Verschlüsseln mit Steganos Safe 14

Die Firma Steganos hat ihren Sitz in Deutschland und ist schon seit Jahren mit dem Produkt "Safe" auf dem Markt. Derzeit (bis Ende des Monats) ist der Safe in der älteren, aber sogar auf Windows 8 arbeitenden Version kostenlos zu haben.

Natürlich will Steganos damit vor allem die Ungewissheit der TrueCrypt-Lücke für sich nutzen, und das ist ja auch legitim und sei ihnen gegönnt - zumal, wenn die Nutzer - wie in diesem Fall - den Vorteil haben: Ein Gratis-Tool, das verschlüsselte Container nahezu beliebiger Größe bereitstellt.

In Sachen Paranoia gilt das übliche: Wir wissen nicht, ob irgendwelche Superagenten & Geheimdienste Steganos-Safe-Dateien theoretisch irgendwie entschlüsseln könnten. Wir wissen nur, dass noch kein Bericht über eine solche "Knackung" vorliegt. Ergo darf das Ding als hinreichend sicher gelten, um Dinge vor allerlei Unbefugten alle Art zu verstecken, auf lokalen Festplatten ebenso wie auf USB-Speichersticks.

  • Steganos Safe 14 versteht sich als "virtueller Tresor": Es ist ein Container (der auf der Festplatte als Datei vorliegt), in dem man verschiedene Daten ablegen kann.
  • Funktionsweise: Beim Öffnen des Safes ist ein Passwort nötig, beim Kopieren von Daten in den Tresor werden diese (Kopien) verschlüsselt, durch das Schließen des Tresors werden sie unzugänglich.
  • Verschlüsselung: AES 256
  • Größe eines Safes: 1 MByte bis 1 TByte
  • Sonstiges: ein Shredder ist dabei, man kann statt eines Kennwortes auch Bilder nutzen (ich rate ab), bei der Passwortvergabe gibt es einen Passwortgenerator.

Die kostenlose Promo-Version finden Sie hier:

Galt bis zum 30. Juni (siehe Blog). Gibt's aber auch für 6 Euro bei Amazon.

Sie erhalten nach Eingabe einer Mail-Adresse (Paranoide nehmen Wegwerf-E-Mail-Adressen) eine Seriennummer und einen Download-Link. Nach dem Installieren klicken Sie auf Steganos-Safe erstellen, schon fordert man Sie zum Kauf auf. Müssen Sie aber nicht: Klicken Sie links unten auf "Ich habe eine Seriennummer" und geben Sie diese ein. Fertig.

1. Steganos-Safe erstellen

Klicken Sie zum Beispiel auf Safe erstellen.

Ein Assistent begleitet Sie durch das weitere Procedere. Zunächst legen Sie einen Safe-Namen (etwa "Geheimes") und die Größe fest.

Danach legen Sie ein Passwort fest. Es gilt das übliche: lang und komplex (->Passworttipps). Bedenken Sie, dass Containerdateien "passiv" sind und sich anders als Onlinedienste nicht wehren können. Daher heißt lang wirklich: mindestens 16 Zeichen, besser 20 oder 24. Trick: Nehmen Sie einen Satz wie "Früh am Morgen trinke ich als erstes 3 Gin Tonics!". Notieren Sie das Passwort (an einem sicheren Ort = NICHT Ihr Computer, NICHT Ihr Smartphone-Adressbuch)!

Der Safe wird nun angelegt, was je nach Größe etwas dauern kann, weil ja die gesamte Datenmenge verschlüsselt werden muss, auch wenn sie leer ist.

Danach zeigt sich der Safe "Geheimes" in der Oberfläche der Software. Wie Sie sehen, zeigt er auch gleich einen Laufwerksbuchstaben, nämlich Z:

2. Steganos-Safe öffnen

Zum Öffnen klicken Sie einfach auf den fraglichen Safe. Es erscheint eine Passwortabfrage, für Paranoide auch mit virtueller Tastatur gegen alle Hardware- und viele Software-Keylogger (kleines Icon neben Eingabefeld).

Nach korrekter Eingabe "öffnet sich der Safe", was bedeutet: Sie können nun im virtuellen Laufwerk Z: Daten ablegen, die sich dadurch "im Safe" befinden.

3. Steganos Safe schließen

Einfach nochmal auf den Safe klicken - schon ist er zu.

Sobald Sie den Safe schließen oder den Rechner neu starten sind die Daten für Unbefugte nicht mehr erreichbar. Unbefugt ist, wer das Passwort nicht kennt.

Das Steganos-Programm legt sich beim "Schließen" rechts unten in der Systemablage / Systray ab.

4. Einstellungen ändern

Klicken Sie mit der rechten Maustaste auf einen Safe, können Sie seine Einstellungen ändern.

Nach Eingabe des Passwortes haben Sie folgende Möglichkeiten:

  • Sicheres Laufwerk: Hier ändern Sie die Bezeichnung des Safes, das Safe-Passwort, den Laufwerksbuchstaben und andere grundlegende Einstellungen dieses Safes.
  • Speicherort: Hier können Sie den Ort ändern, wo der Safe liegt. Jeder Safe ist eine Datei mit der Dateiendung SLE; also zum Beispiel Geheimes.sle Die Dateien liegen per Vorgabe unterhalb Ihres Dokumente-Ordners, sie könnten aber eben auch in einem Cloud-Speicher wie Dropbox oder Copy liegen, wenn Sie das so wollen.
  • Ereignisse: Hier können Sie zum Beispiel festlegen, dass sich der Safe bei Standby, Screensaver etc. automatisch schließen bzw. nach der Anmeldung automatisch öffnen soll.
  • Änderung der Größe: Hier lässt sich die Safe-Größe nachträglich ändern.
  • Tastenkürzel: Hier legen Sie auf Wunsch ein systemweites Tastenkürzel wie [Strg][Alt][S] an, um Steganos Safe zu starten.
  • Postfachverschlüsselung: Sie können Ihre Outlook-Datendatei (.PST) in den Safe verlegen, auch Outlook Express und Windows Mail. Naja ...
  • Geheimsafe: Hiermit können Sie innerhalb eines Safes einen zweiten, versteckten Safe einrichten.

5. Der "Geheimsafe"

Reiner James-Bond-Klimbim. Mal angenommen, Blofeld zielt mit einer Laserpistole auf Sie, nein, auf das Bond-Girl, damit Sie das Passwort für den Safe herausrücken, in dem die Abschusscodes für irgendwas gefährliches liegen.

Dann beteuern Sie (dank des "Geheimsafes") einfach, dass gar keine Abschusscodes im Safe liegen würden: der Safe wäre leer, sagen Sie (naja, ein Nacktbild vom Bond-Girl wär drin)!

Wenn Blofeld nun unbeeindruckt mit dem Finger zuckt, geben Sie das Passwort heraus; aber eben nur das des "äußeren" Safes.

Blofeld hat seinen Köder und sieht dann, dass der Safe - bis auf das Nacktbild vom Bond-Girl - tatsächlich leer ist. Super. Er lässt Sie laufen (bzw. auf übertrieben komplizierte Weise zu Tode kommen).

Was Blofeld erstaunlicherweise nicht weiß, ist, dass fast alle Verschlüsselungstools einen "zweiten Safe" haben. Im ersten Safe Safe liegt der zweite Safe, natürlich mit einem anderen Passwort geschützt und nicht als "Datei" erkennbar...

Braucht keiner.

Vorsicht: Damit der zweite Safe "abstreitbar" ist ("Da ist kein zweiter Safe, Blofeld, so glauben Sie mir doch!"), muss er so gestrickt sein, dass er vom Inhalt des ersten zwangsläufig überschrieben werden kann. Sprich: Wenn Sie wirklich einen zweiten Safe haben wollen, sollten Sie möglichst nichts in den ersten legen (abgesehen vom Nacktbild des Bond-Girls, der Blofeld ja nur das Gefühl gibt, es wäre ein echter Safe geöffnet worden!).

Anmerkung: Okay, man muss vielleicht einräumen, dass es Fälle gibt, wo das mehr ist als eine Spielerei.

6. Safe "verstecken"

Klicken Sie mit der rechten Maustaste auf einen geschlossenen (!) Safe, können Sie Verstecken wählen.

Ein Assistent führt Sie dann durch den Vorgang, bei dem Sie vereinfacht gesagt so den Safe in eine MP3-Datei pressen, dass die MP3-Datei noch hörbar ist, sie aber unsichtbar den Safe enthält.

Unsichtbar? Naja. Die MP3 ist dann im Falle eines 512-MByte-Safes naturgemäß unnatürlich groß, größer als das Original:

Damit das sinnvoll ist, sollte der Container also sehr klein, die Medien-Datei hingegen sehr groß sein. Andernfalls sähe man, dass hier "steganografisch" Daten versteckt wurden. (Bestes Buch dazu: Versteckte Botschaften: Die faszinierende Geschichte der Steganografie.) Alternativ einfach eine Videodatei nehmen - Steganos Safe 14 kann das nämlich auch mit Videos (AVI, WMV).

Wer es so macht, wählt dann in Zukunft Versteckten Safe öffnen, wählt z.B. die AVI-Videodatei, gibt das Passwort ein - alles andere ist wie normal. Gar nicht soooo klimbimig.

7. Portabler Safe

Leicht zu übersehen: Das Feature "Portable Safe". Klicken Sie dazu mit der rechten Maustaste auf das Systray-Icon von Steganos Safe 14:

Es startet diese Oberfläche:

Die Steganos-Software schreibt dann nicht nur einen "Safe" (=eine Safe-Ccontainerdatei), sondern auch eine kleine EXE-Datei auf den USB-Stick (oder brennt eine CD/DVD damit). Durch dieses Mini-Programm kann man den Safe auf jedem beliebigen (Windows-)Rechner öffnen, auch wenn dort kein Steganos Safe installiert ist.

Lässt sich theoretisch also auch in Cloud-Speichern verwenden. (Ist dann aber angreifbar: Man platziert in Ihrem Cloud-Speicher einen "trojanischen Safe", der Ihr Passwort abfragt und ruckzuck sonstwohin schickt...)

8. Shredder

Über Extras, Shredder haben Sie auch ein Lösch-Tool.

  • Datei-Shredder: Kann einzelne Files und ganze Ordner unwiderbringlich schreddern (auf Festplatten, nicht auf SSDs!).
  • Free-Space-Shredder: Löscht alle, was derzeit unbenutzt ist, also sozusagen "die Spuren von gestern" oder "was gestern noch nicht im Safe lag". Vorsicht: Löscht nichts, was "da" ist. Alle Dateien bleiben unberührt, gelöscht wird nur das "gelöschte" (nach "geleertem Papierkorb").
  • Tiefenreinigungs-Taskplaner: Ja, ne, lieber nicht.
  • Complete-Shredder: Bügelt und walzt alle Daten nieder. Nur für Festplatten, die Sie verkaufen wollen oder zum Wertstoffhof geben.

Nice to have. Aber Nicht mein Ding. Ich rate zu Eraser und CCleaner.

Fazit

Für lau? Gar keine Frage: Holen Sie sich das Ding!

Steganos Safe 14 ist ein wirklich sinnvolles und durchdachtes Tool, dem kaum noch Features fehlen. (Die 15er bietet kaum mehr.)

"Statt TrueCrypt": Nein, denn es bietet nur die Funktion, verschlüsselte Container bereit zu stellen. Ein besserer Ersatz ist DiskCryptor (übermorgen hier).

"Ist das wirklich sicher?"

In Internet-Foren werden Sie haufenweise Personen finden, die vor solcher Software warnen.

1. Kein Open Source.
2. Kommerziell.
3. Überhaupt und sowieso.
4. Garantiert NSA und BND drin.
5. Hundert pro!

Das mag alles richtig sein, wir wissen es nicht. Und es gilt ohnehin nur, wenn Sie Purist sind, und dann verwenden Sie nur selbst geschriebene Tools.

Wenn Sie kein Purist sind, reicht Steganos Safe 14 völlig aus. Viel einfacher als eine "Hintertür" zu haben, deren Bekanntwerden Steganos das Geschäftsmodell entziehen würde, wäre doch, Ihnen heimlich Hardware-Keylogger zu installieren (denn, seien wir ehrlich: Wer klickt sein 24-Zeichen-Passwort täglich drei mal ein? Ich erlaube mir zu lachen.). Oder Ihnen einen Bildschirmrekorder zu installieren. Oder Ihnen per Kamera über die Schulter zu schauen. Oder eine schöne Frau auf Sie anzusetzen, die Ihnen Ihre Geheimnisse entlockt (das Bond-Girl?!).

Wenn Ihre Geheimnisse solchen Einsatz wert sind, reicht Steganos Safe vielleicht nicht - aber dann kann auch Verschlüsselung generell Sie nicht schützen.

"Welche Systeme werden unterstützt?"

Windows XP (SP3), Vista, 7 und 8, jeweils 32- und 64-Bit.

"Kann ich einen USB-Stick statt eines Kennworts benutzen?"

Ja. Ich mag das nur nicht, daher keine Anleitung: Wer den Stick besitzt, hat Zugang...

"Kann ich direkt mit Word drauf speichern?"

Ja, mit allem.
Aber: Es befindet sich mit dem Safe eine weitere "Software-Schicht" im System. Kackt irgendwas ab, ist das Problem vielleicht etwas größer, als es ohne den Safe wäre. Dafür kann Steganos Safe nichts, eher schon Word (;-), es ist nur einfach so.

"Kann ich das Dropbox-Verzeichnis in den Steganos-Safe legen?"

Ja, aber so funktioniert es nicht. Die Dropbox synchronisiert die Dateien, auf die es zugreifen kann. Liegt das Dropbox-Verzeichnis in einem Safe, kann Dropbox alle Dateien unverschlüsselt synchronisieren, d.h. es ist (in Richtung Cloud) unwirksam.

Es geht nur umgekehrt: Sie legen einen Tresor an, dessen Containerdatei Sie in der Dropbox speichern. Dann synchronisiert die Dropbox die Containerdatei (und damit zwangsläufig auch die Inhalte). Vorsicht: Es sollte stets nur ein Client den Safe geöffnet haben.

Das ganze gilt analog natürlich auch für andere Cloud-Speicher-Dienste wie Copy, Google Drive, OneDrive.

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau ’normaler Nutzer‘ und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht’s um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte Dich auch interessieren...

4 Antworten

  1. Sebastian sagt:

    Unterstützt Steganos die hardwarebeschleunigte Verschlüsselung von Intel (AES-NI)?
    Viele Grüße

  2. Thomas sagt:

    Kann ich den "Portable Safe", den ich auf einem USB-Stick angelegt habe, auch auf einem anderen Rechner öffnen, auf dem ich "keine" Admin Rechte habe; z.B. nur Guest Status?