2071186

VeraCrypt: Profi-Tricks für das Verschlüsselungs-Tool

06.06.2020 | 08:36 Uhr | Arne Arnold

Das Verschlüsselungsprogramm Veracrypt kann viel mehr, als nur sichere Container für Dateien zu erzeugen. Veracrypt verschlüsselt auch Ihr komplettes System und schützt es so vor neugierigen Blicken. Dieser Beitrag zeigt, wie Sie dabei vorgehen und worauf Sie bei dieser wie auch bei weiteren Profi-Funktionen von Veracrypt achten müssen.

Die kostenlose Software Veracrypt  zählt zu den beliebtesten Verschlüsselungsprogrammen für Privatanwender. Aus gutem Grund: Hat man sich die Handhabung des Tools einmal angeeignet, lässt es sich einfach nutzen. Das Tool arbeitet sehr schnell und gilt sicherheitstechnisch als besonders zuverlässig. Die meisten Anwender nutzen die Software, um damit einen verschlüsselten Container für Dateien zu erstellen. Veracrypt nennt diese Container auch Volumes. Ein Container ist zunächst mal eine verschlüsselte Datei in einer frei wählbaren Größe. Diese Datei wird nach Eingabe eines Passworts entschlüsselt und automatisch als neues Laufwerk in Windows eingebunden. Der Inhalt des Containers erscheint in diesem Laufwerk, und Sie können die Dateien wie auf einem gewöhnlichen Laufwerk behandeln. Der Unterschied: Sobald Sie das Laufwerk mit Veracrypt per Befehl „Trennen“ wieder entfernen, sind alle Daten darin sicher verschlüsselt und nur für den zugänglich, der das Passwort kennt. Eine ausführliche Anleitung zum Erstellen solcher Container finden Sie in diesem Ratgeber . Tipps für die Profifunktionen von Veracrypt finden Sie hier.

Ein Hinweis noch vorweg: Veracrypt hat die Angewohnheit, einige seiner Assistenten nach Abschluss der Aktion wieder von vorne zu starten. Das passiert etwa nach dem Erstellen eines Containers. Klicken Sie dann einfach auf Abbrechen, um den Assistenten zu beenden.

Tipp: So verschlüsseln Sie E-Mails ganz einfach

Vor der Verschlüsselung kommt unbedingt ein Backup 

Bevor Sie ein komplettes Laufwerk inklusive Daten verschlüsseln, sollten Sie die Dateien zuvor unbedingt sichern. Zwar arbeitet Veracrypt seit Jahren sehr zuverlässig, doch Fehler können trotzdem passieren. Das Backup-Gebot gilt für Daten- und für Systemlaufwerke. Empfehlenswert ist etwa das Backup- und Image-Tool Acronis True Image . Darin können Sie übrigens auch angeben, dass das Backup verschlüsselt werden soll. Eine wichtige Funktion, da Sie die Daten ja schützen möchten.

So verschlüsseln Sie komplette Partitionen

Möchten Sie einen Datenträger verschlüsseln, etwa einen USB-Stick, dann wählen Sie ihn in diesem Fenster anhand von Laufwerksbuchstaben, Größe und Bezeichnung zuverlässig aus.
Vergrößern Möchten Sie einen Datenträger verschlüsseln, etwa einen USB-Stick, dann wählen Sie ihn in diesem Fenster anhand von Laufwerksbuchstaben, Größe und Bezeichnung zuverlässig aus.

Das Verschlüsseln von ganzen Laufwerken funktioniert mit Veracrypt unkompliziert, wenn Sie ein paar Kleinigkeiten beachten. In diesem Beispiel verschlüsseln wir einen kompletten USB-Stick. Wählen Sie dafür in Veracrypt den Assistenten unter „Volume erstellen –› Verschlüsselt eine Partition / ein Laufwerk –› Standard Veracrypt-Laufwerk“.

Datenträgerauswahl: Im nächsten Fenster steht die Datenträgerauswahl an. Vorsichtig sollten Sie bei der angebotenen Historie neben dem Button „Datenträger“ sein: Diese ist bei externen Datenträgern nicht eindeutig. So kann „\Device\Harddisk1\ Partition1“ einmal Ihren USB-Stick und nach einem Windows-Neustart Ihre externe Festplatte bezeichnen. Beim Klick auf „Datenträger“ dagegen öffnet sich ein neues Fenster, und Ihnen werden zu einem Laufwerk auch der Laufwerksname (falls vorhanden) sowie Laufwerksbuchstabe und -größe angezeigt. Das hilft bei der Zuordnung ungemein. Das Systemlaufwerk können Sie an dieser Stelle nicht auswählen, da das einen anderen Assistenten in Veracrypt voraussetzt. Meiden Sie auch kleine Partitionen mit ein paar MB Größe, die Sie nicht kennen. Dabei handelt es sich meist um systemrelevante Partitionen. In unserem Beispiel ist der USB-Stick leicht an seiner Größe erkennbar. Wählen Sie die gewünschte Partition sorgfältig aus und klicken Sie auf „Ok“ sowie anschließend auf „Weiter“, um zum Fenster „Volume-Erstellmodus“ zu gelangen.

Veracrypt fordert Sie vor der Erstellung eines verschlüsselten Volumes auf, Ihre Maus längere Zeit zu bewegen. Aus diesen Bewegungen erstellt das Tool Zufallsdaten, die es für die Verschlüsselung benötigt.
Vergrößern Veracrypt fordert Sie vor der Erstellung eines verschlüsselten Volumes auf, Ihre Maus längere Zeit zu bewegen. Aus diesen Bewegungen erstellt das Tool Zufallsdaten, die es für die Verschlüsselung benötigt.

Erstellmodus: Im „Volume-Erstellungsmodus“ zeigt Veracrypt als erste Auswahlmöglichkeit „Verschlüsseltes Volume erstellen und formatieren“. Achtung: Diese Option löscht alle Daten auf dem Laufwerk. Die zweite Möglichkeit („Partition ‚in-place‘ verschlüsseln“) behält die Daten und verschlüsselt sie. Voraussetzung für die zweite Möglichkeit ist ein NTFS-Laufwerk. Wählen Sie die Methode je nach Ihren Anforderungen.

Wählen Sie in Veracrypt die Funktion „Volume erstellen –› Eine System-Partition bzw. ein System-Laufwerk verschlüsseln“, um Ihr Laufwerk mit Windows zu verschlüsseln. Sicherheitshalber: Erstellen Sie vorher ein Backup.
Vergrößern Wählen Sie in Veracrypt die Funktion „Volume erstellen –› Eine System-Partition bzw. ein System-Laufwerk verschlüsseln“, um Ihr Laufwerk mit Windows zu verschlüsseln. Sicherheitshalber: Erstellen Sie vorher ein Backup.

Verschlüsselung wählen und abschließen: Der Assistent führt Sie nun weiter durch den Verschlüsselungsprozess. Was dabei zu beachten ist, steht im Kasten unten. Haben Sie beim „Volume-Erstellungsmodus“ die Methode „Partition ‚inplace‘ verschlüsseln“ gewählt, fragt Sie der Assistent noch nach einer Löschmethode. Damit legen Sie fest, wie die unverschlüsselten Originaldateien gelöscht werden sollen, nachdem Veracrypt davon Kopien in den verschlüsselten Container gepackt hat.

Meldungen beachten: Bei Problemen meldet sich Veracrypt automatisch. Möchten Sie etwa einen USB-Stick verschlüsseln und haben das Laufwerk des Sticks statt der darauf enthalten Partition ausgewählt, warnt Veracrypt vor Gefahren. Wählen Sie dann wie vorgeschlagen die Partition des Sticks, geht es ohne Beschwerde weiter. 

Wenn Sie einen Dateicontainer erstellen, dann können Sie in Veracrypt die Größe wählen. Diese lässt sich nachträglich noch verändern. Das geht in Veracrypt über „Extras –› Volume erweitern“.
Vergrößern Wenn Sie einen Dateicontainer erstellen, dann können Sie in Veracrypt die Größe wählen. Diese lässt sich nachträglich noch verändern. Das geht in Veracrypt über „Extras –› Volume erweitern“.

So wählen Sie den passenden Schlüssel in Veracrypt

Wenn Sie mit Veracrypt einen neuen Container oder eine Partition verschlüsseln, bietet das Programm mehrere Optionen an. Sie können zwischen „Passwort“ und „Schlüsseldatei“ wählen sowie einen Wert für die Iterationen („PIM“) angeben und den Verschlüsselungsalgorithmus wählen.

Darauf sollten Sie bei der Verschlüsselung achten: 

Passwort: Je länger das Passwort, desto besser. Veracrypt erachtet ein Passwort ab 20 Zeichen als sicher. Nach der Eingabe des Passworts müssen Sie in einem weiteren Fenster den Mauszeiger bewegen. Auf diese Weise erzeugen Sie Zufallszahlen, die den Schlüssel sicherer machen.

Tipp: Lassen Sie sich das eingegebene Passwort durch einen Klick auf „Passwort anzeigen“ einblenden. Es besteht die Gefahr, dass Sie sich vertippt haben oder dass in dem Moment der Eingabe ein anderes Tastaturlayout eingestellt ist. Wenn Sie die Eingabe nicht kontrollieren, aber ein anderes Passwort vergeben haben als gedacht, dann können Sie Ihre Daten nicht mehr entschlüsseln. Sie sind und bleiben unzugänglich.

Personal Iterations Multiplier (PIM): Sie können einen Wert im Feld „PIM“ angeben. Damit bestimmen Sie, mit wie vielen Wiederholungen Ihr Passwort durch die Hashfunktion läuft, bevor es zum Verschlüsseln der Daten verwendet wird. Das erhöht den Aufwand für Passwortknacker.

Grundsätzlich gilt hierfür: Ein kurzes Passwort lässt sich mit einem hohen PIM-Wert sicherer machen. Ein langes Passwort schützt auch mit einem niedrigen PIM-Wert.

Unsere Empfehlung für die meisten Container lautet: Vergeben Sie ein langes Passwort mit mindestens 20 Zeichen und lassen Sie das PIM-Feld leer. Dann nutzt Veracrypt den Standardwert von 500.000 Durchgängen. Der niedrigste PIM-Wert 1 setzt die Iterationen auf 16.000 bei verschlüsselten Partitionen und 2.048 bei Systempartitionen. Je höher der PIM-Wert, desto länger dauert das Entschlüsseln eines Volumes. Auf die Arbeitsgeschwindigkeit nach dem Entschlüsseln hat der Wert aber keinen Einfluss. Diese hängt am verwendeten Algorithmus und der PC-Hardware.

Verschlüsselungsalgorithmus: Die Wahl des Algorithmus für die Verschlüsselung hat entscheidenden Einfluss auf die Sicherheit und Lese-/Schreibgeschwindigkeit der Daten. Einen Überblick über gängige Verschlüsselungsalgorithmen finden Sie hier . Wir empfehlen den bewährten AES-Algorithmus. Dieser ist zusammen mit dem Hash-Algorithmus SHA-512 in Veracrypt voreingestellt.

Wenn Sie einen PC starten, dessen Systempartition mit Veracrypt verschlüsselt ist, sieht der Startbildschirm so aus. Geben Sie hier Ihr Passwort ein und drücken Sie die Enter-Taste. Haben Sie keine Angabe bei „PIM“ gemacht, lassen Sie das Feld beim Neusta
Vergrößern Wenn Sie einen PC starten, dessen Systempartition mit Veracrypt verschlüsselt ist, sieht der Startbildschirm so aus. Geben Sie hier Ihr Passwort ein und drücken Sie die Enter-Taste. Haben Sie keine Angabe bei „PIM“ gemacht, lassen Sie das Feld beim Neusta

Schlüsseldatei: Statt eines Passworts oder auch zusätzlich lässt sich ein Volume mit einer Datei als Schlüssel schützen. Weitere Infos dazu finden Sie im nächsten Kasten.

So erstellen Sie einen gut versteckten Container 

Mit Veracrypt lassen sich auch versteckte Container erstellen. Bei dieser Methode wird innerhalb eines sichtbaren Containers (Volumes) ein weiterer, unsichtbarer Container mit einem eigenen Passwort erstellt. Der Vorteil: Wenn jemand anderes den ersten Container entdeckt und Sie zwingt, das Passwort dafür zu verraten, dann bleibt der zweite Container trotzdem unentdeckt. Er fällt weder durch seine Dateigröße noch durch andere Details auf.

Am einfachsten erstellen sie einen versteckten Container, wenn Sie sich für „Kompletter Modus“ entscheiden. So erstellt Veracrypt den sichtbaren und den unsichtbaren Container in einem Rutsch. Wichtig: Wenn Sie einen versteckten Container auf einem Laufwerk, etwa einem USB-Stick, erstellen wollen, dürfen darauf zunächst keine Daten gespeichert sein, da Veracrypt den Datenträger formatiert.

So geht’s: Wählen Sie in Veracrypt „Volume erstellen –› Verschlüsselt eine Partition / ein Laufwerk –› Verstecktes Veracrypt- Laufwerk“. Im nächsten Fenster wählen Sie „Kompletter Modus“, um sowohl den sichtbaren Container (Volume) als auch den darin befindlichen unsichtbaren Container zu erstellen. Ein Klick auf „Datenträger“ bringt Sie zum Auswahlfenster mit allen verfügbaren Partitionen und Laufwerken.

Nach der Wahl von Passwort und Verschlüsselungsalgorithmus erstellt Veracrypt den ersten Container. Über „Äußeres Volume öffnen“ greifen Sie darauf zu und kopieren einige unwichtige Dateien hinein, die einen Spion ablenken sollen. Machen Sie das gleich, später kann das Schreiben in den äußeren Container zu Datenverlust im inneren Container führen.

Danach erstellen Sie über „Weiter“ im Veracrypt-Assistenten den inneren Container, in den Sie dann die wirklich wichtigen und vertraulichen Daten speichern können. Dieser Container muss ein anderes Passwort erhalten als der äußere.

Siehe auch: Ist mein PC gehackt? So erkennen Sie Angriffe

So binden Sie das verschlüsselte Laufwerk in Windows ein

Wenn Sie auf das verschlüsselte Laufwerk zugreifen möchten, dann müssen Sie es zuerst mit Veracrypt entschlüsseln und einem Laufwerksbuchstaben zuweisen. Ist Ihr Container eine Datei, wählen Sie in Veracrypt „Datei“. Möchten Sie einen verschlüsselten Datenträger einbinden, wählen Sie in Veracrypt den Button „Datenträger“. Wählen Sie zudem einen Laufwerksbuchstaben aus der Liste in Veracrypt und klicken Sie auf „Einbinden“.

Versteckte Container einbinden: Um einen versteckten Container als Laufwerk einzubinden, wählen Sie wie gewohnt die Datei oder den Datenträger des äußeren Containers aus. Doch als Passwort geben Sie das Passwort des inneren Containers ein. Veracrypt bindet dann diesen als Laufwerk ein und ignoriert den äußeren.

Wichtig: Wenn Sie einen kompletten Datenträger, etwa einen USB-Stick, verschlüsselt haben, dann greifen Sie nicht vor der Entschlüsselung mit dem Windows-Explorer darauf zu. Denn der Explorer würde Ihnen melden, dass Sie den USB-Stick vor der Nutzung formatieren müssen. Kommen Sie dem nach, vernichten Sie alle Daten auf dem Laufwerk.

Systemverschlüsselung

Vor der Verschlüsselung Ihres Systems speichert Veracrypt die Datei Veracrypt Rescue Disk.iso, die Sie mit dem Tool Veracrypt USB Rescue Disk (Screenshot) bootfähig auf einen USB-Stick bekommen.
Vergrößern Vor der Verschlüsselung Ihres Systems speichert Veracrypt die Datei Veracrypt Rescue Disk.iso, die Sie mit dem Tool Veracrypt USB Rescue Disk (Screenshot) bootfähig auf einen USB-Stick bekommen.

Sie können mit Veracrypt auch das Systemlaufwerk verschlüsseln. Das empfiehlt sich etwa für Notebooks, die auch mit nach draußen genommen werden. Als Verschlüsselungsalgorithmus empfiehlt sich hier AES, da dieser flott arbeitet und es so nur zu sehr geringen Verzögerungen beim Festplattenzugriff kommt.

So geht’s: Wählen Sie in Veracrypt „Volume erstellen –› Eine System-Partition bzw. ein System-Laufwerk verschlüsseln“. Klicken Sie auf „Normal“, um die vorhandene Systempartition zu verschlüsseln. An dieser Stelle gibt es auch die Möglichkeit, eine versteckte Systempartition zu erstellen. Nach einem Klick auf „Weiter“ wählen Sie „Die Windows-System-Partition verschlüsseln“. Nutzen Sie auf Ihrem Rechner nur ein Windows, wählen Sie anschließend „Ein Betriebssystem“, nutzen Sie aber mehrere Systeme im Multibootverfahren, wählen Sie die andere Option. Es folgt die Auswahl von Passwort und Verschlüsselung. Folgen Sie den weiteren Anweisungen des Assistenten, der unter anderem ein bootfähiges Rettungs-ISO auf Ihrer Festplatte speichert. Am besten brennen Sie diese ISO-Datei gleich auf CD oder erstellen mithilfe des Tools Veracrypt USB Rescue Disk einen USB-Stick. Der Veracrypt-Assistent bietet an, diese CD umgehend zu prüfen. Wenn Sie dem zustimmen, geht es erst weiter, wenn die Überprüfung erfolgreich war. Sollten Sie das ISO nicht gleich brennen wollen, können Sie es mit der rechten Maustaste anklicken und „Bereitstellen“ wählen. Windows bindet das ISO als virtuelle CD ein. So kann Veracrypt die CD prüfen und den Assistenten fortsetzen.

Folgen Sie dem Veracrypt-Assistenten weiter, der zunächst einen Verschlüsselungstest inklusive Neustart durchführt. Ist dieser Test erfolgreich, geht es ans tatsächliche Verschlüsseln.

Die Notfall-CD von Veracrypt hilft immer dann, wenn ein verschlüsseltes Laufwerk nicht booten will. Drücken Sie die Taste F8, um sich die Reparaturoptionen anzeigen zu lassen.
Vergrößern Die Notfall-CD von Veracrypt hilft immer dann, wenn ein verschlüsseltes Laufwerk nicht booten will. Drücken Sie die Taste F8, um sich die Reparaturoptionen anzeigen zu lassen.

Achtung: An dieser Stelle zeigt Veracrypt eine Anleitung für die Nutzung der Notfall-CD an. Drucken Sie sich diese am besten aus, um im Notfall darauf zugreifen zu können. Speichern Sie sie nicht auf die zu verschlüsselnde Partition.

Nach Abschluss der Systemverschlüsselung müssen Sie bei einem Neustart zunächst das Passwort eingeben und Enter drücken. Haben Sie keine Angabe bei „PIM“ gemacht, lassen Sie das Feld beim Neustart leer und drücken ebenfalls Enter (siehe Abbildung im Kasten unten).

Die Software Veracrypt ist übrigens Donationware. Sie können und dürfen das Tool kostenlos nutzen. Die Entwickler freuen sich aber auch über eine Spende in beliebiger Höhe.
Vergrößern Die Software Veracrypt ist übrigens Donationware. Sie können und dürfen das Tool kostenlos nutzen. Die Entwickler freuen sich aber auch über eine Spende in beliebiger Höhe.

So nutzen Sie die Notfall-CD von Veracrypt 

Sollte eine verschlüsselte Systempartition trotz richtigem Passwort nicht starten wollen, nutzen Sie die bootfähige Notfall-CD von Veracrypt. Sie kann Probleme mit dem Bootloader beheben. Sie hilft allerdings nicht, wenn Sie das Passwort vergessen haben. Wie Sie die CD nutzen, steht in der Anleitung, die Sie sich kurz vor der Verschlüsselung der Systempartition ausgedruckt haben. Kurz gesagt können Sie im Menü der Rettungs-CD „Repair Options“ mittels F8-Taste wählen und dann „Restore Veracrypt Bootloader“ mit „Y“ bestätigen, um die Aktion auszuführen. Die CD hält ein paar weitere Rettungswerkzeuge bereit, die in der Anleitung beschrieben sind.

Tipps zu den Veracrypt-Containern

1. Veracrypt-Laufwerk schnell trennen: Klicken Sie mit der rechten Maustaste auf das Veracrypt-Laufwerk im Windows-Explorer, um aus dem Kontextmenü den Trennen-Befehl auszuwählen.

2. Kennwort ändern: Sie können das Passwort eines Containers ändern, wenn er gerade nicht geöffnet ist. Wählen Sie den Container in Veracrypt über „Datei“ aus und klicken Sie dann auf „Volumes –› Volume-Passwort ändern“.

Wenn Sie einen eingebundenen Container per Klick mit der rechten Maustaste zu den Favoriten hinzufügen, kann Veracrypt diesen künftig automatisch entschlüsseln.
Vergrößern Wenn Sie einen eingebundenen Container per Klick mit der rechten Maustaste zu den Favoriten hinzufügen, kann Veracrypt diesen künftig automatisch entschlüsseln.

3. Schlüsseldatei verwenden: Wenn Sie einen Container erstellen, können Sie zusätzlich zum Passwort oder auch ersatzweise eine Schlüsseldatei wählen. Das kann jede beliebige Datei auf Ihrem PC sein, etwa eine MP3-Datei oder ein Foto. Zum Entschlüsseln des Containers wählen Sie dann diese Datei aus. 

Wichtig: Sie dürfen diese Datei nicht verändern oder löschen. Sie ist Ihr Schlüssel zum Volume.

4. Container automatisch laden: Soll mit jedem Windows-Start auch ein Container entschlüsselt werden, müssen zwei Bedingungen erfüllt sein: Veracrypt muss zusammen mit Windows starten, und Sie müssen ein entschlüsseltes Volume zu den Favoriten in Veracrypt hinzufügen. Wie das genau geht, verrät dieser Beitrag .

Die Themen in Tech-up Weekly #191 (Links zu den Artikeln weiter unten):

► Werbung: Windows 10 Pro (Retail) für 40 Euro: www.pcwelt.de/news/Windows-10-Pro-Retail-fuer-40-Euro-ein-Hammer-Preis-10812490.html

► Leak: 10 Big-Navi-Grafikchips und Refresh-Modelle: www.pcwelt.de/news/Leak-10-Big-Navi-Grafikchips-und-Refresh-Modelle-10816660.html

► Netflix kündigt Abos mit unglaublicher Begründung: www.pcwelt.de/news/Netflix-kuendigt-Abonnements-mit-unglaublicher-Begruendung-10814815.html

Quick-News

► O2 schenkt Kunden mehr Datenvolumen: www.pcwelt.de/news/O2-schenkt-Kunden-mehr-Datenvolumen-10817433.html

► Jetzt verfügbar: Windows 10 Mai 2020 Update schneller erhalten: www.pcwelt.de/news/Jetzt-verfuegbar-Windows-10-Mai-2020-Update-schneller-erhalten-10818631.html
► Bekannte Probleme unter Windows 10 Mai 2020 Update: www.pcwelt.de/news/Bekannte-Probleme-unter-Windows-10-Mai-2020-Update-10818770.html

► Call of Duty: WW2 gratis für Playstation-Plus-Abonnenten: www.pcwelt.de/news/Call-of-Duty-WW2-gratis-fuer-Playstation-Plus-Abonnenten-10817339.html

► Valorant: Release des Taktik-Shooters steht kurz bevor: www.pcwelt.de/news/Valorant-Release-des-Taktik-Shooters-steht-kurz-bevor-10816413.html

► 60 Euro gespart: Zwei Borderlands-Teile gratis im Epic Store: www.pcwelt.de/news/60-Euro-gespart-Borderlands-Spiele-gratis-im-Epic-Store-10819774.html

► Minecraft Dungeons startet - Hier unser Preview-Bericht: www.pcwelt.de/produkte/Minecraft-Dungeons-angespielt-Ein-richtig-guter-Dungeon-Crawler-10817119.html

► 44,2 Tbit/s: Neuer Internet-Weltrekord aufgestellt: www.pcwelt.de/news/44-2-Tbit-s-Neuer-Internet-Weltrekord-aufgestellt-10815267.html

► Kommentar der Woche: www.youtube.com/watch?v=AzwskiEkdOE&lc=Ugzgm8AcEDatCA9_K9d4AaABAg

Fail der Woche

► Twitter erklärt Trump-Tweet für Falschaussage: www.pcwelt.de/news/Twitter-erklaert-Trump-Tweet-fuer-Falschaussage-10817872.html

► Zum PC-WELT T-Shirt-Shop:
www.pcwelt.de/fan

PC-WELT Marktplatz

2071186