Verschlüsselung

Festplatte & SSD verschlüsseln mit Veracrypt oder Bitlocker

Egal ob Veracrypt oder Bitlo­cker - Fest­platten verschlüs­seln macht Sinn: So kann kein Fremder auf Ihre privaten Daten zugreifen, selbst wenn er vor dem PC sitzt.
Von Julian Ruecker /
AAA

Verschlüsseln mit Bitlocker oder Veracrypt Verschlüsseln mit Bitlocker oder Veracrypt
Bild: VeraCrypt Sie wollen Ihre Fest­platte oder SSD verschlüs­seln? Das bringt Vorteile: Ohne ein Pass­wort kann niemand Ihre Daten klauen oder auch nur ansehen. Und um auf Verschlüs­selung zu setzen, müssen Sie gar nichts zu verbergen haben oder para­noid sein: In Zeiten, in denen auf Fest­platten quasi fast das ganze Leben abge­legt wird, ist das Streben nach Sicher­heit mehr als ange­bracht. Wir wollen Ihnen zeigen, wie Sie sich für die rich­tige Soft­ware entscheiden. Ziel ist eine möglichst einfache Verschlüs­selung, daher verzichten wir auf die Betrach­tung von Unternehmens­lösungen und tief­gehenden tech­nischen Details.

Zwei große Kandi­daten buhlten bis vor Kurzem um die Gunst des Nutzers: Das kosten­freie TrueCrypt bzw. sein Nach­folger VeraCrypt, das aller­dings bisher nicht ohne Probleme auf vielen neu erstan­denen Rech­nern einsetzbar war, oder Bitlo­cker, das sich aller­dings nicht in jeder Windows-Version im Liefer­umfang findet. Verschlüsseln mit Bitlocker oder Veracrypt Verschlüsseln mit Bitlocker oder Veracrypt
Bild: VeraCrypt

VeraCrypt

Noch bevor am 28. Mai 2014 das offi­zielle Ende der Entwick­lung von TrueCrypt im selben Monat bekannt gegeben wurde, spal­tete sich VeraCrypt 2013 von TrueCrypt ab. Entspre­chend sollten Nutzer von VeraCrypt kaum Probleme mit dem Umstieg haben, denn die äußer­lichen Unter­schiede sind nicht groß. Das Ende der Entwick­lung von TrueCrypt und der Hinweis, das Programm wäre nicht sicher und enthielte Sicher­heits­lücken, sorgte für viel Verwun­derung. Bis dahin wurde TrueCrypt als "sicher unüber­windbar" einge­stuft und ein Ende der Entwick­lung dementspre­chend nicht erwartet.

VeraCrypt ist ein quellof­fenes Verschlüs­selungs­pro­gramm für Windows, macOS und Linux und basiert auf TrueCrypt 7.1a. VeraCrypt soll in weiten Teilen kompa­tibel zu TrueCrypt sein, wodurch die Möglich­keit bestehen soll, TrueCrypt-Container mithilfe eines Kompa­tibi­litäts­modus mit VeraCrypt zu entschlüs­seln. Viele der von den VeraCrypt-Entwick­lern einge­arbei­tete Verbes­serungen und Fehler­besei­tigung stehen jedoch nur neu erstellten VeraCrypt-Contai­nern, Parti­tionen oder Systemen zur Verfü­gung. Empfohlen wird daher eine Migra­tion auf das eigene Container-Format.

Als Verschlüs­selungs-Algo­rithmen stehen AES, Serpent, Twofish, Camellia und Kuznye­chik zur Verfü­gung sowie eine kaska­den­artige Kombi­nation von AES, Serpent und Twofish, was die Sicher­heit nochmal erhöhen soll. Durch soge­nannte "Hidden Volumes" (etwa "versteckte Container") wird auch im Fall einer erzwun­genen Heraus­gabe des Pass­worts und der damit verbun­denen Entschlüs­selung die entspre­chende versteckte Parti­tion oder der Container nicht sichtbar. Dies macht die soge­nannte glaub­hafte Abstreit­bar­keit möglich, da inner­halb der entschlüs­selten Parti­tion kein Inhalt gefunden werden kann.

Fazit: Wer mit TrueCrypt gut zurecht­gekommen ist, der sollte auch mit VeraCrypt kaum Probleme bekommen. Durch die Diskus­sion um die Sicher­heit von TrueCrypt sollte die Sicher­heit von VeraCrypt davon eher profi­tieren. An Benut­zer­freund­lich­keit hat VeraCrypt nichts einge­büßt, daher kann der Wechsel als eine Verbes­serung ange­sehen werden. Ledig­lich auf Kompa­tibi­lität zwischen den beiden Programmen sollte der Nutzer genauer achten.

TrueCrypt

Das klas­sische TrueCrypt ist Geschichte - auf der Home­page findet sich jetzt ein Hinweis auf Bitlo­cker. Ob es mit dem Programm jemals weiter­geht, ist unge­wiss. Die letzte TrueCrypt-Version 7.2 ermög­licht nur noch das Entschlüs­seln. Rat hier: Setzen Sie auf eine ältere Version der Soft­ware - die Vari­ante 7.1a ist bei vielen Down­load-Portalen noch zu haben.

TrueCrypt war eine kosten­freie Open-Source-Lösung zur Verschlüs­selung von Dateien, aber auch ganzer Parti­tionen. TrueCrypt reinigte dabei auf Wunsch vor der Verschlüs­selung unbe­nutzte Sektoren durch Über­schreiben. Es bot die Wahl zwischen verschie­denen Verschlüsselungs­verfahren (AES, Twofish, Serpent sowie Kombi­nationen, alles aner­kannte Verfahren) und erstellte zwangs­weise eine CD/DVD, mit der eine kaputte Instal­lation gefixt werden konnte. Auch für Laien war das Programm nach einer kleinen Einar­bei­tung gut bedienbar.

Wer sein Pass­wort vergaß, hatte bei TrueCrypt seine Daten verloren - das konnte man der Lösung nicht vorwerfen, denn genau das ist der Sinn einer Verschlüs­selung. Nach­teil von TrueCrypt war: Das Programm unter­stützte kein UEFI, sodass vor allem neuere Windows-PCs mit vorin­stal­liertem Micro­soft-System hier Probleme berei­teten.

Ob Sie ein UEFI-System nutzen, erfahren Sie, indem Sie zunächst gleich­zeitig die Windows- in Kombi­nation mit der R-Taste drücken, dann msinfo32 eingeben und auf der rechten Seite nach "BIOS-Modus" suchen. Dort steht entweder UEFI bei einem UEFi-System oder Legacy bei einem BIOS-System.

Natür­lich ist es im UEFI-Fall möglich, auch ein solches Windows 11 mit ausge­schal­tetem UEFI zu starten. Die entspre­chende Boot-Einstel­lung sollte im UEFI vorge­nommen werden können. Eine weitere Möglich­keit bieten die UEFI-Einstel­lung direkt im Betriebs­system. Dafür muss im Start­menü oder auf dem Anmel­debild­schirm zunächst "Ein/Aus" gedrückt und während "SHIFT" (oder "UMSCHALT") gehalten wird "Neu starten" ausge­wählt werden. Anschlie­ßend "Problem­behand­lung" wählen, dann auf "Erwei­terte Einstel­lungen" und schließ­lich "Firm­ware­ein­stel­lungen" öffnen.

Sollte bereits ein Legacy-System in Benut­zung sein und es soll ein neues Betriebs­system instal­liert werden, wird es im Fall von Windows 11 etwas aufwän­diger. Zunächst wird ein Windows-10-Instal­lations-Medium wie z. B. ein USB-Stick mit der entspre­chenden ISO-Datei und einem Abbil­der­steller erstellt. Aus der Windows-11-ISO-Datei wird nun aus dem "sources"-Ordner die Datei "install.wim" in den entspre­chenden "sources"-Ordner auf dem Instal­lati­ons­medium kopiert, wobei die alte Datei über­schrieben wird. Beim Starten der Windows-11-Instal­lation sollte es nun keine Fehler mehr geben.

Fazit: TrueCrypt punk­tete damals mit seiner Zuver­läs­sig­keit und es war kostenlos - aller­dings sollten Inter­essenten sich statt der letzten TrueCrypt-7.2-Version die Version 7.1a herun­ter­laden. Die Instal­lation erschien ange­sichts der Fragen zunächst kompli­ziert, der Nutzer wurde aber gut durch den Instal­lati­ons­pro­zess geführt. UEFI-PC-Nutzer bleiben aber außen vor - zumin­dest, bis die Entwickler von TrueCrypt viel­leicht doch noch die Unter­stüt­zung einführen.

Verschlüsseln via Bitlocker Verschlüsseln via Bitlocker
Screenshot: teltarif.de

Bitlo­cker

Bitlo­cker ist - wie erwähnt - nicht in allen Windows-Versionen inte­griert. Mitge­lie­fert wird es bei Windows 8 Pro und Enter­prise, Windows 10 Pro und Enter­prise, Windows 11 Pro sowie neueren Versionen von Windows Server. Unter Windows 11 Home kann nur ein kleiner Teil der Bitlo­cker-Funk­tionen genutzt werden. Per Upgrade lässt sich das Feature frei­lich auch für andere Versionen nach­rüsten - hierzu muss der Anwender aber ein paar Euro in die Hand nehmen. Das Problem bezieht sich übri­gens "nur" auf die Verschlüs­selung, entschlüs­seln können auch die "klei­neren" Windows-Versionen.

Windows: Bitlo­cker ohne TPM
  • Grup­pen­richt­linie bear­beiten
  • Auf "Admi­nis­tra­tive Vorlagen" klicken
  • "Windows-Kompo­nenten" öffnen
  • "Bitlo­cker-Lauf­werks­ver­schlüs­selung"
    öffnen
  • "Betriebs­sys­tem­lauf­werke" öffnen
  • rechts: "Zusätz­liche Authen­tifi­zie­rung
    beim Start anfor­dern"
  • oben links "Akti­viert"
  • mit OK bestä­tigen
Bitlo­cker hat - je nach Sicht­weise - den Vor- oder Nach­teil, dass sich dem Nutzer im normalen Ablauf weniger Wahl­möglich­keiten als True­crypt bieten. So ist der Installations­prozess unauf­wendig, es sei denn, das mit Bitlo­cker zu bear­bei­tende Gerät kommt ohne so genanntes TPM. Die Abkür­zung steht für Trusted Plat­form Module, der Chip ist aber in vielen Privat­rech­nern nicht verbaut. Dann ist kurz eine etwas fumme­lige Arbeit in den Gruppen­richtlinien erfor­der­lich. Die rich­tigen Schritte finden Sie in der Box rechts.

Ist das TPM-Problem gelöst, wirds einfach - erst das Kenn­wort eingeben und auswählen, ob die ganze Parti­tion verschlüs­selt werden soll oder erstmal nur der verwen­dete Spei­cher­platz. Als nächstes dann den gene­rierten Rettungs­schlüssel notieren, drucken oder abspei­chern und gut verste­cken, viel­leicht auch außer Haus: Mit dem ellen­langen Code lässt sich im Zweifel die Pass­wort-Abfrage umgehen. Dann folgt ein Neustart und die Verschlüs­selung startet. Der Verschlüs­selungs-Prozess arbeitet übri­gens bei beiden Lösungen im Hinter­grund. Während des Vorgangs können Sie also weiter arbeiten und könnten das System prin­zipiell auch herun­ter­fahren - das Programm arbeitet dann nahtlos an der Stelle der Unter­bre­chung weiter.

Fazit: Bitlo­cker hat einen benut­zer­freund­lichen Instal­lati­ons­pro­zess, der auch Nicht-Fach­leuten die Instal­lation ermög­licht - wenn Sie das mögli­cher­weise auftre­tende Grup­pen­richt­linien-Problem gemeis­tert haben. Kostenlos gibts die Lösung leider nicht in den Windows-Versionen für Heim­anwender - wer aber eine Pro-Version besitzt, kann Bitlo­cker direkt einsetzen.

Mehr zum Thema Verschlüsselung

mehr zum Thema
Schlagwörter