1982198

Windows mit Bitlocker & Veracrypt verschlüsseln

01.10.2017 | 10:41 Uhr |

Um zu verhindern, dass auf dem eigenen Windows-PC gespeicherte Dateien von Dritten eingesehen oder gestohlen werden können, müssen Sie zu härteren Maßnahmen greifen: der Verschlüsselung.

Ganz gleich, ob digitale Kontoauszüge, Bewerbungsschreiben oder private Fotos und Videos – auf PCs sind Dateien gespeichert, die nicht in die Hände Dritter gelangen sollten. Noch wichtiger ist der Datenschutz bei Notebooks, die auch unterwegs genutzt werden. Denn da Mobilgeräte verloren gehen oder gestohlen werden können, fällt es Unbefugten nicht besonders schwer, an die darauf gespeicherten Daten zu gelangen. Schutz davor bietet – neben einem sicheren Windows-Anmeldekennwort – die Verschlüsselung.

In diesem Artikel zeigen wir, wie sich einzelne Dateien und Ordner sowie Partitionen und komplette Laufwerke verschlüsseln lassen.

Schnelle Verschlüsselung mit Windows-Bordmitteln

Bevor wir auf die erweiterten Verschlüsselungsmöglichkeiten eingehen, möchten wir Ihnen zeigen, wie Sie Dateien und Ordner mithilfe der Windows-eigenen Funktion verschlüsseln. Um unter Windows 10 die EFS-Verschlüsselung (Encrypting File System) nutzen zu können, ist die Pro-Version erforderlich, in der Home-Version ist EFS nicht vorhanden.

Um nun einen Ordner zusammen mit allen enthaltenen Unterverzeichnissen schnell zu verschlüsseln, klicken Sie den Ordner mit der rechten Maustaste an, wählen Sie „Eigenschaften“ und klicken Sie im Register „Allgemein“ auf „Erweitert“. Im folgenden Dialog aktivieren Sie die Option „Inhalt verschlüsseln, um Daten zu schützen“ und bestätigen mit zwei Klicks auf „OK“. Anschließend legen Sie im Dialog „Änderungen der Attribute bestätigen“ fest, ob die Verschlüsselung nur für diesen Ordner oder auch alle enthaltenen Unterverzeichnisse gelten soll und beenden den Vorgang mit „OK“.

Keinesfalls sollten Sie den Wiederherstellungsschlüssel auf Servern von Microsoft speichern. Sie wissen schließlich nicht, wer auf diese Schlüssel zugreifen kann.
Vergrößern Keinesfalls sollten Sie den Wiederherstellungsschlüssel auf Servern von Microsoft speichern. Sie wissen schließlich nicht, wer auf diese Schlüssel zugreifen kann.

Eine Betriebssystemmeldung macht Sie anschließend darauf aufmerksam, dass Sie das Datenverschlüsselungszertifikat und den Schlüssel sichern sollten. Da der Zugriff auf die verschlüsselten Dateien nicht mehr möglich ist, wenn Zertifikat oder Schlüssel beschädigt werden, sollten Sie diesen Rat unbedingt befolgen. Klicken Sie auf „Jetzt sichern (empfohlen)“ und folgen Sie den Anweisungen, um die Sicherheitsinformationen zu speichern.

Verschlüsselung: Die besten Gratis-Datentresore

Bitlocker ist in Windows- Pro-Editionen inklusive

Neben der beschriebenen Ordner- beziehungsweise Dateiverschlüsselung bieten die Pro-Versionen von Windows 7, 8/8.1 und 10 Pro zusätzlich auch die Bitlocker genannte Verschlüsselung kompletter Laufwerke und Partitionen. Standardmäßig ist diese Funktion nicht aktiv. Die Bitlocker-Laufwerkverschlüsselung ist eine Windows-eigene Sicherheitsfunktion, die auf internen und externen Laufwerken gespeicherte Daten vor Fremdzugriffen schützt. Bitlocker schützt vor Offline-Angriffen, bei denen entweder das installierte Betriebssystem deaktiviert respektive umgangen oder die Festplatte physisch aus dem Computer entfernt wird.

Da der Verschlüsselungsmodus mit Windows 10 Pro Version 1511 geändert wurde, sollten Sie die neue Variante ausschließlich für lokale Laufwerke verwenden.
Vergrößern Da der Verschlüsselungsmodus mit Windows 10 Pro Version 1511 geändert wurde, sollten Sie die neue Variante ausschließlich für lokale Laufwerke verwenden.

Auf internen und externen Laufwerken sorgt Bitlocker dafür, dass Nutzer Daten nur dann lesen oder schreiben können, wenn sie über das erforderliche Kennwort respektive die entsprechenden Smartcard-Anmeldeinformationen verfügen oder das Datenlaufwerk auf einem mit Bitlocker geschützten Computer verwenden, der über die entsprechenden Schlüssel verfügt.

Bitlocker aktivieren und anschließend konfigurieren

Die Einrichtung von Bitlocker ist einfach. Klicken Sie auf Start, wählen Sie „Einstellungen“ und klicken Sie auf „System“. Wählen Sie in der linken Spalte den Eintrag „Info“ und klicken Sie im Hauptfenster dann auf den Link „BitLocker- Einstellungen“, um zum entsprechenden Dialog zu gelangen. Alternativ dazu können Sie auch mit der Tastenkombination Windows-X das Start-Kontextmenü öffnen, auf „Systemsteuerung“ klicken und „BitLocker-Laufwerkverschlüsselung“ wählen.

Sind in Ihrem PC mehrere Partitionen und Laufwerke vorhanden, klicken Sie neben dem Laufwerk, das durch Bitlocker geschützt werden soll, auf den Link „BitLocker aktivieren. Im daraufhin angezeigten Dialog „Wie soll der Wiederherstellungsschlüssel gespeichert werden?“ stehen Ihnen drei Optionen zur Auswahl. Besonders komfortabel erscheint die Option „In Microsoft-Konto speichern“. Wir raten davon jedoch ab, da jede Person oder Behörde, die diesen Wiederherstellungsschlüssel in die Hände kriegt, all Ihre Daten entschlüsseln kann. Und da niemand weiß, ob die NSA Zugriff auf solche Inhalte hat, sollten Sie sich zunächst für „In Datei speichern“ entscheiden und den Wiederherstellungsschlüssel lokal sichern. Anschließend kopieren Sie die Datei zusätzlich noch auf einen USB-Stick. Um auf Nummer sicher zu gehen, raten wir, den Schlüssel auch noch auszudrucken. Fahren Sie dann mit einem Klick auf „Weiter“ fort.

Wählen Sie dann aus, ob der gesamte oder nur der bereits verwendete Speicherplatz verschlüsselt werden soll. Wir empfehlen, sich für „Gesamtes Laufwerk verschlüsseln“ zu entscheiden und mit „Weiter“ zu bestätigen. Welcher Verschlüsselungsmodus zum Einsatz kommt, hängt davon ab, es sich um ein internes oder externes Laufwerk handelt. Denn da Microsoft mit Windows 10 Pro Version 1511 den Verschlüsselungsmodus geändert hat, kann es bei Wechseldatenträgern, die mit älteren Betriebssystemversionen verwendet werden sollen, zu Kompatibilitätsproblemen kommen. Möchten sie hingegen ein internes Laufwerk verschlüsseln, wählen Sie „Neuer Verschlüsselungsmodus“ und klicken auf „Weiter“. Auch wenn das den folgenden Vorgang wesentlich verlängert, sollten Sie die Option „BitLocker-Systemprüfung ausführen“ aktivieren, bevor Sie den Dialog mit „Verschlüsselung starten“ schließen. Denn während dieses Checks wird ermittelt, ob Bitlocker einwandfrei funktioniert. Klicken Sie auf „Jetzt neu starten“, um den Windows-10-Rechner zu booten und die Verschlüsselung zu aktivieren.

Möchten Sie die Verschlüsselung wieder ausschalten, klicken Sie im Dialog „BitLocker-Laufwerkverschlüsselung“ zuerst auf den Link „Bit-Locker deaktivieren“ und bestätigen dann mit „BitLocker deaktivieren“. Das Entschlüsseln des Laufwerks kann eine ganze Weile dauern. Haben Sie sich hingegen für die Verschlüsselung eines Wechseldatenträgers entschieden, müssen Sie nach dem Anklicken von „BitLocker aktivieren“ die Option „Kennwort zum Entsperren des Laufwerks verwenden“ auswählen und das Passwort eingeben. Dieses ist immer dann einzugeben, wenn der Wechseldatenträger an einem anderen Rechner angeschlossen wird. Nach einem Klick auf „Weiter“ gelangen Sie zum Dialog „Wie soll der Wiederherstellungsschlüssel gespeichert werden?“.

Unsichtbar: Mit diesen beiden Tools verstecken Sie Dateien

Wer lediglich ab und an ein paar Dateien verschlüsseln möchte, muss nicht zwangsläufig zu einer dermaßen mächtigen Lösung wie Veracrypt greifen.

Zum einen können Sie einzelne Elemente mithilfe der Windows-eigenen Verschlüsselungsfunktion sichern, zum anderen gibt es eine Reihe von Free- und Shareware-Tools, mit denen Sie Dateien und Ordner verstecken können. Zwei interessante Programme stellen wir Ihnen vor. My Lockbox sichert Ihre sensiblen Daten, indem es einen Ordner per Passwort absichert und darüber hinaus vor fremden Zugriffen versteckt.

Mit dem kostenlosen Tool Wise Folder Hider verstecken Sie Dateien, Ordner und USB-Laufwerke vor den Augen allzu neugieriger PCMitbenutzer. Echte Hacker können Sie damit aber nicht täuschen.
Vergrößern Mit dem kostenlosen Tool Wise Folder Hider verstecken Sie Dateien, Ordner und USB-Laufwerke vor den Augen allzu neugieriger PCMitbenutzer. Echte Hacker können Sie damit aber nicht täuschen.

Die Handhabung ist trotz der englischsprachigen Bedienerführung einfach: Nach der Installation geben Sie das Kennwort ein, wählen dann per Klick auf „Browse“ den zu sichernden Ordner aus und bestätigen mit „OK“. Um diesen Ordner sichtbar zu machen und zu entsperren, starten Sie das My Lockbox Control Panel, geben das Passwort ein und klicken dann auf „Unlock“. In der kostenpflichtigen Pro-Version können Sie mehrere Ordner auf diese Weise schützen.

Wise Folder Hider fordert Sie nach dem Start auf, ein Konto anzulegen, indem Sie das zweimal Passwort eingeben und mit „OK“ bestätigen. Anschließend können Sie über die Menüschaltflächen Dateien, Ordner und USB-Laufwerke verstecken. Die Auswahl der zu versteckenden Elemente per Drag und Drop und das Kontextmenü der rechten Maustaste ist ebenfalls möglich. Um versteckte Dateien und Ordner wieder sichtbar zu machen, wählen Sie die Option „Sichtbar“. Nicht vergessen: Diese beiden Tools erschweren anderen Personen, die Ihren PC nutzen, den Zugriff auf Dateien. Echte Hacker lassen sich dadurch aber nicht beeindrucken.

Veracrypt: Dateien in einem verschlüsselten Container sichern

Veracrypt legt verschlüsselte Container an, die von Windows wie ganz normale Laufwerke behandelt werden. Alle darin gespeicherten Inhalte werden dann ebenso verschlüsselt.
Vergrößern Veracrypt legt verschlüsselte Container an, die von Windows wie ganz normale Laufwerke behandelt werden. Alle darin gespeicherten Inhalte werden dann ebenso verschlüsselt.

Möchten Sie nicht die ganze Festplatte respektive Partition verschlüsseln oder trauen Sie Microsoft in Sachen Verschlüsselung nicht über den Weg, sind Sie ein Fall für das Open-Source-Tool Veracrypt . Die Verschlüsselungssoftware basiert auf dem einst sehr beliebten Programm Truecrypt, dessen Entwicklung im Mai 2014 aufgrund von Sicherheitsproblemen eingestellt wurde. Mit dem inoffiziellen Nachfolger Veracrypt können Sie einzelne Dateien und komplette Verzeichnisse vor Missbrauch schützen, indem Sie diese Elemente in verschlüsselten Datentresoren ablegen. Sehr gut: Unter Windows lassen sich diese Container wie ganz normale Laufwerke ansprechen.

Interessantes Extra: Während der Installation von Veracrypt besteht die Möglichkeit, eine mobile Version des Programmes zu erstellen. Bei diesem Vorgang wird keine Installation durchgeführt, Stattdessen werden die Programmdateien lediglich auf der Festplatte extrahiert. Der Vorteil dabei ist, dass Sie auf diesem Weg das Tool auch auf mobilen Festplatten oder USB-Sticks nutzen können. Im folgenden Workshop gehen wir auf die lokal installierte Version ein.

Verschlüsseltes Volume mit Veracrypt erstellen

Bei der Einrichtung einer verschlüsselten Containerdatei werden Sie von einem Assistenten unterstützt, sodass sich auch weniger versierte Anwender zurechtfinden.
Vergrößern Bei der Einrichtung einer verschlüsselten Containerdatei werden Sie von einem Assistenten unterstützt, sodass sich auch weniger versierte Anwender zurechtfinden.

Haben Sie das Programm gestartet, sollten Sie die Sprache der Bedienoberfläche anpassen. Klicken Sie dazu auf „Settings -> Preferences -> More Settings… -> Language“. Markieren Sie in der Liste den Eintrag „Deutsch“, bestätigen Sie mit einem Klick auf „OK“ und schließen Sie alle offenen Dialogfenster.

Ihre erste Aufgabe besteht darin, ein neues Volume anlegen, in dem Sie später die verschlüsselten Dateien ablegen. Klicken Sie auf die Schaltfläche „Volume erstellen“, startet der „Assistent zum Erstellen eines Veracrypt Volumes“. Im ersten Schritt des Assistenten wählen Sie die Option „Eine verschlüsselte Containerdatei erstellen“ aus und bestätigen mit „Weiter“. Im nächsten Fenster wählen Sie „Standard Veracrypt-Volume“ aus. Alternativ dazu können Sie sich aber auch für die Erstellung eines versteckten Veracrypt-Volumes entscheiden, indem Sie die gleichnamige Option auswählen. Der Unterschied ist, dass andere Anwender das auf dem Rechner versteckte Volume nicht finden können. Das erhöht die Sicherheit. Im nächsten Fenster wählen Sie den „Volume-Speicherort“ aus, indem Sie auf „Datei …“ klicken, zum gewünschten Speicherordner wechseln, einen Dateinamen eintippen, etwa „Datentresor“, und mit „Speichern“ bestätigen.

Erpresserviren: Alles zu Schutz, Hilfe und Datenrettung

Verschlüsselungsverfahren und Passwortschutz

Das zum Einsatz kommende Verschlüsselungsverfahren können Sie selbst auswählen. Der Advanced Encryption Standard (AES) reicht für den Privatgebrauch vollkommen aus.
Vergrößern Das zum Einsatz kommende Verschlüsselungsverfahren können Sie selbst auswählen. Der Advanced Encryption Standard (AES) reicht für den Privatgebrauch vollkommen aus.

Die Sicherheit einer verschlüsselten Datei hängt von zwei Faktoren ab: dem verwendeten Verschlüsselungsverfahren und der Art des Zugriffsschutzes. In beiden Fällen bietet Ihnen Veracrypt vielfältige Möglichkeiten an.

Nach dem Anlegen des Volumes klicken Sie im „Assistent zum Erstellen eines Veracrypt Volumes“ auf „Weiter“, um zur Auswahl des zu verwendenden Verschlüsselungsverfahrens zu gelangen. Standardmäßig ist die AES-Verschlüsselung mit einer Schlüssellänge von 256 Bit eingestellt – das reicht für den Privatgebrauch völlig aus. Um auf Nummer sicher zu gehen, können Sie unter „Verschlüsselungsalgorithmus“ aber auch eine kaskadierte Verschlüsselung auswählen, zum Beispiel „AES (Twofish)“. Die Faustregel: Je vielschichtiger die Verschlüsselung, desto geringer die Arbeitsgeschwindigkeit. In diesem Beispiel bleiben wir bei „AES“ und fahren mit „Weiter“ fort.

Im Dialog „Volume-Größe“ legen Sie fest, wie viel freier Speicherplatz dem Veracrypt-Container zugewiesen werden soll. Aktivieren Sie zunächst die gewünschte Option – „MB“, „GB“ oder gar „TB“ – und tippen Sie dann die gewünschte Größe ein, etwa „8“. Bestätigen Sie mit „Weiter“. Die Größe eines Volumes lässt sich zu jedem späteren Zeitpunkt über „Extras“ und „Volume-Erweiterer“ anpassen, sodass Sie bei der erstmaligen Einrichtung nicht zu groß einsteigen sollten.

Anschließend legen Sie fest, wie der Zugang zum neuen Container geschützt wird. Die mit Abstand sicherste Variante besteht darin, bei der Authentifizierung sowohl ein Passwort als auch eine Schlüsseldatei zu verwenden. Aktivieren Sie beide Optionen, tippen Sie ein sicheres Passwort ein und bestätigen Sie die Eingabe. Klicken Sie anschließend auf „Schlüsseldateien …“. Interessant ist, dass Veracrypt jede beliebige Datei, also auch bereits auf dem Windows-10-PC gespeicherte JPG-Grafiken, MP3-Musik und ZIP-Archive als Schlüsseldateien akzeptiert. Darüber hinaus ist es auch möglich, mehrere Schlüsseldateien zu nutzen. In diesem Workshop legen wir allerdings eine neue Schlüsseldatei an. Klicken Sie auf „Schlüsseldatei(en) generieren“ und bewegen Sie den Mauszeiger anschließend 30 Sekunden lang innerhalb des markierten Bereiches, um einen Zufallswert zu generieren. Sobald der Fortschrittsbalken gefüllt ist, können Sie die Maus loslassen. Tippen Sie bei „Name der Schlüsseldatei(en)“ eine Bezeichnung ein, bestätigen Sie mit „Schlüsseldatei(en) erstellen und speichern“ und wählen Sie den Speicherort aus. Wieder im Dialog „Schlüsseldateien“ klicken Sie auf „Dateien hinzuf…“, wählen die soeben angelegte Schlüsseldatei aus und bestätigen mit „Öffnen“. Wichtig: Ohne diese Schlüsseldatei lässt sich der Veracrypt-Container nicht mehr öffnen.

Maximale Sicherheit bei der Erstellung der Schlüsseldatei bietet die Entropie. Hierbei wird der Schlüssel über zufällige Mausbewegungen generiert.
Vergrößern Maximale Sicherheit bei der Erstellung der Schlüsseldatei bietet die Entropie. Hierbei wird der Schlüssel über zufällige Mausbewegungen generiert.

Die mit Version 1.12 eingeführte Zusatzoption „PIM“ (Personal Iterations Multiplier) soll Brute- Force-Attacken erschweren. Schalten Sie „PIM“ ein und geben Sie eine dreistellige Zahl ein, müsste ein Hacker nicht nur das Kennwort durch Ausprobieren herausfinden, sondern zugleich auch die PIM erraten, was nahezu unmöglich ist. Klicken Sie auf „Weiter“. Haben Sie „PIM“ aktiviert, können Sie nun den Code eingeben, dessen Wert von der Passwortlänge abhängt. Hat das Passwort weniger als 20 Zeichen, muss der PIM größer als 485 sein, um maximale Sicherheit zu gewährleisten. Bei längeren Passwörtern ist die PIM-Größe hingegen egal. Nachdem Sie die entsprechende Zahl eingegeben haben, bestätigen Sie mit „Weiter“. Zum Abschluss will der Assistent von Ihnen wissen, ob im neuen Container Daten gespeichert werden, die größer als 4 GByte sind. Aktivieren Sie die entsprechende Option und klicken Sie erst auf „Weiter“, dann auf „Formatieren“ damit Veracrypt mit der Einrichtung des neuen Containers beginnt. Nach Abschluss des Vorgangs bestätigen Sie die Erfolgsmeldung mit „OK“ und schließen den Assistenten mit „Beenden“.

Verschlüsseltes Volume in Windows einbinden

Um unter Windows auf den neuen Container zugreifen zu können, müssen Sie die Datei erst im Betriebssystem einbinden. Im Hauptfenster von Veracrypt klicken Sie auf die Schaltfläche „Datei …“, wechseln zum Verzeichnis, in dem der Container abgelegt ist, markieren die Datei und bestätigen mit „Öffnen“. Markieren Sie im oberen Feld den gewünschten Laufwerksbuchstaben aus, zum Beispiel „A:“, und klicken Sie ganz unten auf die Schaltfläche „Einbinden“. Geben Sie das Passwort ein und bestätigen Sie mit „OK“. Um sich die Eingabe komplexer Kennwörter zu erleichtern, sollten Sie die Option „Passwort anzeigen“ aktivieren. Haben Sie den Container zusätzlich noch durch eine Schlüsseldatei und eine PIM geschützt, müssen Sie die entsprechenden Optionen aktivieren und Speicherort der Schlüsseldatei sowie PIM eintippen. Abhängig von der Größe des verschlüsselten Containers kann das Einbinden durchaus mehrere Sekunden dauern.

Sobald das Laufwerk in Veracrypt angezeigt wird, steht es Ihnen auch im Windows-Explorer zur Verfügung. Die Bereitstellung des Laufwerkes können Sie jederzeit über das Kontextmenü aufheben. Wollen Sie den Container immer automatisch mit Windows laden lassen, klicken Sie in Veracrypt das eingebundene Laufwerk mit der rechten Maustaste an und wählen Sie „Zu Favoriten hinzufügen“. Im folgenden Dialog markieren Sie „Ausgewähltes Volume beim Anmelden einbinden“ und schließen den Dialog mit „OK“. Aus Sicherheitsgründen müssen Sie diese Container nach jedem Windows-Start manuell entsperren. Das ist zwar nicht besonders komfortabel, dafür aber sicher. Und genau darauf kommt es bei der Verschlüsselung schließlich an.

USB-Sticks mit eingebauten Sicherheitsmechanismen

Fertige Sicherheits-Sticks haben gegenüber selbst gemachten USB-Sticks mit Bitlocker und Co. einen Vorteil: Sie arbeiten mit einem Kryptochip, in dem ein wichtiger Teil der Verschlüsselungstechnik steckt. Das macht die Sticks gegenüber reiner Softwareverschlüsselung zum einen deutlich schneller, zum anderen sind die geschützten Dateien zumindest in manchen Fällen schwerer zu knacken. Für dieses Plus an Tempo und Sicherheit zahlt man bei fertigen Sticks allerdings auch den höheren Preis. Interessant, weil mit integrierter Tastatur ausgestattet, ist etwa der Kingston Datatraveler 2000 . Auf diese Weise ist sichergestellt, dass nicht einmal auf PCs, auf denen ein Keylogger die Tastatureingaben aufzeichnet, dass Kennwort ermittelt werden kann.

Geht es hingegen um den Schutz von Log-in-Informationen, bietet sich der USB-Stick Phrase-Lock an. Für rund 50 Euro erhalten Sie ein besonders gut geschütztes System für die Passwortverwaltung und einfache Log-ins am PC. Die Log-in-Daten für Ihre Webdienste, aber auch für viele andere Zugangsdaten, etwa die Anmeldung in Ihr Windows-Benutzerkonto, speichern Sie auf Ihrem Smartphone in der Phrase-Lock-App. Verschlüsselt werden die Daten mit einem Key, der auf dem USB-Stick gespeichert ist. Das Smartphone verbindet sich per Bluetooth mit dem Stick, wenn dieser am PC angesteckt ist. Die Log-in-Daten aus der App lassen sich per Fingertipp in den geöffneten Internetbrowser am PC übergeben. Im Test funktionierte das reibungslos. Nur das einmalige Eingeben der Log-ins finden wir etwas umständlich. Zur App gehört auch ein Passwortgenerator, der komplexe Passworte automatisch generiert.

Windows 10 sammelt in den Express-Einstellungen jede Menge Nutzerdaten. Beispielsweise besuchte Webseiten, den Standort mobiler Windows-10-Geräte und vieles mehr. Wie Sie diese Datensammelwut einschränken, erfahren Sie in diesem Video.

0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

1982198