Schritt-für-Schritt-Anleitung: Windows Systemfestplatte mit VeraCrypt verschlüsseln

Damit die Daten bei Verlust des Geräts nicht Dritten zugänglich werden, empfehlen wir die Systemfestplatte mit einem sicheren Passwort zu verschlüsseln.

Mit Windows 10 Bordmitteln ist das Verschlüsseln mit dem Tool Bitlocker möglich, allerdings nicht bei der Home-Edition. Sofern Sie es nutzen wollen, sollten Sie den Wiederherstellungsschlüssel nicht in einem Microsoft-Konto speichern, da eine Speicherung von Passwörtern in der Cloud nicht unproblematisch ist. Die Verschlüsselung kann in Windows-Netzwerken von den Administrator*innen zentral gemanagt werden.

Da es sich bei Bitlocker um proprietäre Software handelt, kann nicht von außen überprüft werden, ob eine Entschlüsselung der Festplatte durch Dritte ausgeschlossen werden kann, weshalb wir das Tool nicht empfehlen.

Der Vollständigkeit halber verweisen wir auf eine Anleitung, die Support-Seiten von Windows sind leider nicht sonderlich hilfreich: www.heise.de/tipps-tricks/BitLocker-auf-Windows-10-Festplatte-richtig-verschluesseln-4325375.html (Achtung: Die Webseite nutzt Aktivitätenverfolgung und bindet weitere externe Dienste ein).

Wir empfehlen die Open Source Software VeraCrypt, die kostenlos verfügbar ist. VeraCrypt hat eine Englisch-sprachige Benutzeroberfläche, die wir hier nutzen. Sie können in VeraCrypt unter dem Menüpunkt Settings > Language die Sprache wechseln.

Planen Sie für die Verschlüsselung der Festplatte etwas Zeit ein. Die unten  beschriebenen Schritte dauern ca. 30 min, die eigentliche Verschlüsselung benötigt aber meist länger als eine Stunde – für eine 512 GB SSD waren es ganze 2 Stunden. Während dieser Zeit sollten Sie das Gerät nicht anderweitig nutzen. VeraCrypt erlaubt zwar die Verschlüsselung zu unterbrechen und wieder aufzunehmen – wir haben die Festplatte aber nonstop verschlüsselt.

Wir empfehlen vor der Verschlüsselung einen System-Wiederherstellungspunkt anlegen, eine Anleitung finden Sie in unserem Blog-Beitrag.

Sie benötigen außerdem einen USB-Stick, der als RESCUE-USB-STICK, sozusagen  als „Rettungs-Laufwerk“ genutzt werden kann, falls es irgendwann einmal Probleme mit dem Windows-System geben sollte. Diesen USB-Stick sollten Sie danach nicht mehr für andere Dateien nutzen, sondern lediglich sicher und wieder auffindbar verwahren.

Es genügt ein älterer USB-Stick mit weniger als 1 GB, da nicht einmal 8 MB belegt werden. Das Passwort wird nicht auf dem USB-Stick gespeichert und – sofern Sie die Verschlüsselung auf mehreren Geräten anwenden, genügt ein USB-Stick für alle.

Die Anleitung im Einzelnen:

  • Installation der Software VeraCrypt
  • Verschlüsseln der Systemfestplatte mit VeraCrypt
  • Dazwischen: Erzeugen des RESCUE-USB-STICKs

Und los geht es:

  1. Melden Sie sich mit einem Benutzerkonto an, das über administrative Rechte verfügt.
  2. Starten Sie einen Browser, z.B. Firefox, und rufen Sie die Seite https://www.veracrypt.fr/en/Downloads.html auf.
  3. Laden Sie dort den aktuellen Windows Installer herunter, hier ist es VeraCrypt Setup 1.24-Update6.exe
  4. Wechseln Sie in den Downloads-Ordner und starten Sie das Installationsprogramm VeraCrypt Setup 1.24-Update6.exe
  5. Bestätigen Sie die Dialoge für die Installation von VeraCrypt, es ist keine Anpassung der Standard-Einstellungen notwendig.
  6. Starten Sie das Programm VeraScript.

  7. Überfliegen Sie das empfohlene „Beginners Tutorial“, um etwas vertraut mit der Software zu werden (Menüpunkt Hilfe > Beginners Tutorial)
  8. Und dann kann es los gehen: Wählen Sie Create Volume aus
  9. Wählen Sie die dritte Option „Encrypt the system partition..“ aus und bestätigen mit Next
  10. Belassen Sie die Voreinstellung „Standard ..“ und bestätigen mit Next
  11. Wählen Sie einen Verschlüsselungsalgorithmus aus, voreingestellt ist AES mit SHA-512, dieser gilt als sicher
  12. Für die Verschlüsselung wird ein zufälliger Seed generiert, bewegen Sie die Maus dafür
  13. Bewegen Sie einige Zeit die Maus, bis sich der Fortschrittsbalken füllt und grün färbt, bestätigen Sie dann mit Format
  14. Nachträglich konnte ich keine Screenshots von VeraCrypt mehr machen, so dass diese hier zunächst fehlen 🙁
    Eventuell ist auch die Reihenfolge der Schritte nicht korrekt wiedergegeben oder ich habe etwas vergessen, aber die wichtigen Punkte sind auf jeden Fall erwähnt!
  15. Im einem der nächsten Schritte werden Sie aufgefordert einen RESCUE-USB-STICK anzulegen
  16. Das Programm erzeugt eine ZIP-Datei VeraCrypt Rescue Disk.zip, die Sie auf dem USB-Stick entpacken sollen, speichern Sie die ZIP-Datei im Ordner Eigene Dateien
  17. Stecken Sie den USB-Stick in einen USB-Port des Gerätes
  18. Öffnen Sie den Windows-Explorer und wählen den USB-Stick links in der Seitenleiste aus
  19. Klicken Sie mit der rechten Maustaste und wählen Sie im Kontextmenü Formatieren aus
  20. Wählen Sie als Dateisystem FAT32 und Bestätigen mit Starten
  21. Kopieren Sie die Datei VeraCrypt Rescue Disk.zip aus dem Ordner Eigene Dateien auf den USB-Stick
  22. Markieren Sie die Datei auf dem USB-Stick und klicken Sie mit der rechten Maustaste und wählen Alle extrahieren.. im Kontexmenü aus
  23. Im Dateiauswahl-Dialog wählen Sie den Hauptordner des USB-Sticks aus (im Screenshot D:\) und fahren mit Extrahieren fort
  24. Anschließend sollte auf dem USB-Stick ein Ordner EFI angelegt sein. So soll es sein!
  25. Wechseln Sie wieder zurück zum Programm VeraCrypt
  26. Dort werden Sie aufgefordert den USB-Stick auszuwerfen (Bitte im Windows-Explorer im Kontexmenü Auswerfen wählen) und wieder einzustecken
  27. Der USB-Stick wird vom Programm VeraCrypt getestet, erst wenn der RESCUE-USB-STICK OK ist, kann es mit der Verschlüsselung weiter gehen
  28. Das Programm Veracrypt veranlasst Sie noch, zwei Anleitungen zu drucken, diese können Sie als PDF drucken und die beiden PDF-Dateien mit auf dem USB-Stick ablegen
  29. Wählen Sie ein sicheres neues Passwort, dieses sollte gut merkbar und nicht zu kurz sein (empfohlen werden mind. 20 Zeichen). Sie werden es künftig regelmäßig eingeben müssen: Bei jedem Neustart und Aufwecken aus dem StandBy-Modus
    Verwenden Sie bitte weder das Passwort des Windows-Benutzerkontos und ebenso wenig das Passwort irgendeines sonstigen Accounts!
  30. Weitere Optionen wie eine PIM können Sie ignorieren
  31. Anschließend testen Sie mit VeraCrypt die Verschlüsselung der Festplatte
  32. VeraCrypt meldet zurück, dass der Verschlüsselungs-Test erfolgreich ist
  33. Schließen Sie das Gerät spätestens jetzt an die Stromversorgung an, damit es sich während der Verschlüsselung nicht ausschaltet. Ein Notebook legen Sie dafür am Besten an einen ungestörten Platz, da es einige Zeit dauern wird, bis die Verschlüsselung abgeschlossen ist
  34. Bei der Art der Verschlüsselung ist die Voreinstellung Schnell, bei Bedarf können Sie auch mehrfaches Überschreiben der Daten wählen (dauert aber länger)
  35. Sie können die Verschlüsselung dann mit VeraCrypt starten
    (es ist zwar möglich gleichzeitig an dem Gerät zu arbeiten bzw. die Verschlüsselung zu unterbrechen und später erneut zu starten, jedoch schadet es nciht, das Gerät in Ruhe zu lassen)
  36. Sie benötigen nun etwas Geduld. Der Fortschritt wird angezeigt, jedoch verlängert sich die restliche Zeit ab und an 🙁
  37. Irgendwann ist die Verschlüsselung abgeschlossen
  38. Fertig 🙂

Nach dem Windows-Neustart erscheint im schwarzen Monitor oben links eine Eingabeaufforderung „Password“, vermutlich mit ebenso unscheinbar kleiner Schriftgröße wie bei meinem Gerät.

Es dauert einen Moment, bis die Tastatur reagiert: Prüfen Sie deshalb, ob die Eingabe funktioniert, indem Sie auf beliebige Buchstabentasten tippen und wenn Sternchen angezeigt werden klappt es!
Die bereits eingegebenen Zeichen mit der Backspace-Taste (<-) wieder löschen.

Dann können Sie das Passwort langsam eingeben, ich vertippe mich regelmäßig 😉 und mit Return bestätigen, die nächste Eingabeaufforderung zur PIM einfach mit Return bestätigen und anschließend startet Windows.

Nachtrag: Windows-Updates & VeraCrypt

Bei größeren Windows-Updates könnte es erforderlich sein, dass Sie die Festplatte für das Update mit VeraCrypt entschlüsseln müssen, damit das Update aufgespielt werden kann. Bei den zwei Windows-Updates in der ersten Jahreshälfte 2020 war das jedoch nicht nötig.

Sofern es doch nötig sein sollte, muss die Systemfestplatte nach dem erfolgtem Update erneut verschlüsselt werden und der Rescue-USB-Stick muss dann ebenso neu bestückt werden.

Nachtrag: Bitlocker

Der Abschnitt zu Bitlocker ist überarbeitet, u.a.

Bitlocker ist erst ab Win 10 Pro verfügbar, weshalb ich es auf dem Gerät nicht testen konnte.

Der Wiederherstellungsschlüssel muss nicht zwingend im Microsoft-Konto gespeichert werden (Dank an Digitalcourage).

Nachtrag: VeraCrypt ist sicher!

Das BSI beauftragte eine Analyse durch das Fraunhofer Institut für Sichere Informationstechnologie, die keine gravierenden Schwachstellen fand. Potentielle Verbesserungsmöglichkeiten vor allem im Softwareentwicklungsprozess wurden vom VeraCrypt-Entwicklerteam aufgenommen und einige bereits in einem Patch berücksichtigt.

Autor: don't panic

Über das Pseudonym: "Don't panic" ist auf das Cover des legendären elektronischen Reiseführers durch die Galaxis gedruckt, damit ein Anhalter keine Angst verspürt. - The British author Arthur C. Clarke said Douglas Adams' use of "don't panic" was perhaps the best advice that could be given to humanity. cf. Wikipedia

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert