Kein Zugang für Unbefugte: Daten sicher verschlüsseln

Wer sensible Daten verschlüsseln möchte, kann auf zahlreiche Lösungen zurückgreifen. Während die Verschlüsselungsalgorithmen moderner Programme meist als sicher einzustufen sind, unterscheiden sich die einzelnen Tools vor allem darin, wie die verschlüsselten Daten gespeichert werden.

Eine Lösung, die einzelne Dateien verschlüsselt, ist relativ unkomfortabel. Jede Datei muss vor der Nutzung entschlüsselt werden. Häufig muss man sich jedoch darum kümmern, dass die entschlüsselte Fassung nach der Benutzung gelöscht wird.

Die meisten Verschlüsselungstools bieten zumindest eine sogenannte Containerlösung an. Dabei wird ein virtuelles Laufwerk in Form einer Image-Datei angelegt. Alle Dateien auf diesem Laufwerk sind automatisch verschlüsselt. Man benötigt sein Passwort nur, um das Laufwerk zu mounten.

Auch diese Lösung hat Nachteile, über die man sich im Klaren sein muss: Wer seinen Rechner unbeaufsichtigt lässt, ohne das Laufwerk auszuhängen, riskiert, dass jemand anderes Zugang zu allen Dateien im Container bekommt.

Außerdem gibt es ein Problem mit Containerdateien auf SSD-Laufwerken: Eine Containerdatei gilt auf dem Hostlaufwerk immer als belegt. Das heißt, eine vorhandene Unterstützung des TRIM-Befehls kann nicht greifen und die Performance sinkt. Derzeit bietet kein Betriebssystem eine TRIM-Unterstützung, die Teile einer Containerdatei als "ungenutzt" klassifiziert und die betroffenen Sektoren dem Controller meldet. Hier ist Raum für Verbesserungsbedarf.

Truecrypt

Als eines der besten Verschlüsselungsprogramme gilt Truecrypt. Die aktuelle Version 7.0 ist für Windows, Linux und Mac OS X verfügbar. Aufgrund der zahlreichen Wizards lässt es sich leicht aufsetzen und bedienen.

Das Programm erlaubt, eine Containerdatei anzulegen oder auch ganze Partitionen zu verschlüsseln. Das funktioniert auch mit der System-Partition von Windows. Letzteres ist wichtig, wenn man auch temporäre Dateien, etwa den Cache des Browsers, verschlüsseln möchte. In diesem Fall installiert TrueCrypt einen eigenen Bootloader, der vor dem Start nach dem Passwort fragt. Für den Fall, dass eine Betriebssysteminstallation oder -update den Bootloader überschreibt, wird eine bootfähige Rettungs-CDs erstellt.

TrueCrypt erlaubt, dass die unterstützten Verschlüsselungsalgorithmen AES, Twofish und Serpent miteinander kombiniert werden. Dann bleibt die Verschlüsselung gewahrt, falls für einen Algorithmus eine kryptologische Schwäche gefunden wird. Damit reduziert sich jedoch die Performance drastisch.

Auf neueren Intel-CPUs unterstützt Truecrypt den AES-NI-Befehlssatz, was den Durchsatz auf diesen Prozessoren stark erhöht. Voraussetzung ist allerdings, dass ausschließlich AES zur Verschlüsselung eingesetzt wird.

DiskCryptor

Eine gute Alternative zu TrueCrypt stellt DiskCryptor dar. Es wird nur für Windows angeboten, ist aber vollständig im Quellcode unter der GP-Lizenz verfügbar. Die TrueCrypt Collective License ist von der Free Software Foundation dagegen nicht als freie Lizenz anerkannt. DiskCryptor unterstützt auch bei verschlüsselten Systempartitionen den Ruhezustand. Zudem ist es kompatibel mit anderen Bootloadern, etwa GRUB. Es unterstützt ferner Sektorgrößen von mehr als 512 Byte, was den Durchsatz bei großen Festplatten, bei RAID-Systemen und SSDs erhöht. Der AES-NI-Befehlssatz wird unterstützt.

FreeOTFE

Wer neben Windows auch Linux auf seinem Rechner installiert hat, sollte über FreeOTFE als Verschlüsselungslösung nachdenken. Das Programm ist kompatibel mit den gängigen Partitionsverschlüsselungen für Linux, beispielsweise LUKS und dm-crypt. Voraussetzung ist natürlich, dass die Partition mit einem Dateisystem formatiert ist, dass sowohl von Windows als auch Linux unterstützt wird.

FreeOTFE kann Dateien als Container nutzen oder ganze Partitionen und Festplatten verschlüsseln. Es ist allerdings nicht möglich, die Systempartition von Windows zu verschlüsseln. Neben Passwörtern und USB-Sticks mit Keydateien unterstützt das Programm auch Smartcards und kommerzielle Security-Token als Authentifizierungsmöglichkeit.

Steganos Safe One

Ein einfache und schnelle Möglichkeit, Daten zu verschlüsseln, bietet Steganos Safe One. Das Programm erlaubt ausschließlich die Verschlüsselung in Containerdateien. Partitionen und Festplatten werden nicht unterstützt. Die kostenlose Freeware-Version für Windows ist auf zwei Container (Datensafes) mit je maximal 1 GByte beschränkt.

Als Schlüssel können nicht nur Passwörter und USB-Sticks genutzt werden, sondern auch ActiveSync-fähige Geräte wie PDAs und Digitalkameras. Eine weitere Besonderheit ist "Picpass". Damit lässt sich ein Datensafe auch durch Anklicken einer bestimmten Bildfolge öffnen. Das ist ideal für Nutzer mit gutem visuellen Gedächtnis, die sich sogenannte starke Passwörter wie 6U$Q%1i@ nicht merken können.

Advanced File Security Basic

Wer nur gelegentlichen Bedarf daran hat, Dateien zu verschlüsseln, findet mit Advanced File Security Basic eine gute Lösung. Es erlaubt die Verschlüsselung einzelner Dateien oder ganzer Verzeichnisbäume. Das Mounten eines verschlüsselten Verzeichnises als Laufwerk ist aber nicht möglich. Das Tool unterstützt auch den Versand verschlüsselter Dateien per E-Mail. Der Empfänger muss das Programm allerdings ebenfalls auf seinem Rechner installiert haben.