Systempartition verschlüsseln

Das kostenlose Truecrypt erstellt nicht nur sichere Container, sondern verschlüsselt auf Wunsch auch komplette Partitionen.

Falls Sie eine Partition nur für Ihre Daten verwenden, sollten Sie trotzdem auch die Systempartition, auf der Windows liegt, mitverschlüsseln. Hier finden sich nicht nur zahlreiche Spuren Ihrer Windows-Nutzung, sondern auch viele Mail-Programme speichern Ihre E-Mails hier.

Der Artikel zeigt, wie Sie komplette Partitionen verschlüsseln und erklärt die Vor- und Nachteile. Die Software, die Sie brauchen, finden Sie kostenlos im Internet.

Wie leicht man den Windows-Passwortschutz ohne verschlüsselte Systempartition umgehen kann, zeigt der Artikel „Jeden PC am Passwort vorbei booten“.

Wenn sich jemand Zugriff zu Ihrem PC verschaffen kann, ist eine unverschlüsselte Festplatte prinzipiell offen wie ein Scheunentor. Das Windows-Passwort ist kein wirksamer Schutz.

So zeigt der Artikel „Jeden PC am Passwort vorbei booten“ , wie leicht sich mit einer Live-CD wie Parted Magic Ihr Passwort ändern lässt oder sich Administratorrechte erschleichen lassen. Das ist nicht mehr möglich, wenn Sie alle Partitionen verschlüsselt haben.

Ja, so ist es nach der Verschlüsselung der Festplatte nicht mehr möglich, selbst Daten mit einer Live-CD zu retten, wenn Windows nicht mehr bootet. Oft ist das aber der letzte Weg, um im Notfall zum Beispiel noch die Urlaubsfotos auf eine externe Festplatte zu kopieren.

Sehr sicher. Es gibt nur eine eher theoretische Möglichkeit, die Verschlüsselung zu knacken: Dazu müssten die Angreifer erst einmal Zutritt zu Ihrer Wohnung und Zugriff auf Ihren PC haben. Außerdem müsste Ihr PC eingeschaltet sein und eine Firewire-Schnittstelle haben.

Träfe all das zu, dann ließe sich mit einer knapp 1000 Dollar teuren Software ein Speicherabbild Ihres PCs erstellen und über die Firewire-Schnittstelle auf eine externe Festplatte kopieren. Die Gefahr, dass jemand so an Ihre Daten kommt, ist also extrem gering.

Die Komplettverschlüsselung der Festplatte mit Truecrypt funktioniert derzeit noch nicht auf UEFI-PCs. Die Entwickler arbeiten aber bereits daran. Wann Truecrypt UEFI unterstützen wird, ist noch nicht bekannt.

Alternativ verwenden Sie Bitlocker zur Verschlüsselung der Festplatte. Welche Vor- und Nachteile der Einsatz von Bitlocker hat, lesen Sie auf der Seite „Alternative: Bitlocker“.

Die Partitionen Ihres PCs verschlüsseln Sie in drei Schritten. Dabei erstellen Sie auch eine Rettungs-CD für den Fall, dass der Bootloader beschädigt wird.

Richten Sie zunächst das Verschlüsselungsprogramm Truecrypt auf Ihrem PC ein. Anschließend binden Sie die deutsche Sprachdatei für Truecrypt ein.

So geht’s: Klicken Sie doppelt auf die Datei „TrueCrypt Setup 7.1a.exe“, um die Installation zu starten. Setzen Sie ein Häkchen vor „I accept the license terms“ und bestätigen Sie mit „Next“. Klicken Sie danach noch einmal auf „Next“ und dann auf „Install“, um die Installation durchzuführen. Schließen Sie das Setup zuletzt mit „OK“ und „Finish“ ab.

Klicken Sie nun doppelt auf die Datei „langpack-de-1.0.1-for-truecrypt-7.1a.zip“ und entpacken Sie die enthaltene Datei „Language.de“ in das Verzeichnis, in das Sie Truecrypt installiert haben. In der Regel ist es das Verzeichnis „C:\Programme\TrueCrypt“.

Beim nächsten Start erscheint die Programmoberfläche von Truecrypt in Deutsch.

Truecrypt bringt einen ausführlichen Assistenten mit, der Sie Schritt für Schritt und gut dokumentiert durch die Konfiguration der Verschlüsselung führt.

So geht’s: Starten Sie Truecrypt und rufen Sie „System, System-Partition/Laufwerk verschlüsseln…“ auf. Wählen Sie im Fenster „Art der System-Verschlüsselung“ den Punkt „Normal“ aus und klicken Sie auf „Weiter“.

Nun legen Sie im Dialog „Bereich der Verschlüsselung“ fest, ob Sie nur die Systempartition oder die gesamte Festplatte verschlüsseln wollen . Im ersten Fall wählen Sie „Die Windows System-Partition verschlüsseln“ aus. Andere Partitionen bleiben dann unverschlüsselt. Wollen Sie die gesamte Festplatte verschlüsseln, wählen Sie „Gesamtes Laufwerk verschlüsseln“ aus.

Bestätigen Sie mit „Weiter“. Sie sind nun im Dialog „Verschl. des Host-geschützten Bereichs“. Hier legen Sie fest, ob Truecrypt auch versteckte Bereiche auf der Festplatte verschlüsseln soll.

Diese Bereiche werden von manchen Softwareherstellern genutzt, um dort Software abzulegen, die vor dem Starten von Windows aufgerufen werden muss. Dabei handelt es sich zum Beispiel um Systemwiederherstellungs-Tools oder um RAID-Software. Meist empfiehlt sich deswegen die Option „Nein“, um Fehler beim Booten zu vermeiden. Persönliche Daten, die verschlüsselt werden sollten, finden sich in diesen Bereichen ohnehin nicht.

Im folgenden Dialog wählen Sie aus, ob auf dem PC nur eines oder mehrere Betriebssysteme installiert sind. Das Verschlüsseln eines Multi-Boot-Systems kann nach Aussage der Truecrypt-Entwickler zu Fehlern führen und sollte deswegen besser unterbleiben. Das Problem ist, dass es zu Konflikten mit anderen Bootloadern kommen kann.

Im Dialog „Verschlüsselungseinstellungen“ legen Sie den Algorithmus fest . In der Regel sind hier keine Änderungen nötig, weil der voreingestellte Algorithmus „AES“ (Advanced Encryption Standard) als sehr sicher gilt und daher in den USA zur Verschlüsselung geheimer Akten verwendet wird.

Nach einem Klick auf „Weiter“ legen Sie ein Passwort fest. Dieses Passwort dürfen Sie auf keinen Fall vergessen, sonst kommen Sie nicht mehr an Ihr Windows und an Ihre Daten auf den verschlüsselten Partitionen heran.

Im Dialog „Zufällige Daten sammeln“ erstellt Truecrypt einen zufälligen Schlüssel, den das Tool zum Verschlüsseln der Festplatte benötigt. Bewegen Sie die Maus eine Zeit lang hin und her. Klicken Sie dann zweimal auf „Weiter“.

Nun brennen Sie eine CD, den „Rettungsdatenträger“. Diesen benötigen Sie, wenn der Bootloader auf der Festplatte beschädigt ist. Das kann durch einen Computerfehler oder durch ein Bootkit erfolgen. Ein Bootkit ist ein Trojaner, der sich im Boot-Sektor verankert. Dabei wird der Truecrypt-Bootloader beschädigt und muss anschließend mit der Rettungs-CD wiederhergestellt werden.

Legen Sie eine leere CD-ROM ein, markieren Sie „Datenträger nach dem Brennen überprüfen“, klicken Sie auf „Brennen“ und nach dem erfolgreichen Brennvorgang auf „Schließen“.

Der Rettungsdatenträger ist so wichtig, dass Sie mit dem Assistenten erst weitermachen dürfen, wenn Truecrypt die CD als Laufwerk erkennt.

Tipp: Sie finden den Rettungsdatenträger als ISO-Datei im Ordner „C:\Benutzer\<Ihr Benutzername>\Eigene Dokumente“. Mounten Sie diese ISO-Datei als Laufwerk, wenn Sie zum Beispiel ein Netbook verschlüsseln wollen, das keinen Brenner hat. Das geht mit dem Tool Total Mounter.

Wenn Sie den Brennvorgang mit Total Mounter umgehen, sollten Sie die nur etwa 2 MByte große ISO-Datei aber unbedingt auf einem anderen Datenträger, einem USB-Stick oder etwa in Ihrer Dropbox sichern.

Nachdem Sie alle Schritte bis zum Erstellen des Rettungsdatenträgers durchgeführt haben, erfordert Truecrypt nun noch einen Test. Erst nach diesem Test, bei dem das Programm prüft, ob alles richtig konfiguriert ist und ob der Bootloader ohne Fehler installiert wurde, verschlüsselt Truecrypt die Festplatte.

So geht’s: Klicken Sie nach dem Brennen des Rettungsdatenträgers noch zweimal auf „Weiter“, bis Sie zum Dialog „Systemverschlüsselungs-Pre-Test“ kommen. Klicken Sie auf „Test, Ja, OK, Ja“, um den Test zu starten. Dabei wird der PC neu gestartet.

Direkt nach den BIOS-Meldungen sehen Sie jetzt zum ersten Mal die Passwortabfrage von Truecrypt, die künftig verhindert, dass jemand unbefugt auf Ihren PC zugreift. Geben Sie das vorher festgelegte Passwort ein und drücken Sie die Eingabetaste.

Wenn Sie stattdessen an dieser Stelle den Test mit [Esc] abbrechen, scheitert der Test und die Festplatte wird nicht verschlüsselt.

Nach dem Neustart des Computers meldet Truecrypt, dass der Test erfolgreich abgeschlossen wurde. Klicken Sie auf „Verschlüsseln, OK, Ja“, um die Partitionen jetzt zu verschlüsseln. Das eigentliche Verschlüsseln dauert je nach Größe und Geschwindigkeit der Festplatte eine halbe bis zu mehreren Stunden.

Sobald der Vorgang abgeschlossen ist, öffnet Truecrypt ein letztes Infofenster mit dem Hinweis, dass die Festplatte und alle darauf enthaltenen Partitionen erfolgreich verschlüsselt wurden. Schließen Sie das Fenster mit „OK“ und das Fenster des Truecrypt-Assistenten mit „Fertig stellen“.

Ein Angreifer hat nun auch mit einer Live-CD keine Möglichkeit mehr, auf Ihre Daten zuzugreifen. Selbst spezielle Hacker-CDs beißen sich an Truecrypt die Zähne aus.

Wenn Ihr Windows nicht mehr bootet, dann benötigen Sie den Rettungsdatenträger, um wieder an Ihre Daten zu kommen.

Falls der Bootloader auf der verschlüsselten Festplatte beschädigt ist, kommen Sie nicht mehr an Ihre Daten heran. In diesem Fall benötigen Sie den Rettungsdatenträger, den Sie im Abschnitt „2. Verschlüsselung konfigurieren“ erstellt haben.

Falls Sie die Scheibe verlegt haben, finden Sie eine Kopie der ISO-Datei im Ordner „C:\Benutzer\<Ihr Benutzername>\Eigene Dokumente“. Allerdings liegt die Datei auf der verschlüsselten Festplatte. Sie sollten also am besten vorher eine Kopie an einem sicheren Ort hinterlegt haben.

Übrigens passt die ISO-Datei der Rettungs-CD nur genau zu Ihrem System. Sie können also nicht einfach einen Rettungsdatenträger auf einem anderen PC erstellen und dann verwenden.

So geht’s: Legen Sie die Rettungs-CD ein und starten Sie Ihren PC neu. Wenn der Computer nicht von der CD bootet, rufen Sie das BIOS auf und ändern die Boot-Reihenfolge. In der Regel öffnen Sie das BIOS durch Drücken der Taste [Entf] kurz nach dem PC-Start. Rufen Sie dann die Boot-Optionen auf und stellen Sie sicher, dass der Computer zuerst vom CD-Laufwerk bootet. Speichern Sie die Änderungen ab und starten Sie den Rechner neu.

Neuere PCs bieten oft auch ein spezielles Boot-Menü, das Sie durch Drücken einer Taste aufrufen. Gebräuchlich sind die Tasten [F2], [F8] bis [F12], [Esc], [Tab] und [Alt]. Wenn Sie die richtige Taste gefunden haben, wählen Sie anschließend aus den angebotenen Optionen Ihr CD-Laufwerk aus.

Kurz nach dem Start der Rettungs-CD sehen Sie ein weiteres Boot-Menü, diesmal das von Truecrypt. Drücken Sie [F8], um die „Repair Options“ zu öffnen.

Jetzt haben Sie vier Möglichkeiten: Drücken Sie [1] und geben Sie danach Ihr Passwort ein, wenn Sie die Verschlüsselung der Festplatte wieder rückgängig machen wollen.

Drücken Sie dagegen [2], wenn der Bootloader auf der Festplatte zum Beispiel durch einen Trojaner beschädigt wurde. Die Rettungs-CD schreibt den Bootloader dann neu auf die Festplatte und repariert ihn dadurch.

Die dritte Option nutzen Sie, wenn Sie mehrmals das richtige Passwort eingegeben haben und es durch den Bootloader auf der Festplatte nicht akzeptiert wurde. In diesem Fall ist vermutlich der Master Key auf der Festplatte beschädigt. Die Option [3] repariert ihn wieder.

Die Option [4] dient dazu, den Truecrypt-Bootloader wieder zu entfernen und den Original-Bootloader von Windows wiederherzustellen. Dazu muss die Festplatte aber zuerst mit [1] entschlüsselt werden.

Anschließend haben Sie die Möglichkeit — beispielsweise mit einem Rettungsdatenträger von Windows —, ein beschädigtes Betriebssystem wieder zu reparieren. Das ist nicht möglich, solange die Festplatte und die darauf enthaltenen Partitionen noch verschlüsselt sind.

Sie haben zwei Möglichkeiten, die Verschlüsselung der Festplatte rückgängig zu machen. Im vorherigen Abschnitt wurde bereits die Variante beschrieben, bei der Sie über einen Rettungsdatenträger verfügen müssen. Es geht aber auch ohne den Rettungsdatenträger.

So geht’s: Starten Sie Truecrypt auf dem verschlüsselten System und rufen Sie den Menüpunkt „System, System-Partition/Laufwerk dauerhaft entschlüsseln“ auf. Bestätigen Sie sämtliche Sicherheitsabfragen des Programms mit „Ja“.

Eine Eingabe Ihres Passworts ist diesmal nicht nötig. Das haben Sie ja bereits beim Starten des Computers eingegeben.

Truecrypt entschlüsselt anschließend sofort die Festplatte und alle darauf enthaltenen Partitionen. Das dauert je nach Größe und Geschwindigkeit der Festplatte eine halbe Stunde oder auch mehrere Stunden.

Auch Microsoft bietet mit Bitlocker eine kostenlose Software an, um die gesamte Festplatte zu verschlüsseln.

Einen gewichtigen Vorteil hat Bitlocker gegenüber Truecrypt: Bitlocker funktioniert auch auf UEFI-PCs. Truecrypt-Nutzer müssen dagegen noch warten, bis das Programm die neue BIOS-Variante unterstützt.

Microsoft macht es Ihnen allerdings nicht leicht, Bitlocker zu nutzen. So benötigen Sie Windows 7 Ultimate oder Enterprise.

Außerdem muss auf dem Mainboard Ihres Computers ein TPM-Chip (Trusted Platform Module) vorhanden sein. Dieser findet sich nur in den wenigsten Privat-PCs. Alternativ ist es möglich, einen USB-Stick zu verwenden, auf dem der Bitlocker-Schlüssel gespeichert wird.

Klicken Sie auf „Start, Systemsteuerung, System und Sicherheit, BitLocker-Laufwerkverschlüsselung“ und dann auf „BitLocker aktivieren“, um den Verschlüsselungsassistenten zu öffnen.

Wenn Sie einen USB-Stick statt eines TPM-Chips verwenden, dann müssen Sie zunächst noch eine Gruppenrichtlinie bearbeiten: Drücken Sie [Windows R] und geben Sie gpedit.msc ein. Navigieren Sie zu „Computerkonfiguration, Administrative Vorlagen, Windows-Komponenten, BitLocker-Laufwerkverschlüsselung, Betriebssystemlaufwerke“ und klicken Sie doppelt auf „Zusätzliche Authentifizierung beim Start anfordern“. Setzen Sie ein Häkchen vor „BitLocker ohne kompatibles TPM zulassen“.

Ohne den Bitlocker-Stick startet der PC dann nicht mehr, es ist genauso wie bei einem Autoschlüssel. Einzige Hintertür ist ein 48 Stellen langer Rettungsschlüssel, den Sie ausdrucken und an einem sicheren Ort aufbewahren sollten.