Einfache Verschlüsselung unter Windows

Was möchten Sie verschlüsseln?

Damit Sie Dateien jeglicher Art verschlüsseln können, gibt es zahlreiche kostenlose Tools. Geld ausgeben müssen Sie daher nicht, um Ihre Daten wirksam vor den Zugriffen Dritter zu schützen. Dabei gibt es zahlreiche unterschiedliche Anwendungsfälle für Verschlüsselungen:

• Sichern Sie nur einzelne Daten oder auch spezifische Dateiordner gegen fremde Blicke ab, wenn Sie genau wissen, welche Informationen relevant sind.

• Ebenso können Sie komplette Partitionen absichern, was zum Beispiel bei externen Festplatten, USB-Sticks, Notebooks und vergleichbarer mobiler Hardware sinnvoll sein kann. Durch eine Verschlüsselung vermeiden Sie Fremdzugriff bei einem Geräteverlust.

• NAS-Geräte sind oft recht große Datenarchive - und auch diese können Sie effektiv verschlüsseln. Sinnvoll ist das vor allem, wenn mehrere Personen auf das NAS zugreifen und Sie fremde Blicke in Ihre eigenen Dateien vermeiden möchten.

• Speichern Sie Daten in der Cloud, können Sie diese dort ebenfalls verschlüsseln. In einigen Fällen ist dies generell sinnvoll (zum Beispiel bei der Ablage wichtiger Dokumente in Unternehmen), generell können Sie aber so viele oder so wenige Informationen wie gewünscht absichern.

Die komplexen Aufgabenbereiche führen dazu, dass es keine einzige Lösung gibt, die für alle Felder gleich gut geeignet ist. Brilliert eine Software in einem bestimmten Bereich, kann es sein, dass dasselbe Tool eine andere Aufgabe nur schlecht erledigt. Wir zeigen Ihnen daher mehrere unterschiedliche Tools, die für die obengenannten Aufgaben gut geeignet sind.

Schutz der Systempartition: Bitlocker

Systempartitionen können Sie gut mit Bitlocker verschlüsseln, da das Tool in Windows integriert ist. Eine Installation anderer Software ist also nicht notwendig. Beim Booten sollte daher alles glattgehen. Besonders kompliziert ist der Start nicht:

1. Öffnen Sie das Startmenü und tippen Sie Bitlocker ein. Danach sollte "Bitlocker verwalten" erscheinen, was Sie anklicken.

2. Nun öffnet sich ein neues Fenster namens "Bitlocker-Laufwerksverschlüsselung". Dort klicken Sie auf "Bitlocker aktivieren".

3. Sie werden gefragt, ob Sie den Wiederherstellungsschlüssel sichern möchten. Bestätigen Sie dies, da Sie diesen Schlüssel brauchen, falls Sie das Passwort (oder den PIN-Code) vergessen.

Für Punkt 3 bietet Ihnen Windows drei Optionen an: die Sicherung des Schlüssels im Microsoftkonto, als Datei auf Ihrem PC oder als Ausdruck in Papierform. Mit der Datei wählen Sie die flexibelste und wahrscheinlich auch sicherste Option. Die Datei sichern Sie anschließend auf einem USB-Stick - oder auf mehreren Sticks, falls es sich um wirklich wichtige Daten handelt.

4. Entscheiden Sie sich nun dazu, das gesamte Laufwerk zu verschlüsseln. Daraufhin erscheint noch ein Fenster, in dem Sie sich für "Neuer Verschlüsselungsmodus" entscheiden.

5. Aktivieren Sie den Haken bei "Bitlocker-Systemüberprüfung ausführen".

Nach einem Neustart beginnt nun die Verschlüsselung der Partition. Ist alles abgeschlossen, bootet Windows wie immer zur Windows-Anmeldung. Ohne Anmeldung können Sie nun jedoch nicht mehr auf die Dateien auf der Festplatte zugreifen - auch nicht, wenn Sie diese ausbauen würden oder zum Beispiel mit einer Live-CD auf das System zugreifen. Damit haben Sie Ihr System effektiv vor Zugriffen Dritter geschützt.

Bitlocker-Hinweis: nur für Pro und Education!

Beachten Sie, dass Sie Bitlocker nur mit den Pro- und Education-Versionen von Windows verwenden können. Ansatzweise können Sie Bitlocker aber trotzdem mit Windows Home nutzen - wenn auch nur im Lesemodus. Sie können also, sofern Sie die Passwörter kennen, auf die Partitionen zugreifen und sich dort die Daten anschauen. Bitlocker selbst verwalten können Sie jedoch nicht. Das heißt, dass zum Beispiel die von uns vorgeführte Datenverschlüsselung kompletter Partitionen nur mit Windows Home nicht möglich ist.

Laufwerksverschlüsselung mit VeraCrypt

Mit VeraCrypt können Sie von einzelnen Dateien bis hin zu ganzen Laufwerken alles verschlüsseln, was Ihnen in den Sinn kommt. Die Software ist Open-Source und genießt einen exzellenten Ruf, weshalb nichts dagegenspricht, die Anwendung für Aufgaben dieser Art zu verwenden - und zwar so:

1. Installieren Sie das Programm und stellen Sie es über "Settings -> Preferences -> More Settings -> Language" zuerst auf deutsche Sprache um.

2. Klicken Sie nun auf "Volumen erstellen" und starten Sie so den Assistenten. Dort markieren Sie anschließend "Eine Partition / ein Laufwerk verschlüsseln".

3. Wählen Sie anschließend das "Standard-VeraCrypt-Volume" aus und klicken Sie danach auf "Datenträger". Suchen Sie nun die Partition aus, die Sie verschlüsseln möchten, und bestätigen Sie die Auswahl über "OK".

4. Nun entscheiden Sie sich für "Partition "in-place" verschlüsseln". Dies bedeutet, dass Sie eine Partition mit bereits vorhandenen Daten verschlüsseln möchten.

Achtung: Die angebotene Alternative "Verschlüsseltes Volumen erstellen und formatieren" erstellt eine neue Partition, aber löscht dafür alle(!) auf dem Laufwerk befindlichen Dateien. Dies sollten Sie nur dann tun, wenn Sie genau wissen, was Sie tun, und ein entsprechendes Backup angelegt haben.

5. Im nächsten Fenster übernehmen Sie die Standardeinstellungen für den Verschlüsselungsalgorithmus und legen ein Passwort fest. Je länger, desto besser - und am besten zufallsgeneriert.

6. Jetzt fragt Sie VeraCrypt danach, zufällige Daten zu sammeln. Dazu bewegen Sie den Mauszeiger willkürlich für etwa 30 Sekunden über den Bildschirm. Diese Daten nutzt das Programm, um zufallsgenerierte Schlüssel zu erzeugen.

7. Lassen Sie den Löschmodus auf der Voreinstellung "Ohne (am schnellsten)".

8. Klicken Sie nun noch einmal auf "Verschlüsseln", damit der Vorgang startet. Bei großen Partitionen mit vielen Daten müssen Sie sehr viel Geduld mitbringen, bis alles verschlüsselt ist. Bestätigen Sie dies mit "OK" und klicken Sie noch einmal auf "Verschlüsseln".

Ist alles fertig, markieren Sie nun im Hauptfenster von VeraCrypt einen freien Laufwerksbuchstaben. Danach klicken Sie auf "Einhängen" und geben das Passwort ein, dass Sie in Schritt 5 definiert haben. Nun wird es einen Augenblick dauern, bis im Windows Explorer ein neues Laufwerk erscheint. Dies ist Ihr verschlüsseltes Laufwerk, auf das Sie durch das eingegebene Passwort Zugriff haben.

In VeraCrypt können Sie das Laufwerk durch "Trennen" jederzeit wieder aus dem System entfernen (und später wieder einhängen). Sobald Sie das Laufwerk trennen, kann darauf niemand mehr zugreifen, sofern das Passwort nicht bekannt ist.

USB-Laufwerke: Verschlüsselung mit VeraCrypt

Neben Partitionen auf einem Computer kann VeraCrypt auch sehr gut externe USB-Medien verschlüsseln - von der Festplatte bis zum Stick. Falls Sie solch ein Medium bereits im aktiven Betrieb haben, können Sie die im vorherigen Abschnitt gezeigte Anleitung verwenden. Falls Sie sich neue Sticks oder Festplatten gekauft haben, können Sie den Vorgang jedoch wesentlich beschleunigen, indem Sie wie folgt vorgehen:

1. Verbinden Sie das Speichermedium mit Ihrem Computer und starten Sie dann VeraCrypt.

2. Klicken Sie auf "Volume erstellen" und anschließend auf "Eine Partition / ein Laufwerk verschlüsseln". Anschließend entscheiden Sie sich für "Standard-VeraCrypt-Volume".

3. Wählen Sie nun den Datenträger aus, den Sie verschlüsseln möchten. Nehmen Sie dafür den Laufwerksbuchstaben des USB-Laufwerks.

4. Nun geht es weiter über "Verschlüsseltes Volume erstellen und formatieren". Halten Sie sich an die Voreinstellungen für die Verschlüsselungseinstellungen und prüfen Sie noch einmal die Größe des Laufwerks.

5. Geben Sie ein Passwort ein und formatieren Sie nun das Laufwerk. Wie im vorherigen Abschnitt gilt auch hier, dass Sie vorher noch einmal ein wenig die Maus bewegen müssen, um die Verschlüsselung zu verbessern.

6. Entscheiden Sie sich für "Schnell-Formatierung", damit der Prozess in sehr kurzer Zeit erledigt ist, und klicken Sie auf "Beenden".

Gehen Sie im Hauptfenster von VeraCrypt auf "Datenträger" und suchen Sie Ihr verschlüsseltes USB-Laufwerk. Wählen Sie es aus und gehen Sie auf "Einhängen". Nach Eingabe des Passworts bestätigen Sie es und warten einen Augenblick. Im Windows Explorer werden Sie daraufhin Ihr USB-Laufwerk zwei Mal sehen: einmal mit dem alten Laufwerksbuchstaben und einmal mit dem neuen, verschlüsselten Buchstaben.

Sobald Sie das ursprüngliche USB-Laufwerk anklicken, wird Windows Sie dazu auffordern, einen Datenträger einzulegen. Nur das verschlüsselte Laufwerk kann mit Daten beschrieben und gelesen werden. Um Datenverlusten vorzubeugen, sollten Sie das Laufwerk immer vor dem Trennen vom Computer auch in VeraCrypt über den entsprechenden Button "Trennen".

Alternative zu VeraCrypt: Bitlocker To Go

VeraCrypt funktioniert zwar auch für USB-Sticks, aber im Alltag könnte Bitlocker To Go aufgrund seiner einfachen Nutzung noch besser geeignet sein. Sicherheitstechnisch gibt es keinen Unterschied zwischen den beiden Lösungen: beide liefern absolut bombensichere Verschlüsselung.

1. Geben Sie im Startmenü Bitlocker ein und starten Sie die Bitlocker-Laufwerksverschlüsselung.

2. Dort gehen Sie auf "Wechseldatenträger - Bitlocker To Go" und klicken auf den Laufwerksbuchstaben des USB-Laufwerks, falls dieser noch nicht automatisch ausgewählt wurde. Dort sollte in der Beschreibung "Bitlocker deaktiviert" zu sehen sein.

3. Klicken Sie darauf und danach auf "Bitlocker aktivieren". Nach einer kurzen Denkpause setzen Sie einen Haken bei "Kennwort zum Entsperren des Laufwerks verwenden". Denken Sie sich ein ausreichend sicheres Passwort aus und speichern Sie den Wiederherstellungsschlüssel in einer Datei.

4. Enthält der USB-Stick bereits Daten, gehen Sie nun auf "Nur verwendeten Speicherplatz verschlüsseln". Andernfalls klicken Sie auf "Gesamtes Laufwerk verschlüsseln".

5. Im nächsten Schritt aktivieren Sie "Kompatibler Modus", sofern Sie das Speichermedium auch an anderen Geräten verwenden möchten.

6. Abschließend geht es auf "Verschlüsselung starten". Ist der Prozess abgeschlossen, müssen Sie für die Entschlüsselung immer ein Kennwort eingeben, bevor Sie auf den Stick zugreifen können.

Verschlüsselung für die Cloud mit Cryptomator

Cloudspeicher sind praktisch, aber nicht unbedingt zu 100 % sicher. Um jene Sicherheit zu erhöhen, gibt es Software wie Cryptomator: Die Anwendung erstellt verschlüsselte Container - das Tool nennt sie Tresor -, die sich leicht in beliebten Cloudspeichern wie OneDrive ablegen lassen.

Sobald Sie neue Dateien in diesem Tresor speichern, werden diese automatisch ebenfalls verschlüsselt und mit dem alten Kennwort gesichert. Halten Sie sich dazu an folgende Anleitung:

1. Öffnen Sie Cryptomator und gehen Sie auf "Tresor hinzufügen" und "Neuen Tresor erstellen".

2. Entscheiden Sie sich für einen Namen für Ihren Tresor und wählen Sie im nächsten Fenster aus, bei welchem Dienstleister Sie die Daten speichern möchten.

3. Crpytomator zeigt Ihnen die Standardverzeichnisse von OneDrive und Google Drive an, da diese auf vielen PCs identisch sind. Falls Sie andere Clouddienste verwenden, wählen Sie diese aus der Liste aus und konfigurieren Sie sie anschließend.

4. Erstellen Sie ein möglichst sicheres Passwort. Ähnlich wie Bitlocker wird auch Cryptomator Sie dazu auffordern, eine Wiederherstellungsdatei anzulegen.

5. Nun geht es weiter auf "Tresor erstellen" und danach auf "Jetzt entsperren". Wenn Sie nun das Passwort eingeben, wird Sie die Software durch "Laufwerk anzeigen" zu Ihrem Tresor im Cloudspeicher führen.

Einen Laufwerksbuchstaben müssen Sie nicht definieren, da Cryptomator dies automatisch für Sie erledigt hat. Falls Sie den Tresor nicht mehr brauchen, sollten Sie ihn wieder schließen - und auch das geht in der Software über die Schaltfläche "Sperren".

Verschlüsselung für NAS

Die beiden Marktführer QNAP und Synology bieten für Ihre Geräte eine von Haus aus integrierte Methode für die Verschlüsselung von Daten an. Dies kann sinnvoll sein, da die kleinen Geräte oft gigantische Datenberge beinhalten, die für Diebe ein lohnendes Ziel sein können.

Beide Hersteller nutzen dafür eine AES-256-Verschlüsselung, was dem aktuellen Stand der Technik entspricht und unknackbar ist. Einen wichtigen Unterschied gibt es aber: QNAP beherrscht die Verschlüsselung ganzer Volumes, während es bei Synology auf gemeinsam genutzte Ordner beschränkt ist. Beide Lösungen sind nicht zu 100 % optimal, da keine kompletten Laufwerke verschlüsselt werden können.

Das frei zugängliche Betriebssystem NAS Core, das früher Free NAS hieß, kann dies besser - aber dafür müssen Sie alles selbst einrichten und können nicht auf schlüsselfertige Lösungen wie die von Synology oder QNAP zugreifen.

VeraCrypt könnte für diese Fälle eine Alternative sein: Erstellen Sie auf Ihrem Computer eine verschlüsselte Datei und verschieben Sie sie manuell auf das NAS. Danach gehen Sie in VeraCrypt auf "Datei" und geben den Pfad zu dem Container auf Ihrem NAS an. Klicken Sie danach auf "Einhängen". Das ist weniger elegant als vorgefertigte Lösungen, aber funktioniert im Zweifelsfall garantiert.

Schutz von Laufwerken via PIN

Auf einem Computer, der via Bitlocker geschützt ist, können Sie trotzdem ohne Weiteres bis zur Windows-Anmeldung gelangen - nur ab dort geht es eben nicht mehr weiter. Falls Ihnen selbst das zu viel ist, befolgen Sie diese Anleitung, um eine PIN für den Anmeldebildschirm einzurichten:

1. Öffnen Sie das Startmenü und geben Sie "gpedit" ein. Danach klicken Sie rechts auf "Gruppenrichtlinie bearbeiten".

2. Weiter geht es unter "Richtlinie für Lokaler Computer" zu "Administrative Vorlagen -> Windows-Komponenten -> Bitlocker-Laufwerksverschlüsselung -> Betriebssystemlaufwerke". Rechts öffnen Sie nun "Zusätzliche Authentifizierung beim Start anfordern".

3. Klicken Sie jetzt auf "Aktiviert". In "TPM-Systemstart-PIN konfigurieren" wählen Sie außerdem die Option "Systemstart-PIN bei TPM zulassen" aus. Bestätigen Sie alles über "OK".

4. Öffnen Sie jetzt wie oben beschrieben die Bitlocker-Laufwerksverschlüsselung und klicken Sie auf "Ändern, wie das Laufwerk beim Start entsperrt wird".

5. Wählen Sie eine PIN mit maximal 20 Ziffern aus - je mehr, desto sicherer. Windows bietet Ihnen außerdem das Speichern eines Schlüssels auf einem USB-Laufwerk an.

Starten Sie das Gerät jetzt neu, müssen Sie die PIN eingeben, bevor Sie zur Anmeldung durchgelassen werden, was eine zusätzliche, kleine Sicherheitsebene sein kann.