Verschlüsselung der Festplatte – Wofür das denn?

Ich wurde schon mehr als einmal von Leuten gefragt, warum ich meine Festplatten verschlüsselt habe. Dies wäre doch unnötig und würde nur die Festplatte verlangsamen. Jemand anders fragte sogar, ob ich das nur tun würde, weil ich das cool fände. Deswegen habe ich mir mal die Mühe gemacht und die Gründe zusammen getragen, wieso eine Festplatten-Verschlüsselung Sinn macht.

Wozu sollte ich meine Festplatte/Systempartition verschlüsseln?

Welchen Sinn hat das? Und wieso als Privatperson?

Schütz deine Privatsphäre!

„Ich habe nichts zu verbergen“ ist kein Argument gegen eine Verschlüsselung. Jeder Mensch hat (oder sollte zumindest) eine Sache immer zu verbergen haben: Seine Privatsphäre.

Der französische Kardinal Richelieu (1585-1642) sagte einmal sinngemäß: „Gäbe man mir 6 Zeilen, geschrieben vom ehrlichsten Mann, würde ich darin etwas finden, um ihn hängen zu lassen.“

Damit ist gemeint: Jeder hat irgendetwas Unangenehmes zu verbergen, das einen – aus dem Zusammenhang gerissen – in schlechtem Licht dastehen lassen kann. Und das müssen noch nicht einmal Straftaten sein.

Irgendetwas hat jeder (vielleicht unbewusst) auf der Festplatte, das einen belasten kann. Sei es, weil man einen Computer nicht alleine benutzt und man nicht weiß, was andere Benutzer am PC tun. Oder weil man sich unbewusst Malware eingefangen hat, die im Verborgenen ihrer illegalen Machenschaften nachgeht. Oder man beim Surfen einmal zu früh auf einen harmlos aussehenden Link geklickt hat. Oder sich irgendwann mal ein dubioses Popup ohne Zutun geöffnet hat, usw. Es gibt noch viele weitere Dinge.

Jemand, der einem ernsthaft schaden möchte, kann diese Dinge gegen einen verwenden.

Schütz deine (und fremde) Daten!

Ein weiterer Grund ist ganz einfach der, dass die Daten gegen Verlust oder Diebstahl gesichert sind. Sollte einmal die Festplatte oder (wahrscheinlicher) der Laptop verloren gehen oder sogar gestohlen werden, kann ein Finder oder Dieb nichts mit den enthaltenen Daten anfangen. Dies ist vor allem bei sensiblen Kundendaten und Passwörtern wichtig.

Die vielen Datenskandale in Großbritannien, bei denen unverschlüsselte Laptops und USB-Sticks von Regierungs-Beamten verloren gehen, sprechen für sich. Wären die Datenträger verschlüsselt gewesen, wäre der Verlust nur halb so schlimm.

Dasselbe gilt natürlich auch für eine eventuelle Garantie-Inanspruchnahme. Wird der Laptop/PC/Festplatte einmal zum Garantiefall und muss zur Reparatur geschickt werden, weiß man nie, wer den Datenträger alles in den Händen halten wird. Eine nachträgliche Verschlüsselung ist nach einem Schadensfall vielleicht gar nicht mehr möglich. Deshalb sollte man sich rechtzeitig absichern.

Ein weiterer Pluspunkt ist, dass bei einem evtl. zukünftigen Verkauf ein Schreddern der Daten nicht mehr erforderlich ist. Zu oft hört man von Fällen, in denen hochsensible Daten einer bei Ebay gekauften Festplatte mit einfachen Programmen wieder hergestellt werden konnten und den Verkäufer in Atemnot brachten.

Es ist einfach, schnell und kostenlos!

Eine gute und sichere Verschlüsselungs-Software muss nicht teuer sein. Selbstverständlich gibt es gute kommerzielle (und teuere) Software (zB. BitLocker von Microsoft, nur in Windows Vista Ultimate  bzw. Windows 7 Enterprise und Ultimate enthalten), doch diese können sich die wenigsten Privat-Anwender leisten.

Abhilfe schafft hier zB. TrueCrypt. Das kleine und ressourcensparende Verschlüsselungs-Programm leistet gute Arbeit und ist obendrein auch noch OpenSource. Dadurch kann sich jeder den Quellcode des Programms ansehen und Hinweise zur Verbesserung oder Fehlern geben. Mehrere 1000 Augen sehen nun mal mehr als nur ein paar Einzelne.

TrueCrypt unterstützt die verschiedensten Verschlüsselungsverfahren wie AES, Blowfish, Twofish und andere. Sogar Kombinationen der Verschlüsselungsalgorithmen können gewählt werden. Natürlich macht jeder weiterer Algorithmus die Verschlüsselung langsamer. Der aktuelle Verschlüsselungs-Standard AES verschlüsselt (bei einem Benchmark-Test) mit durchschnittlich 124MB/s am schnellsten und sollte mit einem entsprechend langem Passwort auch ausreichend sicher sein.

Download und mehr Informationen über TrueCrypt kann man auf der Projekt-Homepage www.truecrypt.org finden.

Nachteile und Gefahren einer Festplatten-Verschlüsselung

Wie überall hat eine Verschlüsselung auch einige Nachteile und birgt sogar einige Gefahren.

Geschwindigkeits-Verlust

Dass man bei einer Verschlüsselung Einbußen in der Geschwindigkeit hinnehmen muss, habe ich oben schon kurz erwähnt. Das liegt daran, dass bei einer System-Verschlüsselung „on the fly“, also vor dem Schreiben und Lesen auf der Festplatte ver- und entschlüsselt wird. Besonders beim Kopieren von sehr vielen und großen Dateien macht sich das bemerkbar.

Je nach gewähltem Verschlüsselungsalgorithmus geschieht dies schneller oder langsamer. Das bereits erwähnte AES (Advanced Encryption Standard) wurde zum Standard gewählt, weil er sicher und gleichzeitig schnell ist. Selbst Hardcore-Gamer sollten bei Spielen nichts von der Verschlüsselung mitbekommen.

Spyware (oder: Was eine Verschlüsselung nicht kann)

Eine Verschlüsselung hilft nur bei einem physischen Angriff auf die Festplatte. Deshalb ist der laufende Computer weiterhin anfällig gegen Spyware und Trojaner wie jeder andere Computer auch. Denn diese Programme übermitteln dem Angreifer die Daten des laufenden (und temporär entschlüsselten) Computers.

Die Verschlüsselung schützt in diesem Fall nicht gegen Datenklau. Dieser muss also immer noch zusätzlich mit einer stets aktuellen Security-Software absichert werden.

Passwort-Verlust

Eine gute Verschlüsselung steht und fällt mit dem Passwort. Ist dieses einem Angreifer bekannt, nützt die beste Verschlüsselung nicht mehr.

Deshalb gilt bei der Verschlüsselung der Festplatte, was generell auch gilt: Nur ein ausreichend langes Passwort, das nicht in einem Wörterbuch verkommt und aus Groß-/Kleinschreibung mit Zahlen und Sonderzeichen besteht, ist sicher. Ansonsten kann das Passwort sehr einfach und schnell durch eine Brute-Force-Attacke (ausprobieren aller möglichen Passwort-Kombinationen) geknackt werden. TrueCrypt verlangt deshalb nach einem Passwort mit einer Länge zwischen 20 und 64 Zeichen.

Gefahr für die Daten besteht auch, wenn man das Passwort vergisst. Denn ohne das Passwort lassen sich die Daten nicht mehr entschlüsseln und sind unwiederbringlich verloren. Deshalb sollte man immer gut auf seine Passwörter aufpassen.

Passwörter sollten nie (unverschlüsselt) auf dem Computer (zB. in einer Excel-Tabelle) abgespeichert werden.Diese können sonst, wie schon oben erwähnt, sehr leicht Opfer von Spyware werden.

Tipps zur Wahl eines guten Passwortes gibt es bei Wikipedia: Wahl von sicheren Passwörtern

Doch was ist, wenn man gezwungen ist, sein Passwort offenzulegen?

In manchen Ländern (zB. Großbritannien) schützt eine verschlüsselte Festplatte nicht vor Strafverfolgung. Wird auf der Festplatte Beweismaterial vermutet, muss man sein Passwort offenlegen. Tut man das nicht, drohen einem noch härtere Strafen.

In Deutschland ist dies zum Glück noch nicht der Fall. Und meiner Meinung nach sollte das auch so bleiben. Denn wer wirklich etwas Schlimmes zu verbergen hat, wird sein Passwort so oder so nicht herausgeben. Und wegen kleinen Bagatellen sollte man sein Passwort nicht heraus geben müssen. Aber das soll nicht bedeuten, dass ich das gutheiße.

Gegen die Herausgabe des Passworts kann auch noch eine geheime Systempartition von TrueCrypt helfen. Diese erlaubt dann eine glaubhafte Bestreitbarkeit. (siehe auch Plausible Deniability)

Mehr zu diesem Thema findet man auf www.truecrypt.org

Daten-Verlust

TrueCrypt arbeitet bei der Entschlüsselung der Systempartition mit einem Boot-Loader. Dieser wird vor dem Booten des Betriebssystems ausgeführt. Hier muss nun das richtige Passwort zur Entschlüsselung der Festplatte eingegeben werden, ansonsten kommt man nicht weiter.

Wird dieser Boot-Loader zerstört, zB. durch die Installation eines weiteren Betriebssystems, oder unfreiwillig durch einen Virus, kann die System-Partition nicht mehr geöffnet werden. Die Daten sind dann verloren. Zum Glück sorgt TrueCrypt für diesen Fall vor: Vor der Verschlüsselung der System-Partition erstellt TrueCrypt eine Image-Datei einer TrueCrypt Rescue Disc, die erst auf eine CD gebrannt werden muss, um den Prozess fortsetzen zu können.

Ist der Boot-Loader beschädigt, legt man nun die TrueCrypt Rescue Disc ein. Sie enthält ebenfalls einen Boot-Loader, der automatisch gestartet wird. Nun hat man die Möglichkeit die gesamte Partition (nach Eingabe des korrekten Passwortes) entschlüsseln zu lassen.

Eine weitere Möglichkeit, um sich vor Datenverlust du schätzen, wäre eine Backup-Festplatte. Jeder, dem die eigenen Daten wichtig sind oder mit Kundendaten zu tun hat, sollte sich unabhängig von einer Festplattenverschlüsselung  eine solche Festplatte zulegen und auch regelmäßig Backups machen. Denn sehr schnell kann es passieren, dass mal die Festplatte des Computers den Geist aufgibt.

Wenn nun der Boot-Loader beschädigt ist, kann man immer noch auf die Daten der Backup-Festplatte zugreifen. Selbstverständlich sollte dann auch diese Festplatte verschlüsselt sein.

Fazit

Eine Verschlüsselung ist einfach einzurichten, und ist höchstens etwas lästig, da man vor dem Boot-Vorgang sein Passwort eingeben muss. Aber sie schützt sicher und komfortabel vor Datenverlust. Vor allem macht sie dann Sinn, wenn es sich um mobile Datenträger wie Laptop oder USB-Sticks handelt.

Die wenigen Einschränkungen und Gefahren sind verkraftbar oder lassen sich durch eigentlich selbstverständliche Verhaltensweisen wie Backup und gute Passwortwahl kompensieren, die man auch bei einem unverschlüsselten System treffen sollte. Und zudem liefert TrueCrypt noch Tools wie die TrueCrypt Rescue Disc zum Absichern mit.

Was bleibt ist ein guter Schutz der eigenen Daten, Privatsphäre und Kundendaten. Und das sollte einem der kleine Aufwand wert sein.