Anleitung: Windows-7-Verschlüsselung mit TrueCrypt 7

Den Ausschlag gab ein Freund von mir, dessen Notebook geklaut wurde. Er ist Arzt, und er hatte auf der Kiste alles, was für ihn wichtig war, von Briefwechseln bis zur Buchhaltung. Immerhin hat er Backups aller wichtigen Dokumente, die nur zwei Wochen alt sind. Allerdings hat die wichtigen Dokumente nun auch jemand anderes. Das ist bei meinem Netbook kaum anders, wobei ich immerhin kein Arzt bin.

Abhilfe schafft eine Verschlüsselungssoftware. Sie kann Windows 7, Vista oder XP verschlüsseln, es gibt auch Versionen für andere Betriebssysteme. Verschlüsselt wird der gesamte PC, beim Notebook oder Netbook typischerweise die eingebaute Festplatte. Ein so gesichertes System kann problemlos geklaut werden: Es ist dann zwar weg, aber der Dieb hat nur die Hardware – der Inhalt bleibt ihm unzugänglich.

Ich habe mich beim Netbook für TrueCrypt 7.0 entschieden.

Wichtiger Hinweis zu TrueCrypt: Warnung: Verschlüsselungssoftware TrueCrypt 7.2 unsicher, evtl. kompromittiert!? und 11 Thesen: Was steckt hinter dem Ende der Verschlüsselungssoftware TrueCrypt (7.2)? sowie als aktuelle Alternative: Windows 7 verschlüsseln mit DiskCryptor

Es gibt sicher gute kommerzielle Lösungen dafür,vielleicht sogar bessere. Weil aber dieses Netbook von vorne bis hinten ‘unkommerziell’ ist und ich darauf für einen späteren Beitrag ausschließlich Free-Lösungen einsetzen möchte, erschien mir TrueCrypt 7.0 als ideal. TrueCrypt mochte ich schon immer, weil ich normalerweise kleine verschlüsselte Container auf USB-Sticks verwende und TrueCrypt nicht nur auf Windows, sondern eben auch mit Mac und Linux arbeitet – genau wie ich.

Ein Wort zur TrueCrypt-7.0-Hardwarebeschleunigung: Tolle Sache, aber dazu brauchen Sie einen modernen Prozessor. Mehr Infos im Beitrag CPUs und Notebooks mit AES-Hardwarebeschleunigung.

Komplettes Windows oder nur ausgesuchte Dateien verschlüsseln?

Man könnte selbstverständlich auch nur einen verschlüsselten Container anlegen und darin die wichtigen Daten anlegen, also nur ausgesuchte Dateien verschlüsseln.

  • Vorteil: weniger Aufwand, weniger Geschwindigkeitseinbussen.
  • Nachteil: weniger Sicherheit.

Lohnt sich meines Erachtens nur bei USB-Sticks, oder um ganz gezielt bestimmte Dateien gegen Zugriffe zu schützen.

Ich rate daher auf mobilen PCs zur Total-Verschlüsselung mit Pre-Boot-Authentifizierung:

  • Nachteil: Geschwindigkeitseinbussen bei Windows-Nutzung. Leicht höheres Risiko eines Crashs (weil: eine Fehlerquelle zusätzlich arbeitet) bzw. geringere Wahrscheinlichkeit, nach einem Totalcrash schmerzfrei recovern zu können (wogegen aber ein Backup hilft (das man ohnehin haben sollte)).
  • Vorteil: Deutlich mehr Sicherheit. Automatisch sind die in Ihren Mailprogrammen oder Browsern gespeicherten Zugangsdaten und Gebrauchsspuren geschützt. Programme können in temporären Dateien sensible Daten ablegen, wie sie wollen – da alles verschlüsselt ist, werden auch diese Sachen verschlüsselt.

Einen ausführlichen Beitrag zum Thema “Vor was schützt TrueCrypt eigentlich genau?” mit einer Diskussion der Sicherheitslücken finden Sie demnächst hier, ich lese nämlich viel zu oft, dass Verschlüsselung gegen Datendiebstahl und Spionage schützen würde – und ganz so einfach ist es eben nicht.

TrueCrypt 7.0 downloaden

Wichtiger Hinweis zu TrueCrypt: Warnung: Verschlüsselungssoftware TrueCrypt 7.2 unsicher, evtl. kompromittiert!? und 11 Thesen: Was steckt hinter dem Ende der Verschlüsselungssoftware TrueCrypt (7.2)? sowie als aktuelle Alternative: Windows 7 verschlüsseln mit DiskCryptor

TrueCrypt 7.0 ist kostenlos und hier zu haben:

Installation: Die heruntergeladene EXE-Datei TrueCrypt Setup 7.0.exe starten und den Anweisungen folgen.

Vorsicht, Stolperstein:
Auf Geräten ohne Brenner
(Netbooks ohne optisches Laufwerk) brauchen Sie im Verlauf der Installation unbedingt ein Tool, um  ISO-Images (virtuelle CD-Abbilder) mounten, also mit dem System verbinden zu können. Installieren Sie eines der beiden folgenden Tools, ehe Sie loslegen:

Windows-Partition mit TrueCrypt verschlüsseln

Es geht los.
Sie starten TrueCrypt und wählen im Menü System einfach Encrypt System Partition / Drive:

Im folgenden zeige ich die wichtigsten Screens und was sich hinter den Angaben verbirgt.

Type of System Encryption

Type of System Encryption: Normale Anwender können beruhigt Normal verwenden. Hidden sorgt vereinfacht gesagt (lange Beschreibung hier) dafür, dass ein zweites Windows angelegt wird.

Hintergrund: Man könnte Sie dazu zwingen, ein Passwort preiszugeben – wir reden hier nicht von rechtsstaalichen Methoden sondern der Glock an der Stirn. Sie geben es also preis, und Sie oder der Schurke melden sich damit an. Was nur Sie wissen: Es erscheint das “Fake-Windows”. Das echte Windows bleibt verborgen (denn es wird nur beim echten Passwort geladen).

Klingt super. Aber. Es ist wahnsinnig kompliziert. Denn Sie müssten das Fake-Windows (das natürlich auf Ihrem echten Windows beruhen muss), regelmässig benutzen, damit der Gig nicht auffällt. Anderfalls würde ein Experte feststellen, dass Sie sich nur alle sechs Monate mal an Ihrem Notebook anmelden. Unrealistisch, verdächtig, Kopfschuss. Braucht nur James Bond und ist aufwändig zu realisieren. Daher: Als normaler Bürger Normal wählen.

Area to Encrypt

Area to Encrypt: Sie können wahlweise nur die Windows-Partition (einfach gesagt: “C:”) verschlüsseln, dann bleibt “D:” und andere Laufwerke unverschlüsselt. Oder Sie verschlüsseln – wie ich im Bild – via Encrypt the whole drive das ganze Laufwerk, dann sind zum Beispiel C: und D: gleichermaßen unzugänglich und Sie sind auf der sicheren Seite.

Gegenbeispiel: Wer auf D: nur harmlose legale Filme, downgeloadete legale Freeware oder ähnlichen Quark aufbewahren will, bei dem reicht Encrypt the Windows system partition. Es hat den Vorteil, dass D: schneller arbeitet, weil hier die Verschlüsselung entfällt. Angenommen, Sie sind Fotograf, und sichten auf dem Netbook Ihre Bilder, und diese Bilder sind harmlos, legal & wertlos. Dann würde sich das anbieten, aber eben nur dann. Allerdings darf sich eben niemals eine “wichtige” Datei auf Drive D: empfinden.
Anderes Beispiel: Sie wollen Ihren PC verschlüsseln. Sie haben alles Wichtige auf C: und sind sich dessen sicher. Auf D: installieren Sie hingegen Ihre Spiele, aber nichts Wichtiges. Diese Spiele profitieren dann von der fehlenden Verschlüsselungsbremse. Zu prüfen wäre im Einzelfall, wo Spielzugangskontrollsysteme wie das von Steam die Benutzerdaten speichern.

Auf Nummer sicher gehen Sie hingegen mit Encrypt the whole drive.

Die Encryption of Host Proteced Area brauchen nur Paranoide, auf Netbooks würde ich Normalbürgern sicherheitshalber zu No raten. Gemeint sind Speicherbereiche am Rand der Platte, wo möglicherweise der Hersteller wichtige Rescue-Daten abgelegt hat.

Number of Operating Systems: Wenn Sie ein Multi-boot-System haben (beispielsweise: Windows und Ubuntu auf einem Gerät), unbedingt die entsprechende Option wählen, sonst kommt der TrueCrypt-Bootloader mit dem bereits installierten Bootloader in Konflikte. Wenn Sie nicht wissen, ob Sie Multi-boot haben, dann wählen Sie Single-boot, denn das ist das typische.

Encryption Options

Encryption Options: Was Sie sehen, sind die Vorgaben – mir reichen die. Angeblich verschlüsselt auch die NSA mit AES, also was soll’s.

Die Paranoiden nehmen natürlich Serpent und versäumen keine Gelegenheit, damit in Foren zu posen.

Hinweis: Wer die Hardwarebeschleunigung nutzen will, muss AES nehmen, weil die Intel-CPUs der i5/i7-Serie, die das unterstützen, nur AES unterstützen. Mehr Infos im Beitrag CPUs und Notebooks mit AES-Hardwarebeschleunigung.

Password

Nach “Next” geht es ans Password: Wenn Sie weniger als 20 Zeichen eingeben, wird TrueCrypt maulen, aber es dennoch grummelnd hinnehmen.
Sie können also auch nur 6 Zeichen nehmen.
Allerdings lassen sich Verschlüsselungen mit 6 Zeichen als Passwort in hinreichender Zeit via Brute-Force knacken. 20 Zeichen hingegen nicht. Und 20 Zeichen kann man schaffen, ohne Knoten im Gehirn zu kriegen: Probieren Sie es aus: Wenn Sie einfach zwei, drei Wörter nehmen, die in Ihrem Leben eine wichtige – aber nicht zu öffentliche – Rolle spielen, und diese mit einem sicheren Passwort von 8 oder 10 Zeichen erweitern, dann kommen Sie problemlos auf merkbare 20+ Zeichen. SchnitzelAkteX!bffC7433. SabineRamazotti:LmaA4711. Sowas in der Art.

Durch einen Zufallsgenerator erzeugt TrueCrypt nun Schlüssel:

Weil PCs keine echten Zufallszahlen erzeugen können, müssen Sie bei Collecting Random Data die Maus bewegen – das bringt echten Zufall ins Spiel.

Nun erzeugt TrueCrypt eine Rescue Disk, die es als ISO-Datei ablegt. Mit der daraus brennbaren CD können Sie ein TC-verschlüsseltes System im Zweifel booten und wieder entschlüsseln. Allerdings nur mit dem Passwort; das heißt, die ISO-Datei alleine bringt einem potentiellen Angreifer wenig.

TrueCrypt-Installation auf Netbooks: ISO mounten

Hier liegt das größte Hindernis für die TrueCrypt-Installation auf Netbooks, denn diese haben keinen Brenner. Da kommt man dann an diese Stelle:

Es hilft hier nur, so zu tun als ob, also Abbrechen klicken. Dann will TC das Ergebnis verifizieren:

Mit Next überprüft TrueCrypt, ob wirklich eine Rescue Disk erzeugt wurde. Es bricht ab, wenn das nicht der Fall ist:

Abhilfe schafft, die soeben mit TC erzeugte ISO-Datei mit Magic Disc oder Virtual Clone Drive zu mounten:

Im Bild geht’s mit Virtual Clonedrive, dass ich angenehm kompakt finde. Aber Magic Disk und WinCDEmu sind genauso okay.

Einfach über das Systray-Icon die Image-Datei laden. Dann zurück nach TrueCrypt und auf Next klicken.

Das Intermezzo ist natürlich nur nötig, wenn Sie keinen Brenner haben oder sich das Brennen ersparen wollten.

TrueCrypt erkennt das ISO-Image als reale CD:

Nun ist TrueCrypt zufrieden und macht weiter.

Der Wipe Mode ist ein weiteres James-Bond-Feature, das davon ausgeht, dass man geshredderte / gelöschte Festplatten wieder auslesen kann. Siehe Mythen. Ich empfehle None, es sei denn, Sie sind Jason Bourne.

System Encryption Pretest

Die Entwickler haben wirklich an alles gedacht und checken erst mal, ob das bisher installierte funktioniert:

Der System Encryption Pretest testet nur, ob der Truecrypt-Bootloader funktionsfähig installiert wurde.

Dazu wird Windows neu gestartet. Danach geben Sie das laaange Passwort von oben ein:

Dann geht es weiter:

Nach dem – hoffentlich problemlosen – Start kann es losgehen – mit der …

Encryption

Die Verschlüsselung kann je nach Rechner-Tempo und Festplattengröße unterschiedlich lange dauern. Ein Netbook mit 160-GByte-Platte braucht zwischen zwei und vier Stunden. Während dieser Zeit sollte der Rechner am Netzteil angeschlossen sein. Es lohnt sich, vorher vorübergehend den Energiesparplan abzuschalten, sonst schläft die Kiste regelmäßig ein…

Fertig! Es gibt nun also keinen Grund mehr, sein Windows-7-Notebook oder -Netbook nicht verschlüsselt zu haben! ;-)

Verschlüsseltes Windows wieder entschlüsseln

Genauso simpel:

Einfach Permanently Decrypt System Partition/Drive. Dasselbe in grün, nur rückwärts.
Habe es zwei Mal ausprobiert, funktioniert genauso.

Gecrashtes TrueCrypt recovern

Dazu bootet man von der CD TrueCrypt Rescue Disk, die man aus dem ISO-Filet gebrannt hat:

Mit [Esc] rutscht man ganz normal zum Start weiter, mit [F8] gibts die Available Repair Options:

Mit [1] entschlüsselt man ein gecrashtes System wieder (und kann hoffen, dann man es dann wieder recovern kann). Die Optionen [2] bis [4] restaurieren Teile, die für den Start wichtig sind – diese Optionen sollte man als erstes ausprobieren, falls TC mal nicht startet.

Wichtiger Hinweis zu TrueCrypt: Warnung: Verschlüsselungssoftware TrueCrypt 7.2 unsicher, evtl. kompromittiert!? und 11 Thesen: Was steckt hinter dem Ende der Verschlüsselungssoftware TrueCrypt (7.2)? sowie als aktuelle Alternative: Windows 7 verschlüsseln mit DiskCryptor

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte dich auch interessieren …