Speicherverschlüsselung
Gelangt das Gerät einer dritten Person - etwa durch Diebstahl oder Verlust - in die Hände, kann diese versuchen, ein anderes Betriebssystem zu starten und auf die gespeicherten Daten zuzugreifen, wofür sie nicht einmal ein Anmeldekennwort für das Konto kennen muss. Zum Schutz der Daten vor unbefugtem Zugriff durch Dritte sollten Datenträger verschlüsselt sein. Dabei muss zwischen
- Systempartition, welche ein lauffähiges Betriebssystem hält, und
- Nicht-Systempartition
unterschieden werden.
Systempartition
Die Verschlüsselung der gesamten Systempartition ist für die Nutzer*innen nahezu transparent. Lediglich beim Booten müssen sie sich mit einer zusätzlichen PIN autorisieren. Danach ist der Datenträger entsperrt und es muss darauf geachtet werden, dass das Gerät bis zur nächsten Nutzung herunter gefahren wird, damit die Systempartition wieder verschlüsselt wird.
Eine Auswahl an Lösungen für whole disc encryption mit pre-boot authentication:
BitLocker (Drive Encryption) | VeraCrypt | dm-crypt | FileVault 2 | |
---|---|---|---|---|
verfügbar für | Windows (ab Pro Edition) | Windows |
| macOS X |
Quellcode | proprietär | einsehbar | einsehbar | proprietär |
Anleitung | Anleitung | Hinweise für Android | Anleitung |
ACHTUNG: Ein Verlust des Entschlüsselungsschlüssels (PIN, Passwort) kann Sie unter Umständen dauerhaft aus dem System aussperren!
Bei der Einrichtung der Verschlüsselung mit BitLocker, VeraCrypt und FileVault 2 wird angeboten, ein Wiederherstellungsschlüssel bzw. -medium zu erzeugen. Diese ermöglichen einen Notfallzugriff auf das System und müssen daher genau so gut geschützt werden, wie der Entschlüsselungsschlüssel.
Nicht-Systempartition
Das sind Partitionen, die kein lauffähiges Betriebssystem halten (z.B. USB-Speichersticks). Wir empfehlen dafür die betriebssystemübergreifende Lösung mittels VeraCrypt: Zur bebilderten Anleitung (Weiterleitung zu kuketz-blog.de). Einen Vergleich zwischen Bitlocker-to-go und Veracrypt finden Sie in c't 14/2018: "Taschentresor - USB-Medien sicher verschlüsseln", S. 116 ff.
Versionshistorie
Autoren: Christoph Becker (cb), Stefan Brütsch (sb)
Version | Datum | Autoren | Kommentar |
---|---|---|---|
1.0 | 2017-02-21 | cb, sb | |
1.1 | 2019-03-29 | cb | Fokus auf Festplattenverschlüsselung |
1.2 | 2019-04-23 | cb | Bitlocker-Anleitung ergänzt um Konfiguration
|
1.3 | 2019-08-05 | cb | Empfehlung zur Verschlüsselung von Nicht-Systempartitionen aufgenommen |
1.4 | 2019-10-01 | cb | Softwareverschlüsselung ist nun der Standard, auch bei self-encrypting hard drives (KB4516045) |