Navigation und Service


Verschlüsselung mit Software

Zahlreiche, teilweise kostenlos verfügbare Programme ermöglichen die Verschlüsselung einzelner Dateien und Ordner oder ganzer Datenträger. Oft können Programme zur Datenkompression die komprimierten Daten auch verschlüsseln, beispielsweise die Open-Source-Anwendung 7-zip. Eingehen möchten wir hier auf zwei frei verfügbare Programme, die allein für Verschlüsselungszwecke entwickelt wurden.

TrueCrypt

TrueCrypt ist eine vielseitige Software. Auch wenn sie auf den ersten Blick kompliziert erscheint, gibt es einfache Anleitungen für bestimmte Aufgaben. Ein deutsches Sprachpaket steht auf der Herstellerseite zur Verfügung.

Assitent zum Erstellen eines TrueCrypt-VolumenBild vergrößernMit TrueCrypt lassen sich verschlüsselte Container erstellen, in denen sich beliebige Dateien wie auf einem gewöhnlichen Laufwerk ablegen lassen.

Bei der Verschlüsselung von Dateien und Ordnern geht TrueCrypt einen besonderen Weg: Die Software legt verschlüsselte Container beliebiger Größe auf der Festplatte an; dies sind zunächst nur große Dateien voller Bit-Salat. Einen solchen Container können Sie mit TrueCrypt öffnen (einbinden). Dadurch wird er vom Betriebssystem als Laufwerk anzeigt und behandelt. Alle Dateien und Ordner, die Sie auf diesem Laufwerk (auch Volume genannt) speichern, landen verschlüsselt in dem Container.

Welcher Container vom Betriebssystem soll unter welchem Laufwerksbuchstaben eingebunden werdenBild vergrößern

In Truecrypt lässt sich festlegen, welcher Container vom Betriebssystem unter welchem Laufwerksbuchstaben eingebunden werden soll.

Wie Sie diese TrueCrypt-Funktion nutzen können, erklären das Blog F!XMBR und die Zeitschrift PCtipp.

Bei der Erstellung von Containern möchten wir auf die Schritte "Verschlüsselungseinstellungen" und "Volume-Format" besonders hinweisen.

Verschlüsselungseinstellungen

Es wird vorgeschlagen, folgende Einstellungen vorzunehmen:

  • Verschlüsselungsalgorithmus: AES (z.B. mit Schlüssellänge 256)
  • Hash-Algorithmus: SHA-512
  • Beim Einrichten einer Partition bzw. eines Volumes KEINE Schlüsseldateien verwenden
  • KEINE History auswählen.

Bitte beachten Sie folgende Vorgehensweise:

Ihre Partition / Volume wird mit einem geheimen Schlüssel gesichert. Beim Einrichten einer Partition wird dieser erstellt. Dazu werden Sie aufgefordert, den Mauszeiger über ein Fenster zu bewegen. Für die Sicherheit Ihrer Daten ist es wichtig, diesen Vorgang über eine längere Zeitspanne (z.B. eine Minute) durchzuführen, und nicht schon nach wenigen Bewegungen auf "OK"
bzw. "WEITER" zu klicken.

Der geheime Schlüssel wird zusammen mit der Partition / Volume abgespeichert. Dieser geheime Schlüssel wird mit einem Passwort gesichert. Die Sicherheit Ihrer Daten hängt wesentlich von der Komplexität (Sonderzeichen, Zahlen, Groß- und Kleinschreibung) und Länge (z. B. 20 Zeichen) der Zeichenfolge des Passwortes ab. Das Passwort sollte nicht schriftlich verwahrt werden, und wenn doch, dann getrennt vom Datenträger.

Sollten Sie Ihre Daten auf einem weiteren Datenträger sichern, sollte auch auf diesem eine gesicherte Partition eingerichtet werden.

Volume-Format

Das Dateisystem auf dem zu verschlüsselnden Volume sollte für Windows-Systeme unbedingt NTFS sein. NTFS kann eine Dateisystemgröße von mehr als 8 TB erreichen, sowie Dateigrößen über 4 GB verwalten.
Die Dateisysteme HFS+ und HFSX für Macintosh-Betriebssysteme sind weitgehend identisch. HFSX ist ein HFS+ mit Groß-/Kleinschreibung. Da nicht alle Programme fehlerfrei mit HFSX umgehen können, wird die Verwendung von HFS+ empfohlen.

Festplatten-Partitionen und externe Datenträger verschlüsseln

Außerdem lassen sich mit TrueCrypt Festplatten-Partitionen und externe Datenträger verschlüsseln. Das ist vor allem für Speichermedien wie USB-Sticks empfehlenswert, die leicht verloren gehen. Eine Schritt-für-Schritt-Anleitung für die Verschlüsselung eines USB-Sticks mit TrueCrypt bietet die Website Verbraucher sicher online an.

Alle Daten auf der Festplatte zu verschlüsseln – inklusive Betriebssystem

Insbesondere bei Notebooks und anderen tragbaren Computern kann es sinnvoll sein, alle Daten auf der Festplatte zu verschlüsseln – inklusive Betriebssystem. Auch das ermöglicht TrueCrypt. Um nach der Verschlüsselung auf das System zugreifen zu können, müssen Sie beim Start des Computers ein Passwort eingeben. Die Einrichtung der Systemverschlüsselung unter Windows beschreibt die Seite blog.eKiwi.de.

Bitte beachten Sie folgende Hinweise:

Truecrypt ist ein Open Source Produkt, welches stetig weiterentwickelt wird. Es handelt sich nicht um ein vom BSI geprüftes oder zertifiziertes Produkt.

Neben Truecrypt sind Produkte zur Verschlüsselung einer Festplattenpartition erhältlich, die eine Smartcard einsetzen. Der Benutzer muss dann keine Schlüssel selbst erzeugen und benötigt kein komplexes und langes Passwort zum Zugriff auf seine Festplattenpartition.

GNU Privacy Guard for Windows (Gpg4Win)

Gpg4Win ist ein aus mehreren Programmen bestehendes Paket zum Verschlüsseln unter Microsoft-Windows-Betriebssystemen. Es wurde vom Bundesamt für Sicherheit in der Informationstechnik beauftragt. Das Paket enthält die Komponente GpgEX, die sich bei der Installation auswählen lässt.

Die Optionen von GpgEX werden beim Rechtsklick auf eine Datei sichtbar.Bild vergrößernDie Optionen von GpgEX werden beim Rechtsklick auf eine Datei sichtbar

Einmal installiert, erweitert sie das Kontextmenü im Windows Explorer. Bei Rechtsklick auf eine Datei oder einen Ordner steht dann die Option "Signieren und verschlüsseln" zur Verfügung. Wie im zugehörigen Kompendium im Kapitel 18 ausführlich geschildert, können Daten so für verschiedene Nutzer oder Empfänger verschlüsselt werden.

Allerdings kann die Software dabei nur auf bereits bestehende Schlüssel und Zertifikate zurückgreifen. Daher ist es notwendig, dass Anwender sich zunächst mit der Funktionsweise von Gpg4win vertraut machen und Schlüssel und Zertifikate erstellen oder importieren. Auch hierzu hält das Kompendium ausführliche Anleitungen bereit.
Gpg4Win bietet auch Funktionen zur Verschlüsselung von E-Mails.


Diese Seite:

© Bundesamt für Sicherheit in der Informationstechnik. All rights reserved