Verschlüsseln mit VeraCrypt – so gehts

VeraCrypt ist die Alternative für jene, die kein BitLocker verwenden wollen oder können. Mit dem Open-Source-Programm für Windows, Linux und Mac verschlüsseln Sie wahlweise Container oder ganze Laufwerke.

Ein weiterer Anwendungszweck wäre das Verschlüsseln einer Datenpartition auf Dual-Boot-Systemen (Windows/Linux), damit beide Betriebssysteme darin Dateien lesen und schreiben können. Es gibt für Windows auch eine Portable Version, die keine Installation erfordert und die Sie zum Beispiel zusammen mit dem verschlüsselten Container auf einen USB-Stick ablegen und mitnehmen können.

Das Wichtigste: Die Verschlüsselung mit VeraCrypt ist in hohem Masse sicher. Ein gutes Kennwort vorausgesetzt (allenfalls in Verbindung mit einer Schlüsseldatei), ist ein damit verschlüsselter Datenträger oder Container unknackbar. Niemand – auch nicht die VeraCrypt-Entwickler – kann Ihre Daten entschlüsseln. Das bedeutet: Wenn Sie Ihr Kennwort oder die (optionale) Schlüsseldatei verlieren, kommen Sie auch nie wieder an Ihre Daten heran.

Ebenfalls wichtig: Auch zum Ausführen der portablen Version von VeraCrypt benötigen Sie Admin-Rechte.

Wir zeigen die Funktionsweise von VeraCrypt auf den nächsten Seiten anhand eines einfachen passwortgeschützten Containers, den wir unter Windows auf einem USB-Stick erstellen. VeraCrypt ist allerdings ein mächtiges Tool mit vielen weiteren Funktionen für Profis. Das Nachfolgende ist daher nur die Spitze des Eisberges.

Ein Container ist eine grosse Datei, die eine Art Ordner mit Ihren darin gespeicherten Dateien enthält. Beim Öffnen stellt Ihnen VeraCrypt diesen Ordner nach Eingabe des Kennworts in Form eines Laufwerksbuchstabens zur Verfügung. Als hätten Sie eine zusätzliche Festplatte angestöpselt. Wer das Kennwort nicht hat, sieht stattdessen einfach eine grosse Datei voller Zeichensalat. Ohne Kennwort ist absolut nichts über den Inhalt des Containers zu erfahren, auch keine Dateinamen (anders als z. B. bei verschlüsselten Zip-Dateien).

Eine «Installation» einer portablen Software fügt sich nicht ins System (Windows-Ordner, Registry usw.) ein, sondern entpackt lediglich die fürs Ausführen des Programms nötigen Dateien in einen frei wählbaren Ordner.

Laden Sie die gewünschte VeraCrypt-Version von hier herunter. Wir greifen zur Portable Version, derzeit «VeraCrypt Portable 1.25.9.exe». In der Zwischenzeit haben wir einen USB-Stick eingestöpselt und ihn formatiert. Ein Formatieren wäre übrigens nicht nötig: Ein Container kann auf einem Datenträger problemlos neben anderen Dateien liegen, sofern dort alle genug Platz haben.

Wir verschieben die heruntergeladene Datei VeraCrypt Portable 1.25.9.exe aus dem Download-Ordner auf den USB-Stick. Auch das ist optional: Sie können VeraCrypt auch ganz normal lokal entpacken und damit Container erstellen oder öffnen, die auf einem angestöpselten USB-Stick liegen.

Doppelklicken Sie die heruntergeladene Datei und wählen Sie bei deren Start die Sprache aus, z. B. Deutsch. Setzen Sie ein Häkchen ins Feld bei den Lizenzbedingungen und klicken Sie auf Weiter. Nun bietet Ihnen der Portable-Installer an, die ausführbaren Dateien in einen Ordner zu entpacken, bei uns ist es D:\VeraCrypt\. Klicken Sie auf Entpacken, auf OK und auf Fertigstellen. Die heruntergeladene Datei «VeraCrypt Portable 1.25.9.exe» können Sie nun löschen, da der Inhalt in den Unterordner \VeraCrypt\ entpackt worden ist.

Öffnen Sie den Ordner und führen Sie darin die Datei VeraCrypt-x64.exe per Doppelklick aus.

Es öffnet sich ein wenig spektakuläres Fenster. Schalten Sie oben gleich als Erstes via Settings/Language auf Deutsch um.

Klicken Sie auf Volumen erstellen. Wählen Sie in diesem Beispiel Eine verschlüsselte Containerdatei erstellen und klicken Sie auf Weiter. Im nächsten Dialog lassen Sie Standard-VeraCrypt-Volume aktiviert und fahren mit Weiter fort.

Bei Volumen-Speicherort klicken Sie hinter dem obersten Feld auf Datei. Navigieren Sie zum Ort, an dem Ihr Container entstehen soll. Schalten Sie unten beim Dateityp auf VeraCrypt-Volumen (.hc) um und geben Sie einen Namen ein. Wir greifen zu MeinContainer.hc. Wenn Sie einem Finder Ihres USB-Sticks nicht auf die Nase binden wollen, dass es sich um einen verschlüsselten Container handelt, können Sie auch etwas Unverfänglicheres nehmen.

Nach dem obligaten Weiter-Klick folgen die Verschlüsselungseinstellungen. Sofern Sie keinen triftigen Grund haben, daran etwas zu ändern, lassen Sie diese so. Und Weiter gehts.

Wählen Sie die Grösse des Containers mit Bedacht. Sicherheitshalber sollte er grösser sein als die Gesamtdatenmenge, die Sie darin zu speichern beabsichtigen. Wir greifen zu 20 GB, die auf dem gut 60 GB grossen USB-Stick locker Platz haben.

Jetzt der wichtigste Punkt: ein neues Passwort! Und «neu» heisst wirklich neu. Verwenden Sie kein Passwort, das Sie bereits anderswo benutzt haben. Schreiben Sie es auch nicht auf ein Post-it, das am Bildschirm klebt. Im Feld Bestätigung tippen Sie es erneut ein, um Vertipper auszuschliessen. Klicken Sie auf Weiter.

Die nächste Frage ist jene nach grossen Dateien. Sollen dereinst (auch) Dateien von über 4 GB darin Platz nehmen, aktivieren Sie Ja. Wenn Sie aber keine grossen Filmdateien und keine DVD-Images oder ähnlich darin ablegen wollen, lassen Sie Nein aktiviert. Mit der Option «Grosse Dateien = Ja» erstellt VeraCrypt ein virtuelles Laufwerk mit dem exFAT-Dateisystem. Lassen Sie es hingegen (wie wir) auf Nein, wird es ein virtuelles gewöhnliches FAT-Laufwerk sein.

Was nun folgt, mag Ihnen merkwürdig vorkommen. Der Container muss für sich selbst eine Art eigenen Schlüssel erstellen. Fahren Sie darum auf dem Volumen-Format-Fenster mal etwa 30 Sekunden lang völlig zufällig mit dem Mauszeiger herum. Sie werden sehen, dass der Balken bei «Durch Mausbewegungen gesammelte Entropie» wächst und irgendwann grün wird. Sobald er grün ist, hat VeraCrypt genug «Zufall» gesammelt. Klicken Sie auf Formatieren. Keine Bange, das formatiert nur das neue virtuelle Laufwerk, das Ihren Container darstellt.

Hier folgt seitens VeraCrypt eine Warnung mit der Bitte, den Windows-Schnellstart zu deaktivieren. Dies empfiehlt VeraCrypt, weil dieser Modus offenbar zu Problemen führen kann. Soll VeraCrypt ein fester Bestandteil Ihres Systems werden, folgen Sie dieser Empfehlung (siehe z. B. hier). Wenn Sie es aber nur einmal ausprobieren und falls Sie den Container vor dem Herunterfahren jeweils schliessen, können Sie den Windows-Schnellstart aktiviert lassen.

Nach dem Klick auf Formatieren dauert das Bereitstellen (Verschlüsseln und Formatieren) des Containers eine Weile. Mit unserem 20-GB-Container auf einem nicht mehr so schnellen System via USB-Stick dauerte es etwa 30 Minuten.

Nun erscheint die Meldung, dass das Volumen (der Container) erfolgreich erstellt worden ist. Bestätigen Sie dies mit OK. Falls Sie nur den einen Container haben wollten, klicken Sie im Fenster auf Beenden.

Sobald die Containerdatei bereitsteht, lässt sich der Container öffnen. Hierfür muss VeraCrypt ihn als Laufwerk «mounten», zu Deutsch: ins System einhängen. Klicken Sie im VeraCrypt-Fenster einen freien Laufwerksbuchstaben an, wir greifen zu V. Unter Volumen klicken Sie auf Datei und navigieren Sie zu Ihrem Container (hier ist es D:\MeinContainer.hc). Nun benutzen Sie die Schaltfläche Einhängen.

Jetzt müssen Sie Ihr Kennwort eingeben, das Sie für den Container festgelegt haben. Nach dem Klick auf OK dauert es einige Sekunden, und der Container ist eingehängt. Öffnen Sie den Datei-Explorer, finden Sie ein neues, noch leeres Laufwerk, das Sie jetzt mit Ihren geheimen Dateien befüllen können.

Wenn Sie auf Beenden klicken, schliesst sich nur das VeraCrypt-Hauptfenster. Unten rechts im Infobereich ist VeraCrypt weiterhin geöffnet. Wollen Sie den Container aushängen, klicken Sie mit Rechts aufs erwähnte VeraCrypt-Symbol im Infobereich und wählen Sie Trennen. Anschliessend werfen Sie den USB-Stick wie gewohnt aus und ziehen ihn aus der Buchse.

Wollen Sie den Stick mit dem Container auf einem anderen PC öffnen? Stöpseln Sie den Stick dort ein. Aus dem Unterordner VeraCrypt (in dem Sie die portable Anwendung hinterlegt haben) starten Sie per Doppelklick wieder die Datei VeraCrypt-x64.exe. Klicken Sie einen Laufwerksbuchstaben an, gehen bei Volume zu Datei und wählen Ihren Container aus. Nach dem Klick auf Einhängen und der Passworteingabe verbindet sich auch hier der entsprechende Buchstabe mit dem Volume und lässt sich genau wie vorhin nutzen.