Ratgeber Festplatten-Verschlüsselung

Wie Notebooks sicherer werden

16.09.2012 von Thomas Bär und Frank-Michael Schlede

Lesen Sie, wie Sie mit Bitlocker oder Truecrypt Ihre Notebook- oder Netbook-Festplatten sicher verschlüsseln.

So klappt Festplatten-Verschlüsselung: Sowohl ein Teil der Windows-Systeme als auch die Freeware-Szene und kommerzielle Anbieter bieten eine Reihe von Programmen an, mit deren Hilfe die Festplatten transparent verschlüsselt werden können.
Foto: Sashkin - Fotolia.com

Netbook-, Notebook- und Laptop-Rechner haben sich im Lauf der letzten Jahre zu den Standardsystemen sowohl im privaten als auch im professionellen Bereich gewandelt. Dabei ist es für die meisten Anwender selbstverständlich, auch auf diesen mobilen Geräten Schutz in Form von Antivirus-Software und einer Firewall zu installieren. Doch was passiert mit den Daten auf den mobilen Geräten, wenn das System verloren geht oder gestohlen wird? Leider ist vielen Anwendern diese Gefahr nicht bewusst. Die einzige Hürde, die Daten vor einem fremden Zugriff schützt, ist das Passwort der Windows-Anmeldung.

Dabei bieten sowohl ein Teil der aktuellen Windows-Systeme als auch die Freeware-Szene und kommerzielle Anbieter eine Reihe von Programmen an, mit deren Hilfe die Festplatten transparent verschlüsselt werden können. Wir stellen hier die "eingebauten" Möglichkeiten der Windows-Plattform sowie eine Freeware-Lösung vor und geben Tipps zu deren Einsatz.

Festplatten-Verschlüsselung

So nur auf den Ultimate- und Enterprise-Versionen von Windows 7 zu finden
Die Bitlocker-Laufwerksverschlüsselung steht für alle internen Festplatten und auch mobile Geräte zu Verfügung.

Ohne ein TPM (Trusted Platform Modul) geht es zunächst einmal nicht
Bei der Verschlüsselung des Systemlaufwerks verlangt Windows 7 nach der entsprechenden Hardwareunterstützung.

Alle anderen Laufwerke und auch USB-Sticks können problemlos verschlüsselt werden
Ein Assistent leitet den Anwender dabei durch die komplette Prozedur.

Ein wichtiger Schritt
Ohne ein Kennwort kann das Laufwerk später nicht wieder freigegeben werden. Hier kann auch eine Smartcard zum Einsatz kommen.

Der Wiederherstellungsschlüssel
Er sollte unbedingt auf einem anderem Medium abgespeichert oder auch ausgedruckt werden, damit das Medium auch wiederhergestellt werden kann, wenn das Passwort vergessen oder verloren wurde.

Kann schon eine gewisse Zeit in Anspruch nehmen
Die Dauer der eigentlichen Verschlüsselung hängt sowohl von der Datenmenge als auch von der Verarbeitungsgeschwindigkeit der CPU ab.

Die verschiedenen Optionen zur Verwaltung
Für ein bereits verschlüsseltes Laufwerk stellt Windows über das Kontextmenü (Rechtsklick) eine Reihe von Optionen bereit.

Sofort erkennbar
Windows kennzeichnet verschlüsselte Laufwerke durch ein spezielles Icon, so dass der Anwender schon vor der Frage nach dem Passwort weiß, womit er es in diesem Fall zu tun hat.

Und es geht doch ohne TPM
Mittels einer bereits bestehenden Gruppenrichtlinie wird es möglich, auch das Systemlaufwerk ohne diese Hardwareunterstützung zu verschlüsseln und von diesem Schutz zu profitieren.

Umbau notwendig
Damit das System nach der Verschlüsselung wieder booten kann, richtet der Assistent eine zusätzliche, ohne Hilfsmittel nicht sichtbare Partition auf der Festplatte ein.

Sollte unbedingt durchgeführt werden
Die Bitlocker-Systemüberprüfung stellt sicher, dass der Systemstartschlüssel als auch der Wiederherstellungsschlüssel lesbar und in Ordnung sind.

Die Freeware-Alternative
Das Programm Truecrypt kann nicht nur verschlüsselte Dateicontainer bereitstellen, sondern auch die Systempartition sicher verschlüsseln.

Eine besondere Spezialität von Truecrypt
Ein Betriebssystem kann komplett versteckt werden, so dass es selbst nach der Entschlüsselung des ersten Containers nicht zu finden ist.

Nicht nur die Windows-Partition allein kann verschlüsselt werden
Truecrypt bietet auch die Möglichkeit, die komplette Platte mit allen Bereichen zu sichern – dort dürfen sich dann aber keinesfalls schon verschlüsselte Bereiche befinden!

Noch mehr Sicherheit
Durch vorheriges Überschreiben der bestehenden Daten auf der Festplatte soll eine noch höhere Sicherheit erzielt werden können.

Erhöhte Sicherheit
Durch die zufälligen Mausbewegungen des Anwenders wird die Qualität der Verschlüsselung verbessert.

Sicherheit geht vor
Die Software erstellt automatisch ein ISO-Image mit einer Wiederherstellungs-CD. Dieser Schritt kann nicht übersprungen werden.

Eine letzte Warnung vor dem Start
Bevor die eigentliche Verschlüsselung beginnt, erfolgt ein weiterer Hinweis auf die Notwendigkeit von Sicherheitskopien.

Sollte zur Sicherheit nicht im reinen Batteriebetrieb erfolgen
Die komplette Verschlüsselung einer Systemplatte kann schon mal etwas Zeit in Anspruch nehmen.

Es ist geschafft
Nach über zwei Stunden heftige Systemaktivität ist die Systempartition verschlüsselt und mittels Truecrypt gesichert.

Festplattenverschlüsselung auf den Windows-Systemen

Bereits seit Windows Vista gehört BDE (Bitlocker Drive Encryption) als fester Bestandteil zu einigen Windows-Betriebssystemen. Mit Windows 7 wurden die Möglichkeiten und Fähigkeiten dieser Software ausgeweitet. Konnte man unter Vista weder die Partition mit dem Betriebssystem noch mobile Festplatten/USB-Sticks verschlüsseln, hat Microsoft bei Windows 7 deutlich nachgearbeitet. Alle Laufwerke können transparent verschlüsselt werden: Der Anwender merkt während seiner täglichen Arbeit nicht, dass er mit einem verschlüsselten Laufwerk arbeitet. Fährt er dann allerdings seinen Rechner herunter und das Betriebssystem greift nicht mehr auf die Laufwerke zu, so liegen alle Daten nur noch verschlüsselt auf den Festplatten.

Bitlocker: Grundlage und Fallstricke

Der Einsatz von Bitlocker ist leider nicht auf allen Windows-7-Systemen möglich. Vorausgesetzt wird,

dass ein Windows 7 Ultimate- oder Enterprise zum Einsatz kommt. Microsoft bietet die Laufwerksverschlüsselung leider nur auf diesen Versionen seines Client-Betriebssystems und auf dem Windows Server 2008 an.
Eine zweite Vorrausetzung gilt speziell für den Einsatz von Bitlocker auf Systemlaufwerken: Die Software macht bei dem Versuch, dieses Laufwerk zu verschlüsseln darauf aufmerksam, dass auf dem Computer ein sogenanntes TPM-Sicherheitsgerät (Trusted Platform Modul) vorhanden sein muss, damit dies möglich ist (Bild 2). Dabei handelt sich um einen speziellen Chip, der sich auf dem Motherboard des Systems befindet, und verschiedene Sicherheitsfunktionen zur Verfügung stellt.

Solche Module finden sich heute aber zumeist nur auf Motherboards von Systemen, die von den Herstellern speziell für den professionellen Einsatz angeboten werden. Während also die Verschlüsselung anderer Festplattenbereiche und auch mobiler Geräte mittels "Bitlocker to Go" durch Assistenten gestützt (siehe auch unsere Bildstrecke) schnell und einfach abläuft, funktioniert dies für das so wichtige Systemlaufwerk nicht. Taugt Bitlocker dadurch nicht für Einsatz zu Sicherung eines portablen Rechners ohne TPM-Modul?

Komplette Verschlüsselung mit Bitlocker und ohne TPM

Verschlüsselung ohne TPM.
Foto: Bär/Schlede

Tief verborgen im System hat Microsoft noch eine Möglichkeit vorgesehen, die es dem Anwender ermöglicht, ein komplettes System mittels Bitlocker zu schützen, ohne dass ihr Rechner dazu ein integriertes TPM benötigt. Auf den Windows-7-Systemen steht eine entsprechende Gruppenrichtlinie bereit, mit deren Hilfe diese Beschränkung umgangen werden kann. Dazu muss diese Gruppenrichtlinie zunächst einmal aktiviert werden:

Das erfordert als ersten Schritt den Aufruf des "Editors für lokale Gruppenrichtlinien" durch Eingabe von "gpedit.msc" unter Start/Ausführen.
Dann muss der Anwender im linken Konsolenfenster (siehe auch Bild 9) den folgenden Pfad auswählen: "Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Bitlocker-Laufwerksverschlüsselung/Betriebssystemlaufwerke".
Dort findet sich dann die Richtlinie mit der Bezeichnung "Zusätzliche Authentifizierung beim Start anfordern".
Hat der Anwender diese Richtlinie durch Auswahl von "Aktiviert" in Gang gesetzt, kann er nun auch das Kästchen "Bitlocker ohne kompatibles TPM zulassen" auswählen (Bild 9).
Danach steht auch der Verschlüsselung des Systemlaufwerks nichts mehr im Wege. Diese Verschlüsselung kann dann je nach Größe der Partition und der Rechengeschwindigkeit der CPU mehrere Minuten oder auch bis zu einige Stunden dauern.

Ganz wichtig hierbei sind weitere Voraussetzungen: Wer sein Betriebssystem-Laufwerk mit Bitlocker auch ohne ein TPM schützen will braucht dazu ein USB-Laufwerk oder einen USB-Stick sowie ein Notebook, dessen BIOS die Möglichkeit anbietet, von einem solchen USB-Gerät zu booten. Zugleich muss das BIOS dazu in der Lage sein, bereits während des Systemstarts lesend auf das USB-Gerät zuzugreifen.

Das Medium mit dem Bitlocker-Schlüssel (dem sogenannten Systemstartschlüssel) muss während des Startvorgangs mit dem System verbunden sein. Nach dem Booten kann der Anwender dieses Medium dann wieder entfernen und ganz normal mit seinem Rechner arbeiten. Ein Start des Rechners ohne dieses Medium ist danach nicht mehr möglich!

Vor-und Nachteile von Bitlocker

Die Microsoft-Ingenieure haben bei der Bitlocker-Version unter Windows 7 viel daran gesetzt, den Einsatz dieser komplexen Technik möglichst einfach und sicher zu gestalten. Dazu gehören die folgenden Vorteile:

sehr gute Integration in das Betriebssystem
einfache, durch Assistenten gestützte Bedienung,
automatische Erstellung eines BitLocker-Wiederherstellungsschlüssels wenn ein Anwender die Laufwerkverschlüsselung erstmalig auf einem Laufwerk aktiviert. Dieser besondere Schlüssel ermöglicht auch dann einen Zugriff auf den Computer, wenn das Systemlaufwerk mit Bitlocker verschlüsselt wurde und aus irgendeinem Grund beim Start nicht korrekt entsperrt wird.
ein Administrator kann innerhalb einer Windows-Domänen-Struktur die Schlüssel im Active Directory verwalten und speichern. Somit eignet sich Bitlocker auch sehr gut zur Sicherung von tragbaren Rechnern, die in großen Windows-Infrastrukturen zum Einsatz kommen.

Der größte Nachteil von Bitlocker: Es funktioniert ausschließlich auf diesen zwei Window-7- und den Windows Server 2008 Versionen. Unter Windows Vista lassen sich damit hingegen keine Systemlaufwerke verschlüsseln und für Windows XP steht die Software überhaupt nicht zur Verfügung. Wer zudem seine mobilen Laufwerke mit dem "Bitlocker to Go" verschlüsselt, steht vor ähnlichen Problemen, da er diese beispielsweise unter Windows XP nur auslesen, aber nicht wieder beschreiben kann.

Truecrypt - eine Freeware mit vielen Möglichkeiten

Die Freeware-Alternative Truecrypt.
Foto: Bär/Schlede

Viele Anwender kennen bereits die Freeware Truecrypt: Die Verschlüsselungssoftware ermöglicht das Anlegen sogenannter Container, in denen dann Daten oder auch ganze Partitionen verschlüsselt abgespeichert werden können. Diese können anschließend wie Laufwerke wieder in ein System eingehängt und verwendet werden. Seit der Version 5 dieser Software (aktuell steht die Version 7.1a zum Download bereit) ist es auch möglich, die Systempartitionen eines Rechners zu verschlüsseln.

Grundlagen und Tipps zu Truecrypt

Präsentiert sich die Software nach dem Herunterladen zunächst nur mit einer englischen Oberfläche, so stellen die Macher auf der Webseite auch Sprachpakete bereit, mit deren Hilfe dann auch die Assistenten der Software in die jeweilige Landessprache übersetzt zur Verfügung stehen. Es ist unbedingt empfehlenswert, diese zusätzlichen Sprachpakete zu installieren, da die Software doch einen hohen Grad an Komplexität aufweist. Truecrypt lässt sich auf allen Windows-Versionen ab Windows 2000, auf Linux-Systemen und unter Mac OS X einsetzen. Besondere Hardwareanforderungen sind nicht zu beachten, die Software funktioniert dabei sowohl auf 64-Bit als auch auf 32-Bit-Systemen problemlos.

Vor- und Nachteile

Wie die Bitlocker-Lösung stellt auch Truecrypt verschiedene Assistenten zur Verfügung, die den Anwender durch die Verschlüsselung seiner Festplatte(n) leiten. Hier zeigt dann Truecrypt schnell, wie vielfältig und flexibel dieses Werkzeug ist:

Der Anwender hat die Wahl, nur die Betriebssystem-Partition oder die gesamte Festplatte mit allen darauf befindlichen Partitionen in einem Rutsch zu verschlüsseln.
Es besteht die Möglichkeit, die Betriebssystempartition in einem anderen Container so zu "verstecken", dass ein System auch nach Öffnen des Containers nicht zu finden ist (Hidden Operation System)
Auch ein Multiboot-System mit mehreren unterschiedlichen Betriebssystemen kann verschlüsselt werden.
Truecrypt legt automatisch eine Rettungs-CD an und testet diese auf Funktionalität, bevor das System endgültig verschlüsselt wird.

So kann dann jeder Anwender auch direkt entscheiden, welchen Verschlüsselungs-Algorithmus er verwenden will und ob die darunter liegenden Festplattenbereiche vor dem Verschlüsseln noch zusätzlich mit zufälligen Dateimustern überschrieben werden sollen, um ein späteres Entschlüsseln von dritter Seite zu erschweren. Genau wie die Möglichkeit zum Verstecken des Betriebssystems zeigt auch dieses Feature, dass die Software dazu entwickelt wurde, die Geheimnisse einer Festplatte auch unter erschwerten Bedingungen zu waren.

Hier zeigt sich dann ein Nachteil der Software: Diese vielfältigen Möglichkeiten erschweren den Einsatz der Software für weniger versierte Benutzer. Zwar werden alle Schritte sehr ausführlich erläutert und teilweise werden auch automatisch zusätzliche Anleitungen zum Ausdruck generiert - aber der "normale" Anwender wird durch diese Vielfalt schnell erschlagen:

Truecrypt ist definitiv kein Werkzeug für technisch nicht versierte Anwender.
Nach der Verschlüsselung ist die Freischaltung nur per Passworteingabe möglich - eine Möglichkeit, ausschließlich einen USB-Stick während des Bootsvorgangs zu verwenden besteht nicht (zusätzliche Schlüsseldateien - sogenannte keyfiles - können hingegen verwendet werden).
Eine Einbindung in Verzeichnisstrukturen wie Active Directory für den Unternehmenseinsatz steht nicht zur Verfügung.

Wer sich allerdings die Mühe macht, sich mit der Vielfalt der Möglichkeiten von Truecrypt näher zu befassen, bekommt eine Sicherheitslösung, die er über viele Plattformen hinweg und für die unterschiedlichsten Anwendungsfälle einsetzen kann.

Fazit: Festplattenverschlüsselung - für jede Plattform eine Möglichkeit

Kein Anwender braucht die Festplatten seiner Netbook- oder Notebook-Systeme heute noch ungeschützt zu lassen: Wer Windows 7 in der Ultimate- oder Enterprise-Version einsetzt, kann beruhigt die Bitlocker-Funktion auch für sein Betriebssystem-Laufwerk verwenden. Die Möglichkeit, das System einfach durch das Einstecken eines USB-Sticks während der Bootphase freizuschalten, ist zudem elegant und leicht zu handzuhaben. Die Nachteile dieser Technik liegen ohne Zweifel darin, dass sie ausschließlich auf diesen zwei Versionen von Windows 7 einzusetzen ist.

Alle anderen Anwender und vor allen Dingen die Benutzergruppen, die unterschiedliche Betriebssysteme und Betriebssystemversionen in ihrem Umfeld einsetzen, können sicher auf Truecrypt als freie und sehr mächtige Alternative zurückgreifen. Die Software steht dabei auch für das Apple-Betriebssystem Mac OS X und Linux zur Verfügung. Doch im Gegensatz zu Bitlocker-Software ist diese Lösung nicht so eng in das Betriebssystem eingebunden und insgesamt komplexer, sowohl im Aufbau als auch in der Bedienung. Truecrypt ist sicher keine Lösung, die man unbedarften Anwendern "einfach so" in die Hand geben sollte. (wh)