Geheime Onlineüberwachung, Hackerangriffe, Hausdurchsuchungen, Bundestrojaner... die Liste potentieller Interessenten in Bezug auf Ihre persönlichen Daten ist lang und ließe sich beliebig fortsetzen. Im allgemeinen kann jeder auf alle Ihre Daten zugreifen, sobald er, wie auch immer, Zugriff auf Ihren Rechner hat. Dies muß jedoch nicht so sein!
Es gibt einfache Möglichkeiten private Daten auf Ihrer Festplatte so zu verschlüsseln, daß sich jeder der oben genannten die Zähne daran ausbeißen wird. Eine gute und kostenlose Variante hierzu stellt das quelloffene Programm TrueCrypt dar. Im folgenden wird die Funktionsweise von TrueCrypt kurz erläutert und eine Anleitung zu Installation und Benutzung gegeben.
Lassen Sie sich von der Länge der Anleitung aufgrund ihrer Ausführlichkeit nicht abschrecken, die Verschlüsselung ist schnell gemacht und jeden Aufwand wert! Halten Sie sich zudem einen leeren CD-Rohling griffbereit, diesen werden Sie für die Verschlüsselung benötigen.
1. Funktionsweise von TrueCrypt
TrueCrypt verschlüsselt selbstständig in Echtzeit ("on-the-fly") entweder das komplette System, einzelne Festplatten oder deren Partitionen (auch transportable Datenträger wie CDs und USB-Speicher) oder erstellt sogenannte verschlüsselte Datei-Container innerhalb Ihrer unverschlüsselten Festplatte, die über TrueCrypt als virtuelle Laufwerke eingebunden ("gemountet") werden können.
Im folgenden wird Schritt für Schritt die Verschlüsselung des kompletten Rechnersystems mit der Truecrypt-Version 6.1a erklärt. Diese Anleitung ersetzt eine etwas ältere Anleitung zur Verschlüsselung von Daten-Containern und Partionen bzw. einzelnen Festplatten, welche für die Version 4 geschrieben wurde. Vom Grundprinzip her hat sich jedoch nichts geändert, so daß die alte Anleitung für diese speziellen Fälle weiterhin Gültigkeit besitzt. Für maximale Datensicherheit sollte jedoch der Komplettverschlüsselung nach dieser Anleitung der Vorrang gegeben werden. Wer sich dennoch für die Teilverschlüsselung interessiert, findet die alte Anleitung hier:
Truecryptanleitung zur Verschlüssselung von Daten-Containern und Partitionen
2. Installation
Laden Sie sich hier die neueste Version von TrueCrypt herunter und installieren anschließend über die Datei "TrueCrypt Setup.exe" das Programm in einen Ordner Ihrer Wahl.
Anschließend lässt sich hier die deutsche Sprachdatei für TrueCrypt herunterladen (entpacken der zip-Datei, kopieren der Datei "Language.de.xml" in den Hauptordner der TrueCrypt-Installation (die beiliegenden Textdateien können gelöscht werden), anschließend läßt sich im Truecrypt-Programm Über "Settings -> Language" die Sprache von Englisch auf Deutsch umstellen). Da jedoch die Übersetzung nicht immer die beste und oft unvollständig ist, arbeitet es sich mit der englischen Version besser. Die deutsche Version sollte nur bei starken Verständlichkeitsproblemen verwendet werden, besonders da das Programm selbst nach erfolgreicher Verschlüsselung des Systems so gut wie gar nicht mehr benötigt wird und in dieser Anleitung alles Schritt für Schritt und nachvollziehbar erklärt wird.
3. Es geht los!
Starten Sie TrueCrypt und klicken in der Menü-Leiste auf "System -> Encrypt System Partition Drive..."
4. Auswahl des Verschlüsselungstypus'
Wählen Sie "Normal" bei der Auswahl des Verschlüsselungstypus'. Die Auswahl "Hidden" ermöglicht eine versteckte Verschlüsselung des kompletten Systems. Diese Auswahl verbraucht jedoch die Hälfte Ihres verfügbaren Festplattenspeicherplatzes und wird im folgenden nicht weiter erläutert.
5. Auswahl der zu verschlüsselnden Partitionen
Als nächstes legen Sie fest, ob nur die Windows-Partition verschlüsselt werden soll ("Encrypt the Windows system partition"), oder ob die Verschlüsselung alle Partitionen der System-Festplatte einschließen soll ("Encrypt the whole drive") (wenn Sie z.B. Ihre Festplatte in zwei Partitionen wie C:\ für das System und D:\ für Daten unterteilt haben und beides verschlüsseln möchten).
Sollten Sie keine Unterpartitionen erstellt haben (z.B. nur Laufwerk C:\ besitzen), so ist diese Auswahl egal.
Diese Auswahl schließt keine Partitionen auf anderen in ihrem Gehäuse eingebauten oder externen Festplatten ein, diese müssen zusätzlich verschlüsselt werden (siehe Truecryptanleitung zur Verschlüssselung von Daten-Containern und Partitionen).
Sollten zu verschlüsselnde Partitionen bereits mit einer älteren TrueCrypt-Version oder einem anderem Programm verschlüsselt sein oder verschlüsselte Datei-Container enthalten, so empfiehlt es sich diese vorher zu entschlüsseln, damit es nicht zu Komplikationen kommen kann.
6. Mehrere Betriebsysteme?
Wählen Sie "Single-boot" wenn auf Ihrem Rechner nur ein Betriebsystem (wie z.B. nur Windows (XP oder Vista), Linux oder Mac OS X) installiert ist. Entsprechend wählen Sie "Multi-boot" sobald mehrere dieser Betriebsysteme parallel auf Ihrem Rechner installiert sind.
7. Wahl des Verschlüsselungsalgorithmus'
Als nächstes wählen Sie über ein Ausklapp-Menü den zur Verschlüsselung verwendeten mathematischen Algorithmus aus.
Ein Klick auf die Taste "Benchmark" ermöglicht einen Geschwindigkeitsvergleich der zur Verfügung stehenden Verschlüsselungsarten. Wählen Sie über das Ausklapp-Menü die zu testende Dateigröße (Tests mit größeren Dateien dauern länger, liefern aber genauere Ergebnisse) aus und starten den Test mit einem Klick auf "Benchmark". Höchstwahrscheinlich wird der schnellste Algorithmus "AES" sein, dieser liefert somit die besten Ergebnisse. Kombinationen mehrerer Verschlüsselungen erhöhen die Sicherheit, bremsen jedoch auch das System aus. Dies ist jedoch für die meisten Anwendungszwecke nicht nötig, da die schnelle AES-Verschlüsselung bislang als nicht zu knacken gilt!
Schließen Sie den Geschwindigkeitstest mit Klick auf "Close" und wählen die Verschlüsselung mit dem besten Ergebnis. Die anderen Einstellungen können unangetastet bleiben.
8. Das Passwort!
Der nächste Schritt ist nun mit Abstand der wichtigste! Die Festlegung des zu verwendenden Passwortes. Hiermit steht und fällt die Sicherheit Ihrer Verschlüsselung. Nehmen Sie keine Zusammensetzung aus Wörtern die im Duden stehen. Am besten ist eine wahllose Zusammensetzung von großen und kleinen Buchstaben, Zahlen und Sonderzeichen und dies nach Möglichkeit noch über mindestens 20 Zeichen. So können sie 100% sicher sein, daß niemand Ihr Passwort knacken kann. Schreiben Sie sich das Passwort auf, nach ein paar Eingaben werden Sie es sich sicher merken können und das Schriftstück vernichten. Sollten Sie das Paßwort jedoch jemals vergessen, so sind die Daten für immer verloren!
Wählen Sie es also mit Bedacht!
Wer sich genauer mit Passwortkombinationen und deren Sicherheit beschäftigen möchte, dem sei folgende Seite von 1pw.de empfohlen:
www.1pw.de/brute-force.html.
Nach zweimaliger Eingabe des gleichen Passwortes geht es weiter mit "Next" (was im Beispielbild nicht der Fall ist).
9. Maus bewegen
Bewegen Sie nun den Mauszeiger wahllos innerhalb des TrueCrypt-Fensters um den Verschlüsselungs-Schüssel zu erstellen. Umso länger Sie die Maus bewegen, umso sicherer wird dieser. Ein bis zwei Minuten dürfen es ruhig sein.
Im nächsten Schritt wird lediglich auf den erfolgreich erstellen Schlüssel hingewiesen... weiter geht's.
10. Die Rettungs-CD
Als nächstes müssen Sie eine Rettungs-CD für den Fall erstellen, daß sich das Passwort beim Hochfahren des Rechners wegen eines Programmdefekts nicht mehr eingeben lässt (durch Starten von der CD und Eingabe des Passworts sind alle Daten auf Ihrem Rechner auf einen Schlag entschlüsselt).
Sollten Sie für diesen Notfall keine solche Rettungs-CD zur Hand haben, so sind Ihre Daten für immer verloren. Dieser Schritt ist daher obligatorisch und kann nicht übersprungen werden.
TrueCrypt speichert eine sogenannte Image-Datei auf Ihrem Rechner, welche sie anschließend auf CD brennen müssen. Mit einem Klick auf "Browse" wählen Sie den Speicherort für die Datei aus. Weiter geht es wie gewohnt mit "Next".
Das Programm meldet nun, daß die Image-Datei im zuvor festgelegten Ordner gespeichert wurde und gebrannt werden muss. Legen Sie einen leeren CD-Rohling in Ihren Brenner ein und brennen die Image-Datei mit einem Brennprogramm Ihrer Wahl auf CD. Natürlich darf die Datei nicht als Datei auf eine "Daten-CD" gebrannt werden, sondern das "Image" der CD muss "wiederhergestellt" werden. Für genauere diesbezügliche Angaben schauen Sie in die Anleitung Ihres Brennprogramms oder verwenden den nachfolgend beschrieben "InfraRekorder". Erst wenn die Rettungs-CD erfolgreich erstellt wurde, legen Sie die CD ein und klicken Sie auf "Next" um die CD überprüfen zu lassen.
Sollten Sie nicht über die Möglichkeit verfügen die CD zu brennen, so läßt sich die iso-Datei auch mit einem geeigneten Programm (z.B. DaemonTools) in einem virtuellen Laufwerk als fertige CD simulieren und so TrueCrypt überlisten. Dies sollten Sie jedoch nur machen, wenn Sie wissen was Sie tun, keine andere Möglichkeit haben und eine Kopie der iso-Datei an einem sicheren Platz außerhalb des verschlüsselten Systems aufbewahren.
Wenn Sie über einen Brenner, aber kein geeignetes Brennprogramm verfügen (das verbreitete Nero tut hier auch wunderbar seine Dienste), so ist im nachfolgenden die Erstellung der Rettungs-CD mit dem kostenlosen Brennprogramm "InfraRekorder" beschrieben. Laden Sie das kleine Programm hier herunter und installieren es auf Ihrem Rechner. Starten Sie den "InfraRekorder" und klicken auf "Write Image".
Wählen Sie nun die zuvor gespeicherte Image-Datei zum Brennen aus.
Legen Sie einen leeren CD-Rohling in Ihren Brenner, wählen das entspechende Laufwerk aus und klicken auf "OK".
Der Brennvorgang startet und sobald er beendet ist, klicken Sie auf "OK" um den Vorgang abzuschließen.
Legen Sie die fertige Rettungs-CD in Ihr Laufwerk ein (die CD erscheint im Windows-Explorer als leer) und kehren zu TrueCrypt zurück. Mit "Next" geht es dort weiter.
Die erstellte Rettungs-CD wird nun überprüft und wenn alles in Ordnung ist geht es weiter im Programm.
Bewahren Sie die Rettungs-CD an einem Ort auf, wo diese vor Beschädigungen geschützt ist und Sie sie im Notfall auch wiederfinden!
11. Der Wipe-Mode
Hier können sie festlegen, ob bisherige gelöschte Daten zur zusätzlichen Sicherheit noch mit zufälligen Werten überschrieben werden sollen (bis zu 35mal bei der Gutmann-Methode), was jedoch eine Verlangsamung des Verschlüsselungsvorgangs zur Folge hat. TrueCrypt verschlüsselt zwar die komplette Festplatte (auch leere Bereiche) es besteht jedoch evtl. mit sehr aufwändigen Methoden immer noch die Möglichkeit die mit den verschlüsselten Daten überschriebenen und zuvor gelöschten Dateien wieder sichtbar zu machen. Diese Auswahl betrifft jedoch in jedem Fall nur Dateien, die vor der Verschlüsselung bereits gelöscht wurden, nach der Verschlüsselung werden keine Dateien mehr unverschlüsselt auf die Festplatte geschrieben. Wenn Sie also vor dem Verschlüsselungsvorgang keine extrem-sensiblen Dateien auf Ihrem Rechner hatten und diese mitlerweile gelöscht haben, können sie ruhigen Gewissens "None (fastest)" auswählen um den Verschlüsselungsvorgang zu beschleunigen.
12. Der Boot-Test
Nun haben Sie es fast geschafft. Als nächstes folgt ein Boot-Test mit Passworteingabe, damit das Programm überprüfen kann, ob alles einwandfrei funktioniert. Schließen Sie alle Programme außer TrueCrypt und speichern gerade verwendete Arbeitsdateien ab und klicken auf "Test".
Der Rechner startet nun neu und Sie sehen den neuen Passworteingabebildschirm von TrueCrypt. Nach Eingabe des richtigen Passwortes fährt der Rechner wie gewohnt hoch.
13. Geschafft!
Wenn der Vortest erfolgreich abgeschlossen wurde, meldet sich TrueCrypt nach Starten des Betriebsystems automatisch mit der entsprechenden Erfolgsmeldung. Mit Klick auf "Encrypt" kann nun die Verschlüsselung starten.
Das Programm fängt nun an das System zu verschlüsseln. Lehnen Sie sich zurück. Je nach Rechnerleistung und Festplattengröße kann dieser Vorgang gute ein bis drei Stunden dauern. Den Fortschritt und die ungefähre Restzeit können Sie dem Fenster entnehmen. Sie können zudem während des Verschlüsselungsvorgangs ganz normal weiter am Rechner arbeiten, da die Verschlüsselung automatisch pausiert, sobald andere Programme anlaufen und somit kurz die Rechenleistung benötigen. Ansonsten läuft die Verschlüsselung im Hintergrund weiter.
Nach erfolgreicher Verschlüsselung meldet sich TrueCrypt nochmal einmal kurz zu Wort und lässt sich den Abschluß bestätigen. Ihr Rechner ist nun komplett verschlüsselt und niemand kann ohne das entsprechende Passwort auf Ihre Daten zugreifen. Herzlichen Glückwunsch!
14. Optional: Das Boot-Menü anpassen
Wenn Sie nicht wollen, daß jeder beim Hochfahren des Rechners sofort sehen kann, daß dieser mit TrueCrypt verschlüsselt ist, so läßt sich über "Settings -> System Encryption..." die Passworteingabe beim Systemstart beeinflussen. Ein Haken bei "Do not show any texts..." sorgt dafür, daß beim nächsten Start lediglich ein schwarzer Bildschirm mit blinkendem Cursor erscheint. Weder im Verlauf der Passworteingabe, noch bei fehlerhaften Passwörtern erscheint irgendetwas auf dem Bildschirm. Erst beim richtigen Passwort und drücken der Eingabe-Taste fährt der Recher wie gewohnt hoch.
Zudem können Sie im Feld darunter mit bis zu 24 Zeichen eine eigene Meldung festlegen, die bei der Passworteingabe erscheinen soll. Z.B. die von Truecrypt vorgeschlagene gefälschte Fehlermeldung "Missing Operating System". Ansonsten verhält sich die Passworteingabe auch hier wie oben beschrieben.
15. Verweise zu weiterführenden Informationen
16. Haftungsausschluß
Die BfZ-Hildesheim kann nicht für durch Verwendung des obenstehenden Programms entstehende Schäden oder Datenverluste haftbar gemacht werden. Die Anleitung stellt lediglich eine Hilfe zur Selbsthilfe dar und erhebt keinen Anspruch auf Allgemeingültigkeit. Bei dennoch auftretenden Problemen oder weiterführenden Fragen, lassen sich Fachleute zu diesem Thema im Sicherheits-Forum von ComputerBase finden.