Festplattenverschlüsselung ist eine wichtige Methode, um private Daten dem Zugriff durch Dritte zu entziehen. Ein Problem dabei ist jedoch, dass die Verschlüsselung nur aktiv ist, wenn das System ausgeschaltet ist. Solange der Rechner eingeschaltet ist, schützt die Daten lediglich die Bildschirmsperre, für die man aber oft ein weniger starkes Passwort gesetzt hat. Eine, bereits bei Smartphones bewährte, Lösung dafür ist ein sog. Wrong Password Shutdown. Dabei handelt es sich um ein Stück Software, dass den Rechner nach einigen falschen Passworteingaben in der Bildschirmsperre ausschaltet. Nach dem Ausschalten ist der Rechner dann durch das sicherere Systemverschlüsselungspasswort geschützt. Der Wrong Password Shutdown kann dabei insbesondere als zweiter Fallschirm für Fälle dienen, in denen man vergessen hat den Rechner auszuschalten. Wichtig ist jedoch, dass der Wrong Password Shutdown keine Einladung für ein triviales Nutzerpasswort ist. Das Nutzerpasswort wird nämlich nicht nur die Bildschirmsperre, sondern auch für andere Authentifizierungen, bspw. die Installation von Paketen, genutzt. Es gilt also eine sinnvolle Abwägung zwischen der Sicherheit des Passworts und der Bequemlichkeit bei der Eingabe zu finden. Schließlich sollte der Wrong Password Shutdown auch nicht auf Servern installiert werden auf die ein Zugriff aus dem Internet möglich ist. Der Grund hierfür ist, dass sonst Dritte in der Lage sind mit falschen Passworteingaben ein ungewolltes Herunterfahren des Servers auszulösen.
Vollverschlüsselung für Mac OS
Seit Mac OS X liefert Apple eine eigene Software (FileVault 2) zum Verschlüsseln der Festplatte aus. Dieser Software kann man, genauso wenig vertrauen, wie Bitlocker unter Windows. Die Software ist nicht offen, das heißt sie kann nicht überprüft werden und in früheren Versionen der FileVault gab es teilweise massive Bugs. Dennoch ist die FileVault besser wie nichts.
Eine Anleitung für die Einrichtung der FileVault gibt es auf der offizellen Supportseite von Apple. Dazu noch ein Hinweis: Der Wiederherstellungsschlüssel sollte unter keinen Umständen bei Apple gesichert werden, da Apple entweder selbst angegriffen werden kann oder möglicherweise mit staatlichen Diensten kollaboriert und den Schlüssel bereitwillig herausgibt.
Vollverschlüsselung mit Ubuntu (Linux)
Ubuntu bringt von Haus eine Vollverschlüsselung mit, die während der Installation mit Hilfe weniger Klicks eingerichtet werden kann. Die Verschlüsselung ist sicher. Auftauchende Fragen klärt man im Ubuntu-Forum seines Vertrauens oder fragt befreundete Nutzer. Mehr gibt es dazu nicht zu sagen.
https://www.eff.org/deeplinks/2012/11/privacy-ubuntu-1210-full-disk-encryption
P.S. Sicheres Passwort nicht vergessen!
TrueCrypt bzw. VeraCrypt
TrueCrypt war jahrelang die Software wenn es Vollverschlüsselung von Windows-Systemen ging. Parallel hatten TrueCrypt-Container wegen ihrer Kompatibilität zu Mac und Linux ebenfalls einen wichtigen Stellenwert beim Austausch verschlüsselter Daten. Jedoch wurde TrueCrypt am 28. Mai 2014 offiziell eingestellt. Die Entwickler behaupteten die Software sei nicht mehr sicher und empfahlen auf die Microsoft-Alternative Bitlocker umzusteigen (-> eine schlechte Empfehlung). Der Hintergrund dieser Aussagen und Empfehlungen ist, nach wie vor, unklar. Sowohl auf dem letzten CCC-Kongress als auch nach einer Sicherheitsüberprüfung der Software wurde TrueCrypt als sicher bewertet. Meine Empfehlung lautet daher vorerst weiter auf TrueCrypt zu setzen, bis ein würdiger Nachfolger feststeht. Einen Download bzw. eine Anleitung dafür gibt es hier bzw. hier.
Zu den Nachfolgern:
Als möglicher TrueCrypt-Nachfolger wird zur Zeit insbesondere ein Fork mit Namen „VeraCrypt“ gehandelt. Nach eigenen Angaben schließt die Software mehrere im Audit festgestellte Lücken und soll auch in Zukunft gepflegt werden. Eine unanhängige Überprüfung des Codes hat aber bisher, nach meinen Informationen, nicht stattgefunden. So dass die Installation eine Vertrauensfrage ist, die ich konservativ beantworte. Wer die Software dennoch installieren möchte, zum Beispiel für Tests, findet hier einen Download und hier eine Anleitung.
Festplattenverschlüsselung (Grundlagen)
Die komplette Verschlüsselung einer Festplatte ist eine der wirksamsten Methoden um Geräte vor unmittelbarem Zugriff zu schützen. Die Verschlüsselung der Festplatte soll die darauf enthaltenen Daten auch dann noch schützen, wenn das Gerät selbst, z.B. durch einen Diebstahl, eine Hausdurchsuchung oder anderweitig, entwendet wird. Die Verschlüsselung einer Festplatte erhöht das Sicherheitsniveau bei Daten, die über das Internet übermittelt oder dort gespeichert werden, folglich nicht. Hierfür muss auf andere Verfahren (z.B. PGP oder Boxcryptor) zurückgegriffen werden. Die Verschlüsselung der Festplatte schützt auch nicht vor Malware oder Sicherheitslücken im Betriebssystem.
Des Weiteren sind folgende Dinge zu beachten:
- Die Festplattenverschlüsselung ist nur so stark wie das dazugehörige Passwort. Es sollte ein langes, starkes Passwort gewählt werden.
- Die Festplattenverschlüsselung schützt die Daten auf der Festplatte nur, wenn das Gerät ausgeschaltet ist. Es empfiehlt sich also nicht nur aus Energiespar-Gründen seine Geräte möglichst auszuschalten, wenn man sie nicht braucht. Bei Laptops kann es sinnvoll sein zu Hause den Akku zu entfernen, so dass das Gerät, wie ein PC, direkt ausgeht, wenn der Netzstecker entfernt wird.
- Die Festplattenverschlüsselung schützt nur die Festplatte. Die beste Verschlüsselung nutzt nichts, wenn sensible Daten noch auf einem nicht verschlüsselten USB-Stick rumfliegen! Externe Datenträger wie z.B. USB-Sticks, CDs oder Ausdrucke sollten separat verschlüsselt oder nach Gebrauch sicher gelöscht bzw. vernichtet werden.
- Vollverschlüsselung schützt nicht vor Datenverlust. Verschlüsselte Backups anlegen!