Die Schutzziele der IT-Sicherheit – Vertraulichkeit und Integrität – gewinnen immer mehr an Bedeutung. Die Verschlüsselung von Datenträgern spielt dabei eine entscheidende Rolle, vor allem für mobile Geräte. Wir zeigen, wie Sie mit dem Open-Source-Werkzeug VeraCrypt Ihre Daten und Ihr Betriebssystem zuverlässig schützen und bei Bedarf die verschlüsselten Container sogar komplett verstecken.
Mit dem allgemein wachsenden Bewusstsein für IT-Sicherheit begann Microsoft im Jahr 2004 mit der Entwicklung der später als Bitlocker bekannten Software für die Verschlüsselung von Dateien, Partitionen oder ganzen Festplatten. Fast zeitgleich entstand mit TrueCrypt eine kostenfreie Weiterentwicklung eines zuvor offenbar gestohlenen Quellcodes der Software Encryption for the Masses (E4M). Im Gegensatz zu Bitlocker, das erst 2007 tatsächlich Einzug in Windows hielt, erfreute sich TrueCrypt von Beginn an großer Beliebtheit, obwohl die Entwickler lange Zeit unbekannt blieben und der Quellcode des Programms auch nicht frei verfügbar war.
Tatsächlich bestätigten sich später Gerüchte, dass die Entwicklung ursprünglich aus kriminellen Kreisen stammte. Die Situation und das Vertrauen in die Software veränderten sich, als die Entwickler von TrueCrypt im Jahr 2014 das Ende der Entwicklung verkündeten. Bereits 2013 entstand mit VeraCrypt ein Fork, auf Basis einer älteren, auditierten TrueCrypt-Version, der heute von einer Open-Source-Community entwickelt wird.
Im Rahmen der Snowden-Veröffentlichungen geriet Bitlocker in Verdacht, möglicherweise Hintertüren oder Generalschlüssel für Nachrichtendienste bereitzustellen. Bestätigt hat sich diese Vermutung jedoch nie und auch heute ist nicht davon auszugehen. Im Unternehmenskontext kommt Bitlocker daher oft zum Einsatz, da es Administratoren die Möglichkeit bietet, Backup-Keys zu erstellen und diese etwa im Active Directory abzulegen. Der Einsatz der Software ist jedoch vor allem deshalb interessant, weil sie auch die unterschiedlichen Linux-Derivate und macOS als Betriebssysteme unterstützt. Zusätzlich lassen sich die alten TrueCrypt-Container mit VeraCrypt einfach weiterverwenden.
Mit dem allgemein wachsenden Bewusstsein für IT-Sicherheit begann Microsoft im Jahr 2004 mit der Entwicklung der später als Bitlocker bekannten Software für die Verschlüsselung von Dateien, Partitionen oder ganzen Festplatten. Fast zeitgleich entstand mit TrueCrypt eine kostenfreie Weiterentwicklung eines zuvor offenbar gestohlenen Quellcodes der Software Encryption for the Masses (E4M). Im Gegensatz zu Bitlocker, das erst 2007 tatsächlich Einzug in Windows hielt, erfreute sich TrueCrypt von Beginn an großer Beliebtheit, obwohl die Entwickler lange Zeit unbekannt blieben und der Quellcode des Programms auch nicht frei verfügbar war.
Tatsächlich bestätigten sich später Gerüchte, dass die Entwicklung ursprünglich aus kriminellen Kreisen stammte. Die Situation und das Vertrauen in die Software veränderten sich, als die Entwickler von TrueCrypt im Jahr 2014 das Ende der Entwicklung verkündeten. Bereits 2013 entstand mit VeraCrypt ein Fork, auf Basis einer älteren, auditierten TrueCrypt-Version, der heute von einer Open-Source-Community entwickelt wird.
Im Rahmen der Snowden-Veröffentlichungen geriet Bitlocker in Verdacht, möglicherweise Hintertüren oder Generalschlüssel für Nachrichtendienste bereitzustellen. Bestätigt hat sich diese Vermutung jedoch nie und auch heute ist nicht davon auszugehen. Im Unternehmenskontext kommt Bitlocker daher oft zum Einsatz, da es Administratoren die Möglichkeit bietet, Backup-Keys zu erstellen und diese etwa im Active Directory abzulegen. Der Einsatz der Software ist jedoch vor allem deshalb interessant, weil sie auch die unterschiedlichen Linux-Derivate und macOS als Betriebssysteme unterstützt. Zusätzlich lassen sich die alten TrueCrypt-Container mit VeraCrypt einfach weiterverwenden.
Verschlüsselung zum Schutz der Daten
Die Vertraulichkeit der Daten und die Integrität eines Systems sind grundlegende Schutzziele der IT-Sicherheit und sollten damit bei jeder Installation eines Betriebssystems berücksichtigt werden. Dabei ist es im Grunde egal, in welcher Branche Sie arbeiten, fast überall gibt es sensible Daten, die Sie schützen müssen (oft auch aus rechtlichen Gründen) oder die Sie schützen möchten. Seien es Konstruktionspläne, Mandantendaten, Kundenprojekte oder einfach interne Entwicklungen und Kommunikation – in fremde Händen sollen diese Informationen nicht gelangen.
Vor allem mobile Geräte und Datenträger unterliegen einem erhöhten Risiko durch Verlust oder Diebstahl. Nicht nur auf Dienstreisen ins Ausland kann es passieren, dass ein Gerät bei der Einreise kurzzeitig abgegeben werden muss. Eine verschlüsselte Systempartition schützt in solchen Fällen auch vor unkontrollierter Manipulation, etwa der Installation von Schad- oder Spionagesoftware. Vor allem aber schützt sie vor unbefugtem Zugriff, etwa auf Geschäftsgeheimnisse oder persönliche Daten auf der Festplatte.
Selbstverständlich werden Vertraulichkeit und Integrität nur im ausgeschalteten Zustand des Computers sichergestellt. Ist ein Gerät eingeschaltet und sind die verschlüsselten Daten durch Eingabe des Passworts für die tägliche Arbeit freigeschaltet, sind diese auch zugänglich. Ein Vertraulichkeitsverlust durch Fehler des Benutzers oder eine Manipulation durch Schadsoftware ist dann also möglich.
Setup und erste Schritte
Einige Unternehmen setzen bereits VeraCrypt ein. Dabei gibt es unterschiedliche Konfigurationen, je nach Einsatzzweck. Im Folgenden stellen wir unterschiedliche Szenarien dar. Damit Sie diese an Ihrem Testsystem ausprobieren können, laden Sie sich zunächst VeraCrypt zur Installation auf Ihrem Betriebssystem herunter. Nutzen Sie dabei die offizielle Seite für den Download [1], die von den Entwicklern der Firma IDRIX angeboten wird. So erhalten Sie eine gültig signierte Version und kommen um die Tricks dubioser Download-Plattformen herum.
Die Installation ist spielend einfach: Starten Sie die heruntergeladene Datei mit Administratorrechten beziehungsweise bestätigen Sie den entsprechenden Dialog bei der Installation. Wählen Sie anschließend die Ihnen passende Sprache und installieren dann VeraCrypt mit den Standardoptionen. Alternativ können Sie die auf GitHub bereitgestellten Quellen herunterladen [2] und VeraCrypt auf Ihrem eigenen System erstellen.
Wenn Sie VeraCrypt starten, präsentiert sich das Programm aufgeräumt und übersichtlich. Sie erhalten einen Überblick über bereits eingebundene Laufwerke, VeraCrypt verwendet unter Windows die klassischen Laufwerksbuchstaben von A bis Z sowie die Möglichkeit, einen Container oder eine verschlüsselte Partition einzubinden oder neu anzulegen. Haben Sie die Software bisher nicht verwendet, erstellen wir nun zunächst einen verschlüsselten Container.
Wählen Sie den Button "Volumen erstellen", öffnet sich ein Dialog, der Sie durch den Prozess begleitet. Im ersten Schritt wählen Sie aus, welche Speicherart des Volumens Sie benötigen. Zur Auswahl stehen eine Containerdatei, eine verschlüsselte Partition Ihrer Festplatte oder eine verschlüsselte Systempartition Ihres Windows-Betriebssystems. Für einen ersten Versuch wählen Sie die verschlüsselte Containerdatei. Im zweiten Schritt legen Sie die Art des Volumes innerhalb des Containers fest. Hier haben Sie zwei Optionen: ein Standard-Volume oder ein sogenanntes Hidden-Volume.
Mit Hidden-Volumes können Sie zusätzlich zum Schutzziel der Vertraulichkeit auch das Schutzziel der glaubhaften Abstreitbarkeit (Plausible Deniability) sicherstellen. Dadurch lässt sich bereits die bloße Existenz der verschlüsselten Daten leugnen, sollte Sie jemand zur Herausgabe selbiger zwingen wollen. Sie erstellen hierfür ein verstecktes Volume innerhalb eines Standard-Volumes. VeraCrypt erzeugt dafür in den Headern eines Containers in jedem Fall entsprechende Strukturen, sodass allein die Existenz dieser Strukturen kein glaubhafter Beleg für die Existenz eines versteckten Volumes darstellt. Technisch ist das innere Volume einfach ein Speicherbereich innerhalb eines Standard-Volumes und wird mit einem weiteren Geheimnis geschützt.
Geben Sie beim Einbinden der Volumes beide Geheimnisse ein, ermittelt Vera-Crypt die Byte-Grenzen der beiden Volumes innerhalb des Containers und Sie können je nach Bedarf gefahrlos auf beide Volumes zugreifen. Wenn Sie nur das Geheimnis zum Entschlüsseln des äußeren Volumes angeben, besteht die Gefahr, das versteckte Volumen zu überschreiben. VeraCrypt weiß dann nämlich nichts von den entsprechenden Byte-Grenzen und schreibt den Container einfach voll, im Zweifel auch über den Bereich des versteckten Volumes.
Bild 1: VeraCrypt präsentiert nach dem Start eine aufgeräumte Benutzeroberfläche.
Sicherheit vs. Performance
Nun wählen Sie den Punkt "Standard-VeraCrypt-Volume" und klicken auf "Weiter". Im nachfolgenden Schritt suchen Sie den Speicherort der Containerdatei aus und geben die Parameter der Verschlüsselung an. VeraCrypt bietet Ihnen unterschiedliche Algorithmen an. AES ist der weltweit anerkannte Standard für Blockverschlüsselung. Die Alternativen Serpent und Twofish sind Algorithmen, die seinerzeit ebenfalls als Kandidaten für den AES-Standard herangezogen wurden – also vergleichsweise sicher sind.
Wenn Sie keinem Algorithmus für sich genommen vertrauen, können Sie auch eine Kaskade aus mehreren Verfahren auswählen. Ob dies kryptografisch und für Ihren Einsatzzweck sinnvoll ist, müssen Sie selbst entscheiden. Am Ende vergrößern Sie durch die Kaskadierung das Schlüsselmaterial und schließen mathematische Unsicherheiten einzelner Verfahren als Angriffsszenario aus. Ähnliches gilt für die Auswahl des Hash-Verfahrens, auch hier stehen unterschiedliche Varianten bereit. Im Normalfall sind Sie mit AES und SHA-512 auf der sicheren Seite und erreichen einen guten Kompromiss zwischen Sicherheit und Performance. Daher wählen wir für dieses Beispiel diese beiden Verfahren.
Im nächsten Schritt bestimmen Sie die Größe Ihres Volumes. Diese sollte den tatsächlichen Bedürfnissen entsprechen, soweit Sie diese abschätzen können. Ansonsten belegen Sie möglicherweise viel Speicherplatz auf Ihrem Datenträger, nur um wenige oder kleine Dateien zu verschlüsseln. Wenn Sie den genauen Bedarf noch nicht wissen, bietet Ihnen VeraCrypt auch dynamische Container an. Diese reservieren nicht den kompletten Speicher beim Anlegen, sondern wachsen bei Bedarf einfach bis zur angegebenen Maximalgröße mit. Letztere sollten Sie übrigens sorgfältig wählen, denn übersteigt diese am Ende den tatsächlichen Festplattenspeicher, droht Datenverlust. Für unser Beispiel wählen wir eine Containergröße von 1 GByte.
Nun müssen Sie das Geheimnis für den Zugriff auf das angelegte Volume auswählen. Die beiden Eingabefelder füllen Sie mit Ihrem gewählten Passwort; der Hinweistext hilft Ihnen bei der Wahl eines sicheren Kennworts. Dabei sollten Sie beachten, dass gute Passwörter nicht allein aus vielen unterschiedlichen Zeichen bestehen, sondern vor allem auch möglichst lang sein sollten. Dabei hat die Kennwortlänge einen großen Einfluss auf die Sicherheit (siehe Kasten "Passwortsicherheit"), auch wenn Sie an unterschiedlichen Orten hierzu mitunter unterschiedliche Empfehlungen finden. VeraCrypt warnt Sie deshalb sinnvollerweise, wenn Ihr Passwort kürzer als 20 Zeichen ist.
Alternativ oder zusätzlich zum Passwort können Sie weitere "Geheimnisse" zum Schutz Ihres Volumes auswählen. Neben einer Smartcard lassen sich etwa eine beliebige Datei oder die Dateien eines gesamten Ordners als Schlüssel-Files festlegen. Das erhöht natürlich die Eingabegröße für die Verschlüsselung immens, beschränkt aber das zu merkende Geheimnis auf diese eine Datei beziehungsweise die gewählte Kombination mehrerer Files. Ein Angreifer mit Zugriff auf Ihren Computer könnte jede dort gespeicherte Datei als Geheimnis ausprobieren. Sie sollten sich also nicht allein auf die Wahl nur eines Files als Geheimnis verlassen.
Die Sicherheit noch weiter erhöhen lässt sich, indem Sie den "Personal Iterations Multiplier" selbst festlegen und hierfür den Punkt "PIM verwenden" auswählen. Damit beeinflussen Sie die Anzahl der Iterationen der Key-Derivation-Funktion, die aus Ihrer Eingabe kryptografische Schlüssel erzeugt, und erschweren so Bruteforce-Angriffe. Die voreingestellte Anzahl an Iterationen ist mit 500.000 Runden allerdings schon ein guter Kompromiss aus Performance und Sicherheit, sodass Sie hier nichts ändern müssen.
Bild 2: Die "Plausible Deniability" ist mit VeraCrypt durchaus möglich.
Passwortsicherheit
Sichere Passwörter sind lang. Sie sollen vor Bruteforce-Angriffen schützen – also Attacken, bei denen einfach alle möglichen Zeichenkombinationen ausgetestet werden. Die Komplexität ergibt sich aus den verfügbaren Zeichen, die ein Angreifer in Kombination durchprobieren muss. Bei einem deutschen Tastaturlayout gibt es jeweils 30 Groß- und Kleinbuchstaben des Alphabets einschließlich der Umlaute. Hinzu kommen die zehn Ziffern von 0 bis 9 und etwa 30 Sonderzeichen. Das ergibt zusammen 100 potenzielle Zeichen für jede Stelle Ihres Passworts. Und je mehr dieser Zeichen Sie kombinieren, desto exponentiell schwieriger wird das Knacken.Die Sicherheit eines Passworts bestimmt sich aber nicht nur durch die Auswahl und Anzahl der Zeichen, sondern auch durch den Grad der Geheimhaltung. Hinreichend komplexe, aber dennoch einfach zu merkende Kennwörter müssen nicht aufgeschrieben werden. Dabei spielt die reine Anzahl an Passwortstellen eine größere Rolle als ein möglichst großer Zeichensatz: Ein 18-stelliges Passwort, bei dem Sie nur Kleinbuchstaben und Zahlen (also jeweils 36 mögliche Zeichen) verwenden, weist mehr Kombinationen auf als ein 14-stelliges Passwort mit 100 möglichen Zeichen. Um das Geheimnis zu wahren, verwenden Sie Ihre Passwörter natürlich nicht für mehrere Zwecke, sondern erstellen für jedes Konto ein individuelles und möglichst nicht abgeleitetes Kennwort. Fällt Ihr Kennwort auf diesem Umweg, also über einen anderen gehakten Account, in die Hände eines Angreifers, beträgt die Anzahl der nötigen Versuche, um auf Ihre Dateien zuzugreifen, nur noch genau eins.
FAT, exFAT oder NTFS?
Haben Sie das Passwort beziehungsweise Geheimnis mit Bedacht festgelegt und auf "Weiter" geklickt, gelangen Sie zur Auswahl des Dateisystems innerhalb Ihres Volumes. Mit FAT oder exFAT können Sie dieses hinterher auf fast jedem anderen System wieder einbinden. NTFS erlaubt Ihnen unter Windows, zusätzliche Berechtigungen oder Dateiattribute zu verwenden. Wählen Sie also das Dateisystem, das am besten zu Ihren Anforderungen passt. Setzen Sie bei Bedarf die Checkboxen für die schnelle Formatierung und die Option eines dynamischen – also mitwachsenden – Volumes. Bewegen Sie nun Ihren Mauszeiger, um den Pseudozufallszahlengenerator für die Krypto-Operationen mit weiteren "Zufallsdaten" zu versorgen. Ist der Balken am unteren Rand des Fensters grün, klicken Sie auf "Formatieren". Nach einer kurzen Zeit ist Ihr Volume fertig, schließen Sie daher den Dialog mit "Beenden".
Nach dem Erstellen Ihres Containers gelangen Sie wieder in das Startfenster von VeraCrypt. Suchen Sie nun mit einem Klick auf "Datei" Ihren zuvor angelegten Container, wählen Sie im obigen Bereich den gewünschten Laufwerksbuchstaben und klicken dann auf "Einhängen". Im Dialogfenster geben Sie das Passwort ein oder suchen Sie die zuvor ausgewählten Dateien des Geheimnisses unter "Schlüsseldateien" zusammen. Mit einem Klick auf "OK" wird das Volume nun über die Datenträgerverwaltung automatisch eingebunden und Sie können direkt darauf zugreifen.
Falls Sie im vorherigen Schritt ein Hidden-Volume erstellt haben, sehen Sie beim Einhängen nun zwei Optionen. Möchten Sie auf die Inhalte des Hidden-Volumes zugreifen, müssen Sie das entsprechende Geheimnis eingeben, um es direkt einzubinden. Das äußere Volume des Containers wird dann nicht angezeigt oder verändert. Möchten Sie jedoch das äußere Volume einbinden, etwa um den Schein zu wahren und Dateien zu hinterlegen, geben Sie hier das Geheimnis dieses äußeren Volumes ein. Unter "Optionen" müssen Sie aber jetzt daran denken, auch das Geheimnis des Hidden-Volumes zum Schutz mit anzugeben, um dieses nicht versehentlich zu überschreiben.
Partitionen und Festplatten verschlüsseln
Möchten Sie über die Verwendung von Containern hinaus Partitionen oder ganze Datenträger verschlüsseln, wählen Sie beim Erstellen eines neuen Volumes die Option "Eine Partition / ein Laufwerk verschlüsseln". Nun müssen Sie unter Windows noch einmal den Dialog der Benutzerkontenkontrolle (UAC) abnicken, damit VeraCrypt auf Ihre Datenträger zugreifen darf. Wie in einem Container auch, lassen sich natürlich auch hier Hidden-Volumes anlegen. Anschließend wählen Sie den zu verschlüsselnden Datenträger aus. In unserem Beispiel nehmen wir zunächst einen USB-Speicherstick. In diesem Fall ist es nicht nötig, den Speicher vorab zu partitionieren, Sie können direkt das ganze Laufwerk verschlüsseln. Die Partitionierung ließe sich dann innerhalb des verschlüsselten Bereichs noch verändern. VeraCrypt zeigt Ihnen vorhandene Speicher und Partitionen zur Auswahl an.
Nun haben Sie im nächsten Schritt die Wahl, ob Sie mit der sogenannten "In-Place"-Verschlüsselung die auf dem Datenträger bereits vorhandenen Files später innerhalb des verschlüsselten Volumes weiternutzen möchten. VeraCrypt kann damit verschlüsselte Speichermedien auch ohne das händische Zwischenspeichern und Übertragen von Dateien erstellen. Das klappt unter Windows allerdings lediglich mit NTFS, da das Betriebssystem nur solche Dateisysteme online verkleinern kann – was wiederum notwendig ist, um Platz für das verschlüsselte Volume auf dem Datenträger zu schaffen.
Möchten Sie ohne die In-Place-Verschlüsselung weitermachen, wählen Sie entsprechend die andere Option und klicken Sie auf "Weiter". Vor dem Formatieren erhalten Sie noch einmal die Information, dass alle derzeit auf dem Medium enthaltenen Daten endgültig gelöscht werden. Wenn Sie einen USB-Speicherstick verwenden, erhalten Sie zudem den Hinweis, dass diesem auch weiterhin unter Windows ein Laufwerksbuchstabe zugewiesen wird. Das Laufwerk dürfen Sie so aber nicht verwenden. Windows erkennt nämlich keine Inhalte und bietet Ihnen beim Verbinden direkt an, den Stick zu formatieren, obwohl Sie damit natürlich das verschlüsselte Volume löschen würden.
Bild 3: Neben Kennwörtern lassen sich auch Schlüsseldateien verwenden.
Systempartition schützen
Möchten Sie nun, nachdem Sie erste Erfahrungen mit VeraCrypt gesammelt haben, Ihr gesamtes Betriebssystem verschlüsseln, wählen Sie oben im Menü unter "System" die Option "Systempartition / Systemlaufwerk verschlüsseln".
VeraCrypt bietet Ihnen sogar an, ein verstecktes Betriebssystem zu installieren. Damit können Sie das Schutzziel der Plausible Deniability auf Betriebssysteme anwenden und die Existenz einer versteckten OS-Installation abstreiten.
Wir wählen für unser Beispiel die normale Verschlüsselung. Anschließend entscheiden wir uns dafür, den gesamten Datenträger und nicht nur die Systempartition zu chiffrieren. Der gesamte Datenträger bezieht dann auch etwaige Recovery- oder Boot-Partitionen mit ein, weshalb die Software Ihnen für die Wiederherstellung empfiehlt, ausschließlich die Systempartition zu verschlüsseln. Ansonsten könnten Sie je nach BIOS-Konfiguration den Zugriff auf Ihr System ganz verlieren.
Backups und Recovery
Dieser Moment eignet sich, um noch einmal über die Backups der Festplatteninhalte nachzudenken. Für den Fall, dass bei der Verschlüsselung etwas nicht klappt, sollten Sie Ihre Dateien in einem Backup vorhalten, um das System wiederherzustellen. Diese können (oder sollten) natürlich auch auf einem verschlüsselten Datenträger liegen, der von einem gebooteten System einfach eingebunden werden kann.
Nun wählen Sie im nächsten Schritt aus, ob Sie lediglich ein Betriebssystem oder mehrere auf Ihrem Datenträger installiert haben. Anschließend klicken Sie auf "Weiter" und legen wie bereits beschrieben die Parameter für die Verschlüsselung fest. Danach gelangen Sie zur Geheimniseingabe. Natürlich können Sie hier keine Dateien auswählen, denn Sie haben ja zum Zeitpunkt des Systemstarts keinen Zugriff auf die Festplatte.
Ihnen wird auffallen, dass VeraCrypt bei der Eingabe des Passworts das Tastaturlayout auf Englisch stellt. Das liegt daran, dass beim Start die BIOS-Einstellungen vorliegen und das Betriebssystem das Tastaturlayout noch nicht umgestellt hat. Dies müssen Sie insbesondere bei der Verwendung von Sonderzeichen in Ihrem Passwort berücksichtigen. Normalerweise haben Sie also ein englisches Layout, um allerdings auf Nummer sicher zu gehen, dass Ihnen das BIOS nicht durch eine entsprechende Ländereinstellung einen Streich spielt, sollten Sie sich das Passwort einmal anzeigen lassen, damit Sie im Notfall die Passworteingabe auch mit einem deutschen Layout vornehmen können.
VeraCrypt erlaubt Ihnen das Erstellen eines VeraCrypt eigenen Rettungsmediums. Damit können Sie einen defekten VeraCrypt-Bootloader reparieren und auch (natürlich nur mit dem korrekten Passwort) die Systempartition wieder dauerhaft entschlüsseln, etwa um ein defektes Windows zu reparieren. Das erstellte ISO-Image sollten Sie auf eine CD/DVD brennen oder auf einen USB-Speicherstick spielen. Beachten Sie, wenn Sie mehrere Systeme mit Vera-Crypt verschlüsseln, dass Sie für jedes System ein individuelles Rettungsmedium benötigen.
Bild 4: Schützen Sie vorhandene Hidden-Volumes vor versehentlichem Überschreiben.
Bevor die Verschlüsselung beginnt, legen Sie noch das Löschverfahren für die bestehenden Systemdateien fest. So lassen sich Dateien mehrfach überschreiben, um eine Wiederherstellung durch einen Angreifer zu verhindern – selbst nach dem Überschreiben der freien Plattenbereiche mit dem verschlüsselten Volume. Nun müssen Sie noch die Recovery-Hinweise und Warnungen zur Kenntnis nehmen und starten dann den obligatorischen Vortest. Dafür wird der Computer neu gebootet und nach der Passworteingabe Windows wieder gestartet. VeraCrypt zeigt nach dem Start den Erfolg des Tests an.
Mit einem Klick auf "Verschlüsseln" und der erneuten Bestätigung der Warnmeldungen ist es dann soweit: Der Verschlüsselungsvorgang startet. Nun müssen Sie etwas Geduld haben, je nachdem wie groß Ihr Datenträger ist. Wenn der Prozess durchgelaufen ist, können Sie das Dialogfenster schließen und sehen dann in der Laufwerksübersicht Ihre Systempartition eingebunden. Natürlich können Sie dieses nicht auswerfen. Um Ihre Daten zu schützen, fahren Sie das System herunter.
Nach dem Start werden Sie fortan aufgefordert, den Schlüssel einzugeben. Denken Sie daran, dass Sie diesen auf einem englischen Tastaturlayout eintippen müssen. Neben dem Passwort werden Sie aufgefordert, einen möglicherweise gesetzten PIM einzugeben. Beim PIM handelt es sich um den zuvor bereits erwähnten Personal Iterations Multiplier. Wenn Sie diesen nicht verändert haben, können Sie einfach mit Enter bestätigen, ansonsten müssen Sie hier den korrekten Wert eingeben. Anschließend startet das Betriebssystem wie gewohnt und Sie können nahezu ohne Performanceverlust arbeiten.
Fazit
Die Verschlüsselung von Daten insbesondere auf mobilen Geräten ist im Unternehmensumfeld ein Muss. VeraCrypt bietet als Alternative zu Bitlocker ein durchdachtes Konzept für die Verschlüsselung von Datenträgern. Damit schützen Sie USB-Speichersticks, Festplatten und auch Ihre Systempartition – natürlich nur im ausgeschalteten beziehungsweise nicht-eingebundenen Zustand.
Die Hidden-Volumes ermöglichen Ihnen zudem die glaubhafte Abstreitbarkeit der Existenz solcher Volumes, sollte Sie jemand zur Herausgabe der Daten zwingen wollen. Wir haben in diesem Workshop die ersten Schritte mit VeraCrypt aufgezeigt und wie Sie Ihren Rechner mit dem Tool absichern. Ein wichtiger Aspekt sind dabei wie so oft sichere Kennwörter.