Zuletzt aktua­li­siert am 16. Dezem­ber 2018 durch Jür­gen Voskuhl

Im Teil 1 die­ses Bei­trags ging es vor­wie­gend um das The­ma Datensicherung.
In die­sem Teil wird das The­ma Ver­schlüs­se­lung näher beleuch­tet: Wir wer­den sehen, war­um Ver­schlüs­se­lung so wich­tig ist und wel­che Tools emp­feh­lens­wert sind.

Warum Verschlüsselung sinnvoll und notwendig ist

Der Schutz per­so­nen­be­zo­ge­ner Daten ist in der Euro­päi­schen Uni­on ein Grundrecht.
Spä­tes­tens seit Ein­füh­rung der Daten­schutz-Grund­ver­ord­nung (DSGVO) am 25. Mai 2018 ist das The­ma den meis­ten Men­schen geläufig.

Neben per­so­nen­be­zo­ge­nen Daten sind auf Com­pu­tern häu­fig auch imma­te­ri­el­le Wer­te gespeichert.
Im Unter­neh­mens­um­feld sind dies zum Bei­spiel Paten­te, For­schungs­er­geb­nis­se oder Marktanalysen.
Aber auch für pri­va­te Daten (etwa digi­ta­le Kon­to­aus­zü­ge, Bewer­bungs­schrei­ben oder pri­va­te Fotos und Vide­os) gilt, das man die Ein­sicht­nah­me durch Drit­te ver­mei­den möchte.

Wenn wir aber bei­spiels­wei­se unse­re Siche­rungs-Fest­plat­te  unse­rem Nach­barn oder einem Ver­wand­ten geben, gibt es zunächst ein­mal kein tech­ni­sches Hin­der­nis, die­se an einen ande­ren PC anzu­schlie­ßen, um auf die gespei­cher­ten Daten zuzu­grei­fen und die­se zu ver­wen­den. Das ein­zi­ge was dage­gen hilft ist, die Daten zu verschlüsseln.

Und was ist mit der internen Festplatte?

Sinn­ge­mäß gilt das auch für die im PC oder Note­book ein­ge­bau­ten Datenträger.
Stel­len die eige­nen vier Wän­de noch einen gewis­sen Schutz dar, hört die­ser spä­tes­tens auf, wenn Sie Ihren Note­book auch unter­wegs nut­zen: Es liegt in der Natur der Sache, das mobi­le Gerä­te ver­lo­ren gehen oder gestoh­len wer­den. In einem sol­chen Fall fällt es Unbe­fug­ten nicht beson­ders schwer, an die dar­auf gespei­cher­ten Daten zu gelan­gen: Ein Win­dows-Anmel­de­kenn­wort lässt sich bereits mit IT-Grund­kennt­nis­sen umge­hen, im Inter­net exis­tie­ren zahl­rei­che Anlei­tun­gen dazu. Im Zwei­fels­fall hängt man die Note­book-Fest­plat­te ein­fach an einen ande­ren Rech­ner – schon kommt man an die dar­auf gespei­cher­ten Daten her­an! Den ein­zi­gen Schutz davor bie­tet die Ver­schlüs­se­lung des ein­ge­bau­ten Datenträgers.

Datenschutz: die Tools

Nut­zer der Pro­fes­sio­nal-Ver­si­on von Win­dows 10 haben es auf den ers­ten Blick gut: Hier gehört das Tool Bit­Lo­cker, mit dem sich gan­ze Lauf­wer­ke (dazu gehö­ren auch am Com­pu­ter ange­schlos­se­ne exter­ne Lauf­wer­ke) ver­schlüs­seln las­sen, bereits zum Lieferumfang.
Die Lauf­werks­ver­schlüs­se­lung ver­hin­dert, dass nicht-auto­ri­sier­te Per­so­nen den Win­dows Datei- und Sys­tem­schutz auf dem ver­lo­re­nen, gestoh­le­nen oder unzu­rei­chend ent­sorg­ten Com­pu­ter aus­he­beln. Um das zu errei­chen, ver­schlüs­selt Bit­Lo­cker die kom­plet­te Sys­tem-Par­ti­ti­on, inklu­si­ve Benut­zer- und Sys­tem­da­ten, Aus­la­ge­rungs­da­tei­en und Spei­cher­ab­bil­dern (Hiber­na­ti­on Files).

Eine zen­tra­le Bedeu­tung kommt dabei dem Wie­der­her­stel­lungs­schlüs­sel zu: ohne die­sen ist kein Zugriff auf die ver­schlüs­sel­ten Daten mög­lich. Bit­te spei­chern Sie die­sen daher lokal und dru­cken Sie ihn zur Sicher­heit auch noch aus.
Besit­zer moder­ner Gerä­te haben es noch ein­fa­cher: Die­se ver­fü­gen heu­te häu­fig über eine zusätz­li­che TPM-Hard­ware (Trus­ted Plat­form Modu­le), in wel­cher die Schlüs­sel erzeugt, benutzt und sicher abge­legt werden.

Benut­zer ande­rer Win­dows-Ver­sio­nen sind auf exter­ne Tools ange­wie­sen. Der Autor emp­fiehlt in die­sem Fall den Ein­satz des kos­ten­frei­en Tools VeraCrypt.
Mit VeraCrypt lässt sich – eben­so wie mit Bit­Lo­cker – die Sys­tem­par­ti­ti­on oder ein ande­res Lauf­werk kom­plett verschlüsseln.
VeraCrypt kann aber noch mehr. So steht Bit­Lo­cker bei­spiels­wei­se aus­schließ­lich für Win­dows-Umge­bun­gen zur Ver­fü­gung, VeraCrypt ist dage­gen auch für Linux und MacOS verfügbar.
Auch wenn Sie eine Pro­fes­sio­nal-Ver­si­on nut­zen, aber Micro­soft nicht ver­trau­en, soll­te VeraCrypt das Tool Ihrer Wahl sein.

Egal ob Bit­Lo­cker oder VeraCrypt: Mit bei­den Tools kön­nen und soll­ten Sie Ihre Sys­tem­par­ti­ti­on und alle ande­ren Lauf­wer­ke in Ihrer unmit­tel­ba­ren Umge­bung (also ein­ge­bau­te eben­so wie exter­ne USB-Lauf­wer­ke) ver­schlüs­seln. Das macht es Unbe­fug­ten unmög­lich, auf die dar­auf gespei­cher­ten Daten zuzugreifen.

Von sicheren Häfen und dem unsicheren Meer

Die nächs­te Über­le­gung, die es anzu­stel­len gilt: Was pas­siert mit dem Daten­schutz, wenn die Daten unse­ren nun­mehr "siche­ren Hafen" (näm­lich unse­re ver­schlüs­sel­ten inter­nen und exter­nen Daten­spei­cher) verlassen?
Die Pro­ble­me begin­nen bereits bei der pri­va­ten Cloud, also dem haus­ei­ge­nen NAS. Sobald die Daten jedoch die von uns kon­trol­lier­te Umge­bung (Woh­nung, Haus, Büro) ver­las­sen, kommt dem Daten­schutz eine noch zen­tra­le­re Bedeu­tung bei.
Hier­bei geht es nicht nur um den "Bestim­mungs­ort": auch der Weg dahin spielt eine signi­fi­kan­te Rol­le. Aber der Rei­he nach…

Solan­ge wir unse­re Daten inner­halb der von uns kon­trol­lier­ten Umge­bung bewe­gen, müs­sen wir uns kei­ne beson­de­ren Gedan­ken um die Über­tra­gungs­we­ge machen: ent­we­der flie­ßen die Daten durch Kabel (Ether­net, Strom­lei­tung) oder über eine Funk­stre­cke (WLAN). In bei­den Fäl­len haben wir die Sache im Griff: Kabel inner­halb der von uns kon­trol­lier­ten Umge­bung kann so ein­fach nie­mand anzap­fen. WLAN-Ver­bin­dun­gen sind heu­te übli­cher­wei­se durch Pass­wör­ter und geeig­ne­te Ver­schlüs­se­lungs­ver­fah­ren aus­rei­chend geschützt. Dies gilt eben­so für Powerline-Strecken.

Spä­tes­tens beim Spei­chern der Daten auf dem eige­nen NAS wird es aber wie­der kri­tisch! Bei­spiels­wei­se ist das von Win­dows erstell­te Image-Back­up zunächst ein­mal nicht ver­schlüs­selt. Das macht uns nichts aus, da die­ses Image ja auf unse­rer ver­schlüs­sel­ten exter­nen Fest­plat­te gespei­chert und damit sicher ist.
Wenn wir die­ses Image aber nun auf unser NAS ver­schie­ben, wird es dort gespei­chert – und zwar in der Regel unver­schlüs­selt! Im Klar­text: Min­des­tens der Admi­nis­tra­tor des NAS kann auf Ihre Daten zugreifen.
Abge­se­hen davon sind falsch oder gar nicht kon­fi­gu­rier­te NAS ein belieb­tes Ein­falls­tor für Daten­die­be. Dies gilt auf jeden Fall, sobald das NAS von außen zu errei­chen ist – für man­chen eine der Schlüs­sel­funk­tio­nen einer der­ar­ti­gen pri­va­ten Cloud-Lösung.

Umso mehr gilt dies, wenn wir unse­re Siche­rung in eine Public Cloud schie­ben: Bild­lich gespro­chen bege­ben wir uns dadurch mit unse­ren sen­si­blen Daten hin­aus auf das wei­te, unsi­che­re Meer auf dem aller­lei Gefah­ren lau­ern. Auch hier spie­len zunächst wie­der die Über­tra­gungs­we­ge eine Rol­le – wobei wir die­se im Unter­schied zu unse­rem Heim-Netz nun nicht kon­trol­lie­ren können!
Ver­wen­den Sie also unbe­dingt ein ver­schlüs­sel­tes Pro­to­koll (HTTPS, SFTP, SSH, …) oder einen VPN-Tunnel.

Gehen Sie bei einer Public Cloud grund­sätz­lich davon aus, das Ihre Daten gele­sen wer­den. Sei es von den Mit­ar­bei­tern des Cloud-Anbie­ters "nur zum Spaß", von Daten­die­ben, die das das Unter­neh­men gehackt haben oder wahl­wei­se von der NSA.

Spä­tes­tens jetzt dürf­te jedem Leser klar sein, das Daten nie­mals unver­schlüs­selt gespei­chert wer­den soll­ten, wenn sie den eige­nen siche­ren Hafen ver­las­sen. Doch wie bekom­men wir die Ver­schlüs­se­lung hin?

It's VeraCrypt again!

Apple-User haben es an die­ser Stel­le etwas ein­fa­cher: Das Apple-Tool Time Machi­ne Backup ver­schlüs­selt auf Anfor­de­rung auch die erzeug­ten Back­ups. Win­dows-User haben es hier nicht ganz so leicht.

In die­sem Bei­trag haben wir bereits VeraCrypt im Zusam­men­hang mit der Ver­schlüs­se­lung von Fest­plat­ten-Par­ti­tio­nen ken­nen­ge­lernt. Aber das Tool kann noch viel mehr.

Ein Fea­ture ist die Erstel­lung von ver­schlüs­sel­ten Con­tai­nern und deren Bereit­stel­lung als vir­tu­el­les Laufwerk.
Ein sol­cher Con­tai­ner ist letzt­end­lich nichts ande­res als eine (gro­ße) Datei. Die­se kön­nen Sie unbe­sorgt auf Ihrem NAS oder in einer Public Cloud spei­chern: Ein Daten­dieb kann zwar die Datei lesen. Da die­se jedoch ver­schlüs­selt ist, ist sie unbrauch­bar und somit wertlos.

Nach­dem Sie also mit­tels VeraCrypt einen Con­tai­ner erstellt und bereit­ge­stellt haben, brau­chen Sie nur noch das Image-Back­up-Tool anwei­sen, die­ses Lauf­werk für die Erstel­lung eines Image Back­ups zu nutzen.
Nach Fer­tig­stel­lung des Back­ups heben Sie in VeraCrypt die Bereit­stel­lung wie­der auf und kopie­ren anschlie­ßend den Con­tai­ner auf Ihr Sicherungsmedium.

Transparente, individuelle Verschlüsselung

Für das Ver­schlüs­seln eines Image-Back­ups, um es dann auf ein NAS zu kopie­ren, ist VeraCrypt das Mit­tel der Wahl. Für die häu­fi­ge Siche­rung ein­zel­ner Datei­en und Ver­zeich­nis­se gibt es Besseres.

Der Autor emp­fiehlt hier das Tool Cryp­to­ma­tor: Nach der Instal­la­ti­on wird zunächst in einem belie­bi­gen Ver­zeich­nis ein soge­nann­ter Tre­sor erstellt. Die­sen stellt Cryp­to­ma­tor als vir­tu­el­les Lauf­werk bereit, in das Sie ein­fach Ihre zu sichern­den Datei­en und Ver­zeich­nis­se kopie­ren. Hier­bei unter­stützt Sie das bereits beschrie­be­ne Tool Free­File­Sync.

Alles, was Sie auf dem vir­tu­el­len Lauf­werk able­gen, lan­det ver­schlüs­selt in Ihrem Tre­sor. Im Gegen­satz zu Fest­plat­ten­ver­schlüs­se­lungs­tools ver­schlüs­selt Cryp­to­ma­tor jede Datei ein­zeln. Wenn Sie also zum Bei­spiel nur eine klei­ne Text­da­tei bear­bei­ten, ver­än­dert sich auch nur die ent­spre­chen­de ver­schlüs­sel­te Datei.
Dies macht Cryp­to­ma­tor beson­ders in Ver­bin­dung mit Public Cloud Diens­ten inter­es­sant: Wenn Sie Ihren Tre­sor ein­fach im Cloud-Ord­ner erstel­len, wer­den die (ver­schlüs­sel­ten) Daten auch dahin synchronisiert.

Links

Unser Bei­trag "Ver­schlüs­se­lung: Wel­che Lösung für wel­chen Zweck? Die ulti­ma­ti­ve Über­sicht" ent­hält eine Über­sicht über in Fra­ge kom­men­de Ver­schlüs­se­lungs-Tools, über­sicht­lich geord­net nach zu ver­schlüs­seln­der Daten­men­ge und dem jewei­li­gen Anwendungsszenario.

Fazit

Schon auf­grund der in die­sem Arti­kel ange­spro­che­nen unter­schied­li­chen Sze­na­ri­en lässt sich nach­voll­zie­hen, das es eine all­um­fas­sen­de Lösung, also "das eine IT-Sicher­heits­kon­zept für alle Anwen­dungs­fäl­le" nicht gibt – und dabei hat der Autor sogar bewusst kom­ple­xe­re Anfor­de­run­gen wie bei­spiels­wei­se die Syn­chro­ni­sa­ti­on von Datei­en für die Online-Zusam­men­ar­beit in klei­ne­ren oder grö­ße­ren Teams außer Acht gelassen.

Abhän­gig von den jewei­li­gen Anfor­de­run­gen des Ein­zel­falls muss immer ein indi­vi­du­el­les Kon­zept ent­wi­ckelt wer­den, wel­ches genau für die­sen Anwen­dungs­fall passt. Ger­ne unter­stüt­zen wir Sie hier­bei, wenn Sie jetzt Kon­takt mit uns auf­neh­men. Ver­ein­ba­ren Sie ein­fach einen für Sie kos­ten­lo­sen und unver­bind­li­chen Erstberatungstermin.