Inhaltsverzeichnis

How-To Geräteverschlüsselung

In der Regel sind Laptops und Smartphones durch eine Bildschirmsperre geschützt, die man beim einschalten oder Aufwachen aus dem Standby eingeben muss. Leider helfen Bildschirmsperren alleine nicht gegen gezielte Angriffe: Jemand könnte auch die Festplatte aus dem Gerät entfernen und manuell die Inhalte auslesen.

Für echten Schutz ist es nötig deine Festplatte zu verschlüsseln. Bei der Festplattenverschlüsselung werden alle deine Dateien in einen unkenntlichen Zahlenbrei codiert, der ohne das richtige Passwort nicht wieder decodiert werden kann. Dein Verschlüsselungs-Passwort musst du dann bei jedem Einschalten deines Computers eingeben, um deine Daten für die Benutzung zu decodieren.

Weil das Passwort und die decodierten Daten für den laufenden Betrieb nötig sind, werden sie im Arbeitsspeicher des Computers zwischengespeichert. Dieser Arbeitsspeicher wird beim Herunterfahren wieder geleert, sodass weder von den decodierten Daten noch von deinem Passwort etwas übrig bleibt. Pass auf, dass dir dein Gerät nicht im laufenden Betrieb abhanden kommt.


Laptops/PC

MacOS X

Benutze das vorinstallierte Programm FileVault2, um deinen Speicher zu verschlüsseln. Du findest FileVault2 in den Sicherheitseinstellungen. Das Passwort, das für die Verschlüsselung benutzt wird, ist dein normales User-Passwort.

Tipps und Hintergrundinfos (englisch): FileVault2 cheat sheet

Ubuntu / Linux

Bei einer Neuinstallation von Ubuntu kannst du im Menü Vollständige Festplattenverschlüsselung auswählen. Bei den meisten anderen Linux-Betriebssystemen ist das ähnlich.

Du musst dir bei Ubuntu zwei verschiedene Passwörter merken: Beim Einschalten deines Computers musst du einmalig dein Verschlüsselungspasswort eingeben. Um dich anzumelden, Einstellungen zu verändern oder neue Programme zu installieren, benutzt du dein gewöhnliches User-Passwort.

Windows

Bitlocker

Bitlocker ist das vorinstallierte Programm von Windows für Festplattenverschlüsselung.

Vorteile von Bitlocker sind, dass kein zusätzliches Programm installiert werden muss und Bitlocker sehr eng mit dem Betriebssystem integriert ist. Außerdem setzt Bitlocker vollständig verifizierten Boot und Hardware-basierte PIN-Limitierung um, sofern das von der Hardware unterstützt wird. Du kannst hier nachlesen was diese beiden Ausdrücke bedeuten.

Ein großer Nachteil und Kritikpunkt ist, dass Bitlocker nicht quelloffen ist. Dadurch ist es außenstehenden nicht möglich, die Funktionsweise der Software nachzuvollziehen und auf etwaige Hintertüren zu überprüfen.

Bei Bitlocker gibt es verschiedene „Modi“ der Verschlüsselung, je nachdem ob Bitlocker bereits bei Installation/Auslieferung aktiviert ist oder nachträglich für die System-Festplatte eingerichtet wird. Je nachdem kann es sein, dass man sich nur ein Passwort merken muss (das User-Passwort) oder zusätzlich noch ein Passwort für die Festplatten-Verschlüsselung, das zu Beginn des Hochfahrens eingegeben wird und vom User-Passwort unabhängig ist. Eine ausführliche Übersicht gibt es hier.

VeraCrypt (quelloffen)

Veracrypt ist Open Source, das bedeutet der Quellcode der Software und ihre Funktionsweise sind öffentlich einsehbar. Du kannst VeraCrypt hier runterladen. Es gibt eine ausführliche Dokumentation und ein FAQ

Bei VeraCrypt musst du dir zusätzlich zum User-Passwort das Passwort für die Festplattenverschlüsselung merken. Anders als Bitlocker bietet Veracrypt keine enge Integration mit dem Windows-Betriebssystem. Vor einer Neu-Installation oder einem Upgrade auf eine neue Windows Versionsnummer (z.B. Windows 8 auf Windows 10) muss die System-Verschlüsselung deswegen vollständig aufgehoben werden. Reguläre Updates (Sicherheitsupdates, App-Updates usw.) sollten in den meisten Fällen keine Probleme verursachen.

Ein weiterer Nachteil: VerCrypt verzichtet bewusst auf die Umsetzung von Verifiziertem Boot und hardwarebasierter PIN-Limitierung.

Fehlerbehebung: VeraCrypt-verschlüsseltes System startet nicht

Der Bootloader ist ein kleines Programm, dass dem Start des eigentlichen Betriebssystems (z.B. Windows, Linux, usw.) vorgeschaltet ist. Da VeraCrypt den kompletten Festplatten-Abschnitt, auf dem die Windows-Installation liegt, verschlüsselt, kann der Windows-Bootloader hiermit natürlich nichts anfangen, und würde entweder den Boot unterbrechen oder versuchen, den vermeintlich kaputten Bootvorgang zu reparieren. VeraCrypt installiert bei der System-Verschlüsselung seinen eigenen Bootloader neben dem Windows-eigenen Bootloaders und vermerkt in den Boot-Einstellungen, dass der VeraCrypt-Bootloader an dessen Stelle genutzt werden. In seltenen Fällen kann es passieren, dass diese Einstellung bei einem Windows-Update überschrieben wird und der Windows-Bootloader wieder an erste Stelle rückt. Dadurch bleibt der Computer in einer „Bootloop“ gefangen, da er nicht weiß, wie er das verschlüsselte System starten soll. Der VeraCrypt-Bootloader wird allerdings nicht gelöscht, es sollte normalerweise ausreichen im "BIOS"-Menü des Computers die richtige Reihenfolge wiederherzustellen.

Windows + Linux

Es ist möglich ein Linux-Betriebssystem parallel zu Windows zu installieren („Dual Boot“). Theoretisch können beide Betriebssystem jeweils verschlüsselt sein, das Windows-System mit Veracrypt und das Linux-System mit LUKS.

Bei der Installation von Ubuntu stellt der Installer aber nur zur Auswahl, entweder die komplette Festplatte (und darauf befindliche Betriebssysteme) zu überschreiben und Ubuntu verschlüsselt zu installieren, oder Ubuntu unverschlüsselt neben anderen Betriebssystem zu installieren.

Diese englisch-sprachige Anleitung zeigt wie man Ubuntu im Dual Boot und verschlüsselt installiert.


Smartphones

Bei Smartphones ist möglich, den Fingerabdruck, ein Wischmuster oder einen kurzen Zahlencode zu benutzen. Wir raten davon ab. Verwende am besten ein alphanumerisches Passwort, das sich aus Buchstaben und Zahlen zusammensetzt. Je mehr Kombinationsmöglichkeiten, desto schwieriger ist ein Passwort zu knacken.

Bei biometrischer Erkennung durch Face-ID oder Fingerabdruck besteht die Gefahr zum Entsperren eines Gerätes gezwungen zu werden. Auch soll es in der Vergangenheit gelungen sein diese Methoden auszutricksen.

Android

Bei allen modernen Androids, d.h. seit Version 10, ist die Verschlüsselung gleich bei der ersten Benutzung aktiviert wurde und nicht mehr deaktiviert werden kann. Wichtig ist nur, auch eine PIN-/Passwortsperre eimzurichten. Im Zweifel kannst du unter Einstellungen → Über das Telefon die Versionsnummer deines Androids herausfinden.

Bei Android werden viele deiner Daten unverschlüsselt auf den Servern von Google gespeichert. Richte dir am besten ein google-freies Android ein.

iPhone

Bei den neueren Generationen von iPhones wird bei einer Bildschirmsperre auch automatisch der Speicher verschlüsselt. Öffne Einstellungen → Touch ID und Passwort um ein Passwort zu setzen.

Backups deiner Daten und Einstellungen in der iCloud werden zwar verschlüsselt in den Apple-Rechenzentren abgelegt. Allerdings werden standardmäßig auch die Verschlüsselungs-Schlüssel für die Backups zentral bei Apple gespeichert. Indirekt hat Apple somit Zugriff auf die Daten. Um sicherzustellen, dass Apple keinen Zugriff hat, kannst du deine Backupslokal auf einem verschlüsselten Computer speichern oder ab iOS 16.2 den erweiterten Datenschutz für die iCloud aktivieren.

Speichermedien

Außer deinem Computer oder dein Smartphone kannst du außerdem auch Speichermedien USB-Sticks oder externe Festplatten verschlüsseln.

VeraCrypt

Mit VeraCrypt kannst du Speichermedien vollständig verschlüsseln oder verschlüsselte Container anlegen. Container sind verschlüsselte Dateien, die nach dem Entschlüsselt als wie normale Ordner benutzt werden. Auf allen Geräten, von denen aus du die Geräte oder Container ver- oder entschlüsseln willst, muss Veracrypt installiert sein. Das Programm ist für MacOS, Windows und Linux verfügbar.

Beim anonymen Betriebssystem Tails ist eine Nachinstallation von VeraCrypt sehr umständlich. Stattdessen ist bei Tails die App „VeraCrypt Mounter“ vorinstalliert. Es hat nicht den Funktionsumfang von VeraCrypt und kann ausschließlich zum entschlüsseln von verschlüsselten Speichermedien oder Containern benutzt werden. (englischsprachige Anleitung lesen)

LUKS-Verschlüsselung

Fast alle Linux-Betriebssysteme beherrschen das Linux Unified Key Setup. Empfohlen, wenn du nur mit Linux-Computern auf deine Dateien zugreifen willst. Ein Programm zur Einrichtung ist bei Ubuntu und Tails bereits vorinstalliert und sehr einfach zu bedienen. Lies dazu dieses ausführliche How-To.

Beim Anschließen und Entschlüsseln externer Speichermedien können Spuren der verschlüsselten Dateien auf deinem Computer hinterlassen werden. Das könnten Einträge unter zuletzt geöffnete Dateien oder Vorschaubilder sein. Am besten verschlüsselst du sowohl externe Speichermedien als auch deinen Computer.