Datenträger verschlüsseln

Speicherverschlüsselung

Gelangt das Gerät einer dritten Person - etwa durch Diebstahl oder Verlust - in die Hände, kann diese versuchen, ein anderes Betriebssystem zu starten und auf die gespeicherten Daten zuzugreifen, wofür sie nicht einmal ein Anmeldekennwort für das Konto kennen muss. Zum Schutz der Daten vor unbefugtem Zugriff durch Dritte sollten Datenträger verschlüsselt sein. Dabei muss zwischen

• Systempartition, welche ein lauffähiges Betriebssystem hält, und
• Nicht-Systempartition

unterschieden werden.

Systempartition

Die Verschlüsselung der gesamten Systempartition ist für die Nutzer*innen nahezu transparent. Lediglich beim Booten müssen sie sich mit einer zusätzlichen PIN autorisieren. Danach ist der Datenträger entsperrt und es muss darauf geachtet werden, dass das Gerät bis zur nächsten Nutzung herunter gefahren wird, damit die Systempartition wieder verschlüsselt wird.

Eine Auswahl an Lösungen für whole disc encryption mit pre-boot authentication:

ACHTUNG: Ein Verlust des Entschlüsselungsschlüssels (PIN, Passwort) kann Sie unter Umständen dauerhaft aus dem System aussperren!

Bei der Einrichtung der Verschlüsselung mit BitLocker, VeraCrypt und FileVault 2 wird angeboten, ein Wiederherstellungsschlüssel bzw. -medium zu erzeugen. Diese ermöglichen einen Notfallzugriff auf das System und müssen daher genau so gut geschützt werden, wie der Entschlüsselungsschlüssel.

Nicht-Systempartition

Das sind Partitionen, die kein lauffähiges Betriebssystem halten (z.B. USB-Speichersticks). Wir empfehlen dafür die betriebssystemübergreifende Lösung mittels VeraCrypt: Zur bebilderten Anleitung (Weiterleitung zu kuketz-blog.de). Einen Vergleich zwischen Bitlocker-to-go und Veracrypt finden Sie in c't 14/2018: "Taschentresor - USB-Medien sicher verschlüsseln", S. 116 ff.
 

Versionshistorie

Autoren: Christoph Becker (cb), Stefan Brütsch (sb)