Speicherverschlüsselung

Gelangt das Gerät einem Dritten - etwa durch Diebstahl oder Verlust - in die Hände, kann dieser versuchen, ein anderes Betriebssystem zu starten und auf die gespeicherten Daten zuzugreifen, wofür er nicht einmal ein Anmeldekennwort für das Konto kennen muss. Zum Schutz der Daten vor unbefugtem Zugriff durch Dritte sollten Datenträger verschlüsselt sein. Dabei muss zwischen

  • Systempartition, welche ein lauffähiges Betriebssystem hält, und
  • Nicht-Systempartition

unterschieden werden.

Systempartition

Die Verschlüsselung der gesamten Systempartition ist für die Nutzer nahezu transparent. Lediglich beim Booten müssen sie sich mit einer zusätzlichen PIN autorisieren. Danach ist der Datenträger entsperrt und es muss darauf geachtet werden, dass das Gerät bis zur nächsten Nutzung herunter gefahren wird, damit die Systempartition wieder verschlüsselt wird.

Eine Auswahl an Lösungen für whole disc encryption mit pre-boot authentication:

BitLocker
(Drive Encryption)
VeraCryptdm-cryptFileVault 2
verfügbar fürWindows
(ab Pro Edition)
Windows
  • Linux
  • Android
macOS X
Quellcodeproprietäreinsehbareinsehbarproprietär
AnleitungAnleitungHinweise für AndroidAnleitung

ACHTUNG: Ein Verlust des Entschlüsselungsschlüssels (PIN, Passwort) kann Sie unter Umständen dauerhaft aus dem System aussperren!

Bei der Einrichtung der Verschlüsselung mit BitLocker, VeraCrypt und FileVault 2 wird angeboten, ein Wiederherstellungsschlüssel bzw. -medium zu erzeugen. Diese ermöglichen einen Notfallzugriff auf das System und müssen daher genau so gut geschützt werden, wie der Entschlüsselungsschlüssel.

Nicht-Systempartition

Das sind Partitionen, die kein lauffähiges Betriebssystem halten (z.B. USB-Speichersticks). Wir empfehlen dafür die betriebssystemübergreifende Lösung mittels VeraCrypt: Zur bebilderten Anleitung (Weiterleitung zu kuketz-blog.de). Einen Vergleich zwischen Bitlocker-to-go und Veracrypt finden Sie in c't 14/2018: "Taschentresor - USB-Medien sicher verschlüsseln", S. 116 ff.

 

Versionshistorie

Autoren: Christoph Becker (cb), Stefan Brütsch (sb)

Version Datum Autoren Kommentar
1.0 2017-02-21 cb, sb  
1.1 2019-03-29 cb Fokus auf Festplattenverschlüsselung
1.2 2019-04-23 cb

Bitlocker-Anleitung ergänzt um Konfiguration

  • größten AES-Schlüssellänge,
  • Schutz vor unbekannten DMA-Geräten,
  • Deaktivierung des Standbymodus sowie
  • Aktivierung eines Zeitlimits für Ruhezustand
1.3 2019-08-05 cb Empfehlung zur Verschlüsselung von Nicht-Systempartitionen aufgenommen
1.4 2019-10-01 cb Softwareverschlüsselung ist nun der Standard, auch bei self-encrypting hard drives (KB4516045)