Speicherverschlüsselung

Gelangt das Gerät einer dritten Person - etwa durch Diebstahl oder Verlust - in die Hände, kann diese versuchen, ein anderes Betriebssystem zu starten und auf die gespeicherten Daten zuzugreifen, wofür sie nicht einmal ein Anmeldekennwort für das Konto kennen muss. Zum Schutz der Daten vor unbefugtem Zugriff durch Dritte sollten Datenträger verschlüsselt sein. Dabei muss zwischen

  • Systempartition, welche ein lauffähiges Betriebssystem hält, und
  • Nicht-Systempartition

unterschieden werden.

Systempartition

Die Verschlüsselung der gesamten Systempartition ist für die Nutzer*innen nahezu transparent. Lediglich beim Booten müssen sie sich mit einer zusätzlichen PIN autorisieren. Danach ist der Datenträger entsperrt und es muss darauf geachtet werden, dass das Gerät bis zur nächsten Nutzung herunter gefahren wird, damit die Systempartition wieder verschlüsselt wird.

Eine Auswahl an Lösungen für whole disc encryption mit pre-boot authentication:

  BitLocker
(Drive Encryption)
VeraCrypt dm-crypt FileVault 2
verfügbar für Windows
(ab Pro Edition)
Windows
  • Linux
  • Android
macOS X
Quellcode proprietär einsehbar einsehbar proprietär
  Anleitung Anleitung Hinweise für Android Anleitung

ACHTUNG: Ein Verlust des Entschlüsselungsschlüssels (PIN, Passwort) kann Sie unter Umständen dauerhaft aus dem System aussperren!

Bei der Einrichtung der Verschlüsselung mit BitLocker, VeraCrypt und FileVault 2 wird angeboten, ein Wiederherstellungsschlüssel bzw. -medium zu erzeugen. Diese ermöglichen einen Notfallzugriff auf das System und müssen daher genau so gut geschützt werden, wie der Entschlüsselungsschlüssel.

 

Nicht-Systempartition

Das sind Partitionen, die kein lauffähiges Betriebssystem halten (z.B. USB-Speichersticks). Wir empfehlen dafür die betriebssystemübergreifende Lösung mittels VeraCrypt: Zur bebilderten Anleitung (Weiterleitung zu kuketz-blog.de). Einen Vergleich zwischen Bitlocker-to-go und Veracrypt finden Sie in c't 14/2018: "Taschentresor - USB-Medien sicher verschlüsseln", S. 116 ff.
 

 

 

Versionshistorie

Autoren: Christoph Becker (cb), Stefan Brütsch (sb)

Version Datum Autoren Kommentar
1.0 2017-02-21 cb, sb  
1.1 2019-03-29 cb Fokus auf Festplattenverschlüsselung
1.2 2019-04-23 cb

Bitlocker-Anleitung ergänzt um Konfiguration

  • größten AES-Schlüssellänge,
  • Schutz vor unbekannten DMA-Geräten,
  • Deaktivierung des Standbymodus sowie
  • Aktivierung eines Zeitlimits für Ruhezustand
1.3 2019-08-05 cb Empfehlung zur Verschlüsselung von Nicht-Systempartitionen aufgenommen
1.4 2019-10-01 cb Softwareverschlüsselung ist nun der Standard, auch bei self-encrypting hard drives (KB4516045)