Verschlüsselung mit Veracrypt

Anwendungsfall für VeracryptVeraCrypt

Brand, Diebstahl, Hardwaredefekte, unangekündigte Hausdurchsuchungen oder der Transport sensibler Informationen – es gibt gute Gründe, wichtige Daten auf einen Datenträger (bspw. USB-Stick) zu kopieren und diesen an einem geeigneten Ort zu verwahren. Das Kopieren der Daten ist allerdings nur die halbe Miete – sollen die auf dem Datenträger abgelegten Daten zusätzlich vor neugierigen Blicken geschützt werden, empfiehlt sich eine Verschlüsselung.

Hier geht es um die Verschlüsselung eines USB-Sticks mit VeraCrypt. Die Anleitung adressiert insbesondere Anfänger, die mit Windows oder macOS arbeiten.

VeraCrypt

VeraCrypt ist eine quelloffene Software zur Verschlüsselung von Daten. Sie entstand bereits im Jahr 2012 als Abspaltung von TrueCrypt – richtig bekannt wurde der Fork allerdings erst als die Entwicklung an TrueCrypt im Mai 2014 unerwartet eingestellt wurde. Im Jahr 2016 wurde VeraCrypt von einem unabhängigen Dienstleister auditiert und schwerwiegende Fehler aufgedeckt, die dann mit der Version 1.19 von VeraCrypt korrigiert wurden.

VeraCrypt ist für alle gängigen Betriebssysteme (Windows, macOS und Linux) verfügbar und ermöglicht damit eine systemübergreifende Nutzung. Im vorliegenden Beitrag bzw. für die Erstellung der Anleitung benutze ich VeraCrypt in der Version 1.22 auf einem Windows-Rechner (virtuelle Maschine).

Grundsätzlich unterstützt VeraCrypt drei verschiedene Betriebsmodi:

  • Container: Auf der internen Festplatte oder einem externem Datenträger wird zunächst ein Container (Tresordatei) fester Größe erstellt (bspw. 512 MB) und mit einem Passwort vor dem unautorisierten Zugriff geschützt. Backups oder sensible Daten werden anschließend in den Container verschoben bzw. kopiert.
  • Partition: Hierbei wird ein ganzes Laufwerk bzw. eine komplette Partition auf einem Datenträger (bspw. USB-Stick) verschlüsselt. Auch bei dieser Variante muss der Nutzer ein sicheres Passwort vergeben, um die Daten vor neugierigen Blicken zu schützen.
  • Gesamtes System: Bei dieser Option wird die gesamte System-Partition mit VeraCrypt verschlüsselt. Bei jedem Start vom Betriebssystem wird anschließend das Passwort abgefragt und erst nach Übereinstimmung werden die Daten wieder entschlüsselt / lesbar gemacht.

Nachfolgend beschreibe ich die Verschlüsselung eines USB-Sticks – wir nehmen also Option 2, die Verschlüsselung einer Partition. Bevor wir mit der Anleitung beginnen, solltet ihr euch zunächst VeraCrypt für euer System herunterladen und installieren.

Vorbereitung USB-Stick

Je nach Verwendungszweck bzw. benötigte Speicherkapazität solltet ihr einen ausreichend großen USB-Stick wählen. Im Grunde eignet sich jeder handelsübliche USB-Stick, um eine Verschlüsslung mit VeraCrypt vorzunehmen.

Im Laufe des Vorgangs werden alle Daten gelöscht, die sich auf dem USB-Stick befinden. Solltet ihr also Daten benötigen, die ihr auf dem USB-Stick zwischengelagert habt, dann wäre jetzt ein guter Zeitpunkt, die Daten zu sichern.

Hinweis

Bevor ihr den USB-Stick mit VeraCrypt verschlüsselt solltet ihr alle weiteren USB-Sticks oder Wechseldatenträger (bspw. externe Festplatte) entfernen, damit es zu keiner Verwechslung kommt.

USB-Stick mit VeraCrypt verschlüsseln

Steckt den USB-Stick in einen freien USB-Port und startet VeraCrypt (bspw. über das dazugehörige Icon auf dem Desktop). Anschließend klickt ihr auf [Volumes] und wählt die Option [Neues Volume erstellen …]:

Neues Volume

Da wir einen kompletten USB-Stick mit VeraCrypt verschlüsseln möchten, wählen wir den zweiten Punkt [Verschlüsselt eine Partition/ein Laufwerk]:

Partition verschlüsseln

Wir lassen die Option »Standard VeraCrypt-Volume« ausgewählt und klicken auf [Weiter]:

Standard Volume

Klickt auf die Schaltfläche [Datenträger …], um den USB-Stick bzw. die Partition auszuwählen, die mit VeraCrypt verschlüsselt werden soll:

Volume Speicherort

Neben der eingebauten System-Festplatte zeigt euch VeraCrypt den USB-Stick als »Wechseldatenträger 1« an. Selektiert anschließend die auf dem USB-Stick vorhandene Partition (im Beispiel [*]\Partition 1 mit dem Laufwerksbuchstaben E):

USB-Stick wählen

Sobald ihr eure Auswahl mit [OK] bestätigt, erscheint nochmal das Fenster mit der Pfadangabe zum USB-Stick bzw. der Partition. Ist alles korrekt, dann dürft ihr auf [Weiter] klicken:

Volume beschreiben

Alle auf dem USB-Stick befindlichen Daten werden gelöscht, wenn wir die Option [Verschlüsseltes Volume erstellen und formatieren] auswählen. Mit der zweiten Option hätten wir sogar die Möglichkeit alle bereits auf dem USB-Stick befindlichen Daten zu verschlüsseln. Da dies allerdings erheblich langsamer ist, wählen wir die erste Option und kopieren im Nachgang alle relevanten Daten auf den USB-Stick:

Volume erstellen

Die Standard-Verschlüsselungseinstellungen könnt ihr beibehalten – AES ist der aktuelle Standard für symmetrische Verschlüsselungen. Neben AES unterstützt VeraCrypt noch eine ganze Reihe weiterer Blockchiffren wie Twofish oder Serpent, die sich sogar miteinander kombinieren lassen.

In der Standardeinstellung wird eine AES-256 Bit Schlüssellänge in Kombination mit der Betriebsart XTS verwendet. Als Hashing-Algorithmus kommt SHA-512 zum Einsatz:

Verschlüsselungsdetails

Zur Überprüfung wird euch anschließend die Partition inklusive Größe angezeigt, die während des Vorgangs verschlüsselt werden soll:

Volume prüfen

Das A und O während des ganzen Vorgangs ist die Wahl eines sicheren Passworts. Eines solltet ihr euch nämlich immer vor Augen führen: Die Verschlüsselung bzw. der Schutz, den sie bietet, ist nur so gut wie das verwendete Passwort. Passwörter wie

  • 123456
  • schatz
  • qwertz
  • […]

solltet ihr auf keinen Fall nutzen. Dem Thema »sichere Passwörter« habe ich bereits einen ausführlichen Beitrag gewidmet, der die Erstellung eines Passworts nach dem Diceware-Verfahren beschreibt. Ein mit dem Diceware-Verfahren gewürfeltes Passwort bzw. Passphrase lässt sich in der Regel einfach merken:

43142 old
15613 saxon
22543 waste
66445 while
51615 beta
32644 cool

Daraus wird aneinandergeschrieben:

oldsaxonwastewhilebetacool

Macht euch bitte in jedem Fall mit dem Diceware-Verfahren vertraut und würfelt euch damit ein sicheres Passwort:
Passwort setzen

Bewegt die Maus ca. 30 Sekunden über den Bildschirm, damit VeraCrypt genug Entropie für den Verschlüsselungsvorgang sammeln kann. Anschließend könnt ihr den Vorgang mit einem Klick auf [Formatieren] in Gang setzen. VeraCrypt wird die Partition des USB-Sticks zunächst mit Zufallswerten überschreiben und anschließend verschlüsseln:

Volume Erstellung

Je nach Größe eures USB-Sticks und der Leistungsfähigkeit eures Rechners kann das Formatieren und Verschlüsseln einige Zeit in Anspruch nehmen. Sobald der Vorgang abgeschlossen ist, meldet sich VeraCrypt mit folgender Meldung zurück:

Erledigt

Glückwunsch! Euer USB-Stick ist nun vollständig verschlüsselt und kann zum sicheren Datentransport oder als Backupmedium für sensible Daten dienen.

2.3 USB-Stick einbinden | verwenden

Wenn ihr euren USB-Stick nun mit Daten befüllen möchtet, startet ihr zunächst wieder VeraCrypt (bspw. über das dazugehörige Icon auf dem Desktop). Anschließend wählt ihr die Option [Datenträger oder Partition auswählen …]:

Partition auswählen

Selektiert anschließend den USB-Stick, den ihr gerade eben mit VeraCrypt verschlüsselt habt und bestätigt mit [OK]:

USB-Stick wählen

Anschließend müsst ihr einen freien Laufwerksbuchstaben wählen (hier H:), um den USB-Stick in das System einzubinden bzw. »einzuhängen«. Unter Volume wird der Pfad zur Partition des USB-Sticks angezeigt.

Mit einem Klick auf [Einbinden] wird die Partition schließlich unter dem von euch gewählten Laufwerksbuchstaben (hier H:) eingebunden:

Mountpoint wählen

Nach der korrekten Eingabe eures Passworts dauert es aufgrund der Verschlüsselung, bis der USB-Stick in VeraCrypt erscheint – im Beispiel ist die (USB-Stick-)Partition dem Laufwerksbuchstaben H: zugeordnet.

Über den Windows-Explorer (Laufwerksbuchstabe H:) könnt ihr anschließend auf den USB-Stick zugreifen und ihn mit Daten befüllen. Alle Daten, die ihr auf den Wechseldatenträger bzw. USB-Stick schreibt, werden automatisch verschlüsselt:

Windows-Explorer

2.4 USB-Stick aushängen

Nachdem ihr euren USB-Stick mit Daten befüllt habt, müsst ihr die Partition wieder über VeraCrypt »aushängen« – also dem System bzw. VeraCrypt mitteilen, dass der USB-Stick nun nicht weiter benötigt wird. Zieht ihr den USB-Stick einfach so vom Rechner ab, kann es zu Datenverlusten kommen. Um das zu vermeiden, markiert ihr euren USB-Stick in VeraCrypt und klickt auf [Trennen]:

Eingebundener USB-Stick

Quelle : Kuketz Blog

Zusätzlicher Tipp:

Als besonderes Gimmick bietet Veracrypt die Möglichkeit in einem verschlüsselten Container einen weiteren unsichtbaren Container anzulegen.

Das heisst selbst wenn jemand über das Passwort verfügt und den Hauptcontainer öffnen kann so sieht er den unsichtbaren Container trotzdem nicht.

Dieser unsichtbare Container kann natürlich mit einem eigenen zusätzlichen Passwort gesichert werden.

Die Anleitubg zeigt die Vorgehensweise beim Veracrypt Vorgänger TrueCrypt

Bei Veracrypt sieht es aber genauso aus

Ein verstecktes Volumen erstellen – Schritt für Schritt

TrueCrypt bietet zwei verschiedene Vorgehensweisen zur Herstellung versteckter Laufwerke. Bei der einen Methode existiert bereits ein Volumen und nun wird nachträglich ein zweites, verstecktes eingefügt. Die zweite Methode erledigt beide Schritte in einem Abwasch. Wenn man das noch nie gemacht hat, sollte man auf alle Fälle diese Variante wählen.

truecrypt verstecktes volumen 01
Zuerst mit TrueCrypt eine verschlüsselte Containerdatei erstellen.

Wir klicken also im Hauptbildschirm auf „Volumen erstellen“ und wählen im nächsten Fenster „Eine verschlüsselte Containerdatei erstellen“. Denn das ist es, was wir ja nun erst einmal wollen.

truecrypt verstecktes volumen 02
Ein verstecktes TrueCrypt-Volumen erstellen.

Anschließend wählen wir die Option „Verstecktes TrueCrypt-Volumen“. Obwohl wir nacheinander zwei Volumen erstellen, erst das Äußere und danach das Versteckte, müssen wir das hier schon angeben. Denn nur dann steht uns in Schritt 3 der Komplett-Modus zur Verfügung.

truecrypt verstecktes volumen 03
Wir erledigen beide Schritte in einem Rutsch: Also „Kompletter Modus“.

Dieser Modus beinhaltet alle nötigen Schritte, um gleich beide Container anzulegen. Man kann an dieser Stelle theoretisch auch den „Direkten Modus“ wählen. In diesem Fall muss der äußere Container bereits vorhanden sein.

truecrypt verstecktes volumen 04
Hier geben wir dem TrueCrypt Volumen einen Namen.

Jetzt müssen wir der Containerdatei einen Namen geben. Nochmal: Wir erstellen nur einen Container. Dieser enthält in seinem Inneren einen zweiten Container. Der braucht keinen Namen. Er ist unsichtbar und nur wenn man von seiner Existenz weiß und das Passwort kennt, kommt man an die Daten darin. Nachdem die Datei einen Namen hat, wählen wir den Verschlüsselungsalgorithmus aus. Wie bereits weiter oben erwähnt, hängt die Arbeitsgeschwindigkeit des späteren virtuellen TrueCrypt-Laufwerks davon ab, welche der Möglichkeiten wir wählen. Am schnellsten ist AES, am langsamsten eine Kombination aus mehreren Verschlüsselungen. Das sollte man bedenken, wenn man große Dateimengen verarbeiten will.

truecrypt verstecktes volumen 05
Das äußere TrueCrypt Volumen muss groß genug sein, um das versteckte Volumen und ein paar Daten zur Tarnung zu fassen.

Wir benötigen zwei Kennwörter. Eines für das äußere Volumen und eines – auf jeden Fall ein unterschiedliches(!) – für das innere Volumen. Auch sollte bei den Größenzuweisungen daran gedacht werden, dass das äußere Volumen eigentlich nicht mehr für die weitere Benutzung gebraucht werden soll. Schon aus Sicherheitsgründen. Denn darin befindet sich ja das unsichtbare Volumen und das Äußere wird immer mit seinem kompletten Platz angezeigt. Leicht überschreibt man da den Speicherplatz des getarnten Laufwerks. Dagegen gibt es zwar noch Sicherheitsmechanismen, aber auch an die muss man immer denken.

truecrypt verstecktes volumen 06
Das Passwort des äußeren TrueCrypt Volumens muss anders als das des Inneren sein!

Nach der Passwortvergabe und der üblichen Prozedur des Mausbewegens, zur Erzeugung eines sicheren Schlüssels, ist das äußere Volumen fertig. TrueCrypt wird es nun unter dem Laufwerksbuchstaben Z: öffnen, damit wir ein paar Daten zur Tarnung hineinlegen können.

truecrypt verstecktes volumen 08
Das äußere TrueCrypt Volumen ist fertig.

Diese Daten dienen nur dazu, den Anschein zu erwecken, als würde man wirklich dieses Volumen nutzen, um etwas zu verstecken. Es empfiehlt sich also, dort Dinge abzulegen, die  harmlos aber plausibel sind. Etwa einige private Briefe im Word-Format – die aber im Grunde ruhig jeder lesen dürfte. So stellt man irgendwelche herumschnüffelnden Sucher zufrieden und sie werden nicht misstrauisch.

truecrypt verstecktes volumen 09
Nun wird das versteckte TrueCrypt Volumen erzeugt.

Das eigentlich relevante, versteckte TrueCrypt Volumen wird im nächsten Schritt erzeugt. Auch hier müssen wir nacheinander die Verschlüsselungsmethode aussuchen und die Größe des Volumens angeben. Wie schon erwähnt, dient das äußere Volumen nur zur Tarnung und muss nur ein paar Daten enthalten können. Der restliche Platz kann also für das innere Volumen genutzt werden. Nun noch ein gutes Passwort auswählen und TrueCrypt formatiert das versteckte Volumen. Anschließend können wir es nutzen, die jedes andere versteckte TrueCrypt Laufwerk auch.

Ein verstecktes TrueCrypt Volumen öffnen und einbinden

Die übliche Vorgehensweise beim Öffnen eines TrueCrypt Volumens ist, die Datei zu laden, einen Laufwerksbuchstaben auszusuchen, auf „Einbinden“ zu klicken und das Passwort einzugeben. Schon ist es nutzbar.

Und nicht anders läuft das bei einem versteckten Volumen! Aus diesem Grund müssen für das äußere und innere Volumen unterschiedliche Passwörter gewählt werden. Denn statt des „äußeren Passwortes“ geben wir beim Öffnen einfach das Passwort des versteckten Volumens ein. Dann öffnet TrueCrypt dieses und ignoriert den äußeren Container.

truecrypt verstecktes volumen schuetzen
Eine wichtige Funktion, wenn man beide TrueCrypt Volumen nutzen möchte.

Es ist ja aber möglich, dass man tatsächlich beide Volumen nutzen möchte, weil man Daten mit unterschiedlich hohem „Sicherheitsbedarf“ hat. Das ist – wie man zugeben muss – vielleicht etwas paranoid, aber warum nicht? In diesem Fall sollte man beim Öffnen des äußeren TrueCrypt Volumens auf „Optionen“ klicken und darauf hin öffnet sich der oben zu sehende Dialog. Dort kann man nun ankreuzen, dass das versteckte Volumen geschützt werden soll – und gleich das richtige Passwort dazu eingeben. Keine Angst, diese Einstellung wird nicht gespeichert! Aber in diesem Fall kann man dem äußeren Volumen weitere Daten hinzufügen, ohne dass versehentlich der Speicherbereich überschrieben wird, der zum inneren Volumen gehört. Falls man das vergisst, kann man das versteckte Volumen und Daten darin zerstören.

Bilderstrecke starten
13 Bilder
Einen USB-Stick verschlüsseln – sicher und kostenlos.

Ein TrueCrypt Laufwerk automatisch trennen

Viele werden die TrueCrypt Verschlüsselung für USB-Sticks oder andere tragbare Datenträger nutzen. Gerade in so einem Fall ist die Sicherheit sehr wichtig, da ein zufälliger Finder sonst an hochgeheime Daten kommen kann, ohne sich bemühen zu müssen. Doch manchmal sind die Gefahren viel banaler: Man sitzt im Büro, öffnet sein TrueCrypt Laufwerk und muss plötzlich zur Toilette oder wird zu einem Kollegen gerufen. In der Zeit steckt der vergessene Stick im Rechner und jeder Vorbeigehende kann sich die Daten darauf ansehen – oder sie sogar kopieren. Wenn man also schon selbst nicht daran denkt, den Stick in so einem Fall abzuziehen, sollte man eine vorhandene TrueCrypt-Zeitautomatik nutzen!

truecrpyt automatisch trennen
Bei TrueCrypt gibt es ein automatisches Trennen der Laufwerke bei Inaktivität.

Die findet sich unter den Voreinstellungen, welche wir unter „Einstellungen – Voreinstellungen“ finden. Im mittleren Bereich der Einstellungen kann der Anwender auswählen, unter welchen Umständen und nach wie vielen Minuten der Inaktivität eingebundene Laufwerke automatisch getrennt werden sollen. Im Grunde sollte man dort jede Option ankreuzen und bei der Zeit einen guten Mittelwert zwischen Bequemlichkeit und Sicherheit wählen. Es ist z.B. unwahrscheinlich, dass ein Kollege sich sofort nach dem Aufstehen an den Rechner stürzt. Aber man sollte die Zeit auch nicht so wählen, dass ein Laufwerk getrennt wird, sobald man mal kurz an etwas anderem arbeitet.

Wichtig: Wenn das Laufwerk getrennt wird, bedeutet das nicht, dass momentan geöffnete Dateien automatisch geschlossen werden. Die sind im Bearbeitungsprogramm weiter zu sehen! Und eventuelle Speichervorgänge gehen dann ins Leere. Außerdem kann eine Speicherautomatik – etwa bei Word – die Sicherheitssperre umgehen. Wenn man beispielsweise die Trennautomatik auf 5 Minuten setzt, aber Word automatisch alle 3 Minuten speichert, gibt es keine 5-Minuten-Phase der Inaktivität auf dem Stick! Alle 3 Minuten passiert dort etwas und deshalb wird das Laufwerk nicht getrennt.