB-Sticks verschlüsseln mit Bitlocker oder Veracrypt

18.09.2017 | 09:10 Uhr |

Insbesondere im Zusammenhang mit USB-Sticks spielt das Thema Datenschutz eine große Rolle. Sicherheitsbewusste Nutzer schützen ihre Daten mit Bitlocker To Go oder greifen zu Veracrypt. Wir zeigen Ihnen, wie es geht.

Sie Speichern wichtige Dokumente auf Ihrem USB-Stick und möchten unter allen Umständen verhindern, dass diese Informationen in die falschen Hände gelangen? Oder Sie wollen nicht, dass jemand Ihr portables Mailprogramm verwendet? Kein Problem. Denn es gibt unter Windows gleich mehrere Wege, um den Zugriff von Dritten unmöglich zu machen.

Noch besser ist jedoch, dass Sie für diese Extraportion Sicherheit kein Geld ausgeben müssen. In diesem Beitrag stellen wir Ihnen verschiedene Möglichkeiten vor, um die auf einem USB-Stick gespeicherten Ordner und Dateien vor Missbrauch zu schützen.

Einzelne Ordner mit den Windows-Bordmitteln verschlüsseln

Um unter Windows schnell einen Ordner zu verschlüsseln, brauchen Sie keine spezielle Software installieren. Denn das funktioniert auch mit Bordmitteln. Hierbei spielt es keine Rolle, ob der Ordner auf einer internen Festplatte oder einem USB-Stick liegt. Einzige Voraussetzung ist, dass Laufwerk oder USB-Stick mit dem Dateisystem NTFS formatiert sind – mit FAT/FAT32 funktioniert es nicht.

Klicken Sie den Ordner im Windows-Explorer mithilfe der rechten Maustaste an, wählen Sie im folgenden Schritt „Eigenschaften“ und klicken Sie danach im Register „Allgemein“ auf „Erweitert“. Im nächsten Dialog aktivieren Sie „Inhalt verschlüsseln, um Daten zu schützen“ und bestätigen mit „OK“. Anschließend legen Sie im Dialog „Änderungen der Attribute bestätigen“ fest, ob die Verschlüsselung lediglich für diesen Ordner oder ebenfalls für alle Unterverzeichnisse gelten soll, und beenden den Vorgang mit „OK“. Windows verschlüsselt daraufhin die Ordnerinhalte.

Im Test dauerte das Verschlüsseln eines rund 1,4 GB großen Ordners mit rund 13 500 Dateien weit über 60 Minuten.

Ist der USB-Stick mit dem Dateisystem NTFS formatiert, lassen sich Ordner und Unterordner über ihre Eigenschaften ganz einfach mit einer Windows-eigenen Funktion verschlüsseln und schützen.
Vergrößern Ist der USB-Stick mit dem Dateisystem NTFS formatiert, lassen sich Ordner und Unterordner über ihre Eigenschaften ganz einfach mit einer Windows-eigenen Funktion verschlüsseln und schützen.

Eine Betriebssystemmeldung macht Sie zum Abschluss noch darauf aufmerksam, dass Sie das Datenverschlüsselungszertifikat sowie den Schlüssel sichern sollten. Weil der Zugriff auf die verschlüsselten Dateien nicht mehr möglich ist, wenn Zertifikat oder Schlüssel beschädigt werden, sollten Sie diesen Rat unbedingt befolgen. Klicken Sie auf „Jetzt sichern (empfohlen)“ und folgen Sie den Anweisungen des Assistenten, um die Sicherheitsinformationen zu speichern. Dabei ist es ratsam, sich im Dialog „Sicherheit“ für ein sicheres Kennwort zu entscheiden und der Zertifikatdatei als Nächstes eine aussagekräftige Bezeichnung zu geben. Die standardmäßig im Ordner „C:\Benut zer\Benutzername\Dokumente“ gespeicherte PFX-Datei sollten Sie aus Sicherheitsgründen kopieren und zusätzlich noch auf einem anderen Laufwerk sichern.

Dass einzelne Ordner verschlüsselt sind, erkennen Sie im Windows-Explorer an einem speziellen Symbol. Da dieses Icon allerdings lediglich in den Ansichten „Mittelgroße Symbole“, „Große Symbole“ und „Extra große Symbole“ angezeigt wird, empfehlen wir Ihnen, den Windows-Explorer dahingehend zu konfigurieren, dass die Namen verschlüsselter Ordner in grüner Farbe angezeigt werden. Klicken Sie im Windows-Explorer auf das Register „Ansicht“, wählen Sie danach ganz links das Menüsymbol „Optionen“ und klicken Sie auf „Ordner-und Suchoptionen ändern“. Im Register „Ansicht“ aktivieren Sie die Option „Verschlüsselte oder komprimierte NTFS-Dateien in einer anderen Farbe anzeigen“ und bestätigen außerdem mit einem Klick auf die Schaltfläche „OK“.

Um zu überprüfen, ob der Schutzmechanismus funktioniert, werfen Sie den USB-Stick aus und schließen ihn an einem anderen Windows-Gerät an. Wenn Sie einen verschlüsselten Ordner öffnen, so werden die Inhalte zwar angezeigt, doch sobald Sie versuchen, eine Datei zu öffnen, macht Windows Sie darauf aufmerksam, dass Sie nicht über die erforderlichen Berechtigungen dafür verfügen.

Tipp: USB-Stick mit 2 Terabyte Speicherkapazität

USB-Stick unter Windows mit Bitlocker To Go verschlüsseln

Die Pro-Versionen von Windows bieten mit der Bitlocker-Laufwerkverschlüsselung und Bitlocker To Go ausgezeichnete Funktionen, um HDDs und USB-Laufwerke zu verschlüsseln.
Vergrößern Die Pro-Versionen von Windows bieten mit der Bitlocker-Laufwerkverschlüsselung und Bitlocker To Go ausgezeichnete Funktionen, um HDDs und USB-Laufwerke zu verschlüsseln.

Unabhängig davon, ob Sie mit Windows 10 arbeiten oder auf einem Zweitrechner immer noch Windows 8/8.1 oder 7 nutzen – wenn Sie sich für die Pro-Edition des Betriebssystems entschieden haben, verfügen Sie bereits über zwei effektive Verschlüsselungsmöglichkeiten: die Bitlocker-Laufwerkverschlüsselung für das Verschlüsseln einzelner Partitionen und kompletter Laufwerke sowie Bitlocker To Go für Wechseldatenträger wie USB-Sticks.

Die Einrichtung von Bitlocker To Go ist einfach. Schließen Sie den USB-Stick am Windows-10-Rechner an, klicken Sie auf „Start“ und wählen Sie erst „Einstellungen“, dann „System“. Wählen Sie in der linken Spalte den Eintrag „Info“ und klicken Sie im Hauptfenster unter „Verwandte Einstellungen“ auf den Hyperlink „BitLocker-Einstellungen“. Alternativ hierzu können Sie auch System in das Suchfeld eintippen, in der Liste der Fundstellen auf „Systemsteuerung“ klicken und als Nächstes „BitLocker-Laufwerkverschlüsselung“ wählen. Klicken Sie unter „Wechseldatenträger – BitLocker To Go“ auf den Eintrag, um die Liste der Wechsellaufwerke auszuklappen, und wählen Sie neben dem gewünschten USB-Stick „BitLocker aktivieren“.

Im Dialog „Methode zum Entsperren des Laufwerks“ entscheiden Sie sich jetzt für die Option „Kennwort zum Entsperren des Laufwerks verwenden“. Geben Sie nun ein sicheres Kennwort ein, das Sie sich leicht merken können. Dieses Passwort müssen Sie immer dann eingeben, wenn der Wechseldatenträger an einem anderen Windows-Rechner angeschlossen wird. Nach einem Klick auf „Weiter“ gelangen Sie zu dem Dialog „Wie soll der Wiederherstellungsschlüssel gespeichert werden?“.

USB-Sticks mit eingebauten Sicherheitsmechanismen

Fertige Sicherheitssticks haben gegenüber selbst gemachten USB-Sticks einen Vorteil: Sie arbeiten mit einem Kryptochip, in dem ein wichtiger Teil der Verschlüsselungstechnik steckt. Das macht die Sticks gegenüber reiner Softwareverschlüsselung zum einen deutlich schneller, zum anderen sind die geschützten Dateien zumindest in manchen Fällen schwerer zu knacken. Für dieses Plus an Tempo und Sicherheit zahlt man bei fertigen Sticks allerdings auch den höheren Preis. Interessant, weil mit integrierter Tastatur ausgestattet, ist etwa der Kingston Datatraveler 2000 (16 GB für rund 120 Euro). Auf diese Weise ist sichergestellt, dass nicht einmal auf PCs, auf denen ein Keylogger die Tastatureingaben aufzeichnet, das Kennwort ermittelt werden kann.

Geht es hingegen um den Schutz von Log-in-Informationen, bietet sich der USB-Stick Phrase-Lock an. Für rund 50 Euro erhalten Sie ein besonders gut geschütztes System für die Passwortverwaltung und einfache Log-ins am PC. Die Log-in-Daten für Ihre Webdienste, aber auch für viele andere Zugangsdaten, etwa die Anmeldung in Ihr Windows-Benutzerkonto, speichern Sie auf Ihrem Smartphone in der Phrase-Lock-App. Verschlüsselt werden die Daten mit einem Key, der auf dem USB-Stick gespeichert ist. Das Smartphone verbindet sich per Bluetooth mit dem Stick, wenn dieser am PC angesteckt ist. Die Log-in-Daten aus der App lassen sich per Fingertipp in den geöffneten Internetbrowser am PC übergeben. Im Test funktionierte das reibungslos. Nur das einmalige Eingeben der Log-ins finden wir etwas umständlich. Zur App gehört auch ein Passwortgenerator, der komplexe Passwörter automatisch generiert.

Wiederherstellungsschlüssel wählen und speichern

Um auf Nummer sicher zu gehen, sollten Sie den Wiederherstellungsschlüssel nicht nur als Datei speichern, sondern auch auf einem Blatt Papier ausdrucken.
Vergrößern Um auf Nummer sicher zu gehen, sollten Sie den Wiederherstellungsschlüssel nicht nur als Datei speichern, sondern auch auf einem Blatt Papier ausdrucken.

Drei Optionen stehen Ihnen beim Speichern des Wiederherstellungsschlüssels zur Auswahl. Trauen Sie Microsoft nicht über den Weg, können Sie die Option „In Microsoft-Konto speichern“ guten Gewissens ignorieren. In diesem Fall entscheiden Sie sich für „In Datei speichern“ und legen im Anschluss daran den Speicherordner für die TXT-Datei fest. Empfehlenswert ist es, den Wiederherstellungsschlüssel zusätzlich auszudrucken. Wählen Sie hierzu die gleichnamige Option. Den Ausdruck, der sowohl den Wiederherstellungsschlüssel als auch Anweisungen zur Wiederherstellung beinhaltet, können Sie an einem sicheren Ort able-gen. Auf diese Weise ist sichergestellt, dass Sie auch noch an die auf dem USB-Stick gespeicherten Daten gelangen, wenn Sie das Kennwort vergessen und die Wiederherstellungsdatei verloren haben.

Fahren Sie im Dialog „Wie soll der Wiederherstellungsschlüssel gesichert werden“ mit „Weiter“ fort, so will der Assistent von Ihnen wissen, ob nur der verwendete Speicherplatz oder das gesamte Laufwerk verschlüsselt werden soll. Weil sich auf dem USB-Stick bereits Daten befinden, wählen wir „Gesamtes Laufwerk verschlüsseln“ und fahren mit „Weiter“ fort.

Welcher Verschlüsselungsmodus dabei zum Einsatz kommt, hängt davon ab, ob es sich um ein internes oder externes Laufwerk handelt. Denn da Microsoft mit Windows 10 Pro Version 1511 den Verschlüsselungsmodus geändert hat, kann es bei Wechseldatenträgern, die mit älteren Betriebssystemversionen verwendet werden sollen, zu Kompatibilitätsproblemen kommen. Aus diesem Grund wählen Sie „Kompatibler Modus (am besten für Laufwerke geeignet, die von diesem Gerät entfernt werden können)“ und klicken zuerst auf die Schaltfläche „Weiter“ und anschließend auf „Verschlüsselung starten“. Der Vorgang kann eine ganze Weile dauern. Keinesfalls dürfen Sie währenddessen den USB-Stick vom Gerät abziehen, da ansonsten die darauf gespeicherten Dateien beschädigt werden können.

Wenn Bitlocker To Go seine Arbeit beendet hat, schließen Sie den Assistenten, werfen den USB-Stick aus und stecken das Speichermedium an einem anderen Windows-PC an. Geben Sie das Kennwort ein und klicken Sie auf „Entsperren“. Arbeiten Sie regelmäßig an diesem Windows-PC, können Sie die Option „An diesem Computer ab jetzt automatisch entsperren“ aktivieren. Schließen Sie den mit Bitlocker To Go verschlüsselten USB-Stick an einem Nicht-Windows-Gerät an, beispielsweise an einem Mac, funktioniert der Zugriff auf die Inhalte nicht. Möchten Sie die Verschlüsselung wieder ausschalten, klicken Sie im Dialog „BitLocker-Laufwerkverschlüsselung“ erst auf den Link „Laufwerk entsperren“, dann auf „BitLocker deaktivieren“.

USB OTG: So nutzen Sie die Technik am Smartphone

Veracrypt: Dateien in verschlüsselten Containern speichern

Veracrypt muss nicht zwangsläufig auf dem PC installiert werden. Das Verschlüsselungstool lässt sich auch als portable USB-Stick-Version verwenden.
Vergrößern Veracrypt muss nicht zwangsläufig auf dem PC installiert werden. Das Verschlüsselungstool lässt sich auch als portable USB-Stick-Version verwenden.

Möchten Sie nicht den kompletten USB-Stick verschlüsseln oder trauen Sie Microsoft in Sachen Verschlüsselung nicht über den Weg, so sind Sie ein Fall für das Open-Source-Tool Veracrypt . Die Verschlüsselungssoftware basiert auf dem einst sehr beliebten Tool Truecrypt, dessen Entwicklung im Mai 2014 eingestellt wurde. Mit dem inoffiziellen Nachfolger Veracrypt können Sie einzelne Dateien sowie komplette Verzeichnisse vor Missbrauch schützen, indem Sie diese Elemente in Datentresoren ablegen, die verschlüsselt sind. Sehr gut: Unter Windows lassen sich diese Container wie normale Laufwerke ansprechen.

Während der Installation von Veracrypt ist es möglich, eine mobile Version des Programms zu erstellen. Bei diesem Vorgang wird keine Installation durchgeführt, stattdessen werden die Programmdateien auf dem USB-Stick extrahiert. Im folgenden Workshop gehen wir auf die portable Version von Veracrypt ein. Apropos mobil: Veracrypt ist auch Bestandteil der Sammlung Portable-Apps.com . Liberkey und Lupo Pen Suite setzen dagegen auf den nicht mehr weiterentwickelten Vorgänger Truecrypt.

Starten Sie die Installation per Doppelklick auf die EXE-Datei, akzeptieren Sie die Lizenzbedingungen und markieren Sie die Option „Extract“, um die portable Version zu verwenden. Schließen Sie die Hinweismeldungen, wählen Sie den USB-Stick als Speicherverzeichnis aus und klicken Sie auf „Extract“. Nach dem Entpacken wird der Speicherordner automatisch geöffnet und Sie starten das Tool über die EXE-Datei.

Verschlüsseltes Volume mit Veracrypt erstellen

Die mit Veracrypt angelegten Container lassen sich unter Windows wie ganz normale Laufwerke einbinden und nutzen.
Vergrößern Die mit Veracrypt angelegten Container lassen sich unter Windows wie ganz normale Laufwerke einbinden und nutzen.

Nach dem Start sollten Sie zunächst die Sprache der Bedienoberfläche anpassen. Klicken Sie hierzu auf „Settings“ und „Language“, markieren Sie daraufhin „Deutsch“ und bestätigen Sie mit „OK“. Ihre erste Aufgabe besteht darin, ein neues Volume anzulegen, in dem Sie später die verschlüsselten Dateien ablegen. Klicken Sie auf die Schaltfläche „Volume erstellen“, so startet der „Assistent zum Erstellen eines VeraCrypt Volumes“. Im ersten Schritt des Assistenten wählen Sie „Eine verschlüsselte Containerdatei erstellen“ und bestätigen mit „Weiter“. Im folgenden Fenster wählen Sie „Standard VeraCrypt-Volume“ aus. Alternativ dazu können Sie sich jedoch auch für die Erstellung eines versteckten Veracrypt-Volumes entscheiden, indem Sie die gleichnamige Option auswählen. Der Unterschied ist, dass andere Nutzer das auf dem USB-Stick versteckte Volume nicht finden können. Dies erhöht wiederum die Sicherheit. Im nächsten Fenster wählen Sie den „Volume-Speicherort“ aus, indem Sie auf „Datei …“ klicken, zum gewünschten Speicherordner wechseln, einen Dateinamen eintippen, beispielsweise Datentresor, und im Anschluss daran noch mit „Speichern“ bestätigen.

Was die Sicherheit einer verschlüsselten Datei betrifft, so hängt sie von zwei Faktoren ab: dem benutzten Verschlüsselungsverfahren und der Art des Zugriffsschutzes. In beiden Fällen bietet Veracrypt viele Möglichkeiten. Nach dem Anlegen des Volumes klicken Sie im „Assistent zum Erstellen eines VeraCrypt Volumes“ auf „Weiter“, um zur Auswahl des zu verwendenden Verschlüsselungsverfahrens zu gelangen. Standardmäßig ist die AES-Verschlüsselung mit einer Schlüssellänge von 256 Bit eingestellt – das genügt für den Privatgebrauch völlig. Um auf Nummer sicher zu gehen, können Sie unter „Verschlüsselungsalgorithmus“ allerdings auch eine kaskadierte Verschlüsselung auswählen, beispielsweise „AES (Twofish)“. Als Faustregel gilt: Je vielschichtiger die Verschlüsselung, desto geringer die Arbeitsgeschwindigkeit. In diesem Beispiel bleiben wir bei „AES“ und fahren dann mit „Weiter“ fort.

Bei der Verschlüsselung eines Veracrypt-Containers können Sie den zum Einsatz kommenden Algorithmus selbst auswählen.
Vergrößern Bei der Verschlüsselung eines Veracrypt-Containers können Sie den zum Einsatz kommenden Algorithmus selbst auswählen.

Im Dialog „Volume-Größe“ legen Sie fest, wie viel freier Speicherplatz dem Veracrypt-Container zugewiesen werden soll. Aktivieren Sie zunächst die gewünschte Option – „MB“, „GB“ oder gar „TB“ – und tippen Sie daraufhin die gewünschte Größe ein, etwa 8. Bestätigen Sie mit „Weiter“. Die Größe eines Volumes lässt sich zu jedem späteren Zeitpunkt über „Extras“ und „Volume-Erweiterer“ anpassen, sodass Sie bei der erstmaligen Einrichtung nicht zu groß einsteigen sollten.

Tipp: Die besten USB-Tipps und -Tools

Maximaler Schutz mittels Passwort und Schlüsseldatei

Indem bei der Generierung der Schlüsseldatei die zufälligen Mausbewegungen des Nutzers verwendet werden, ist laut Veracrypt-Entwicklern die maximale Sicherheit garantiert.
Vergrößern Indem bei der Generierung der Schlüsseldatei die zufälligen Mausbewegungen des Nutzers verwendet werden, ist laut Veracrypt-Entwicklern die maximale Sicherheit garantiert.

Als Nächstes legen Sie bitte fest, wie der Zugang zum neuen Container geschützt wird. Die sicherste Variante besteht darin, bei der Authentifizierung sowohl ein Passwort als auch eine Schlüsseldatei zu verwenden. Aktivieren Sie die Option „Schlüsseldat. verwenden“, tippen Sie ein sicheres Passwort ein und bestätigen Sie die Eingabe noch. Klicken Sie anschließend auf „Schlüsseldateien …“. Interessant ist, dass Veracrypt jede beliebige Datei, also auch bereits auf dem Windows-Rechner gespeicherte JPEG-Grafiken, MP3-Musik und Zip-Archive als Schlüsseldateien akzeptiert. Des Weiteren besteht die Möglichkeit, mehrere Schlüsseldateien zu benutzen. In diesem Workshop legen wir allerdings eine neue Schlüsseldatei an.

Klicken Sie auf „Schlüsseldatei(en) generieren“ und bewegen Sie den Mauszeiger als Nächstes mindestens 30 Sekunden lang innerhalb des markierten Bereiches, um einen Zufallswert zu generieren. Sobald der Fortschrittsbalken gefüllt ist, können Sie die Maus loslassen. Tippen Sie danach bei „Name der Schlüsseldatei(en)“ eine Bezeichnung ein, bestätigen Sie mittels „Schlüsseldatei(en) erstellen und speichern“ und wählen Sie überdies den Speicherort aus. Jetzt klicken Sie erneut im Dialog „Schlüsseldateien“ auf „Dateien hinzuf…“, wählen die soeben angelegte Schlüsseldatei aus und bestätigen mit einem Klick auf „Öffnen“.

Wichtig: Ohne diese Schlüsseldatei lässt sich der Veracrypt-Container nicht mehr öffnen.

Zum Abschluss möchte der Assistent von Ihnen wissen, ob im neuen Container Daten gespeichert werden, die größer als 4 GB sind. Aktivieren Sie nun die entsprechende Option und klicken Sie erst auf „Weiter“, danach auf „Formatieren“, damit Veracrypt mit der Einrichtung des neuen Containers beginnt. Nach dem Abschluss des Vorgangs bestätigen Sie die Erfolgsmeldung mit „OK“ und schließen den Assistenten mit einem Klick auf „Beenden“.

Verschlüsseltes Volume in Windows einbinden

Um unter Windows auf den neuen Container zugreifen zu können, müssen Sie die Datei erst im Betriebssystem einbinden. Im Hauptfenster von Veracrypt klicken Sie auf die Schaltfläche „Datei …“, wechseln zum Verzeichnis, in dem der Container abgelegt ist, markieren die Datei und bestätigen mit „Öffnen“. Markieren Sie im oberen Feld den gewünschten Laufwerksbuchstaben aus – etwa „A:“ – und klicken Sie unten auf die Schaltfläche „Einbinden“. Geben Sie das Passwort ein und bestätigen Sie mit „OK“.

Um sich die Eingabe komplexer Kennwörter zu erleichtern, sollten Sie die Option „Passwort anzeigen“ aktivieren. Haben Sie den Container zusätzlich noch durch eine Schlüsseldatei geschützt, müssen Sie die entsprechenden Optionen aktivieren und anschließend den Speicherort der Schlüsseldatei angeben. Abhängig von der Größe des verschlüsselten Containers kann das Einbinden in das System durchaus mehrere Sekunden dauern.

Sobald das Laufwerk in Veracrypt angezeigt wird, steht es Ihnen auch im Windows-Explorer zur Verfügung. Die Bereitstellung des Laufwerkes können Sie jederzeit über das Kontextmenü aufheben. Nicht vergessen: Bevor Sie den USB-Stick auswerfen, müssen Sie das Veracrypt-Volume mittels Klick auf die gleichnamige Schaltfläche trennen.

0 Kommentare zu diesem Artikel
158342