Private Dokumente wie Lebensläufe, Fotos, Zeugnisse, Rechnungen und Arztbescheide sollten niemals im Internet aufbewahrt werden. Denn sowohl Cloud-Storage-Provider als auch Freemail-Anbieter werten die persönlichen Daten ihrer Benutzer aus, um maßgeschneiderte Werbeprofile erstellen zu können. Des Weiteren haben US-Behörden direkten Zugriff auf die Kundenarchive von amerikanischen Webdienstleistern, weshalb Amazon, AOL, Dropbox, Google, Microsoft und Co. dafür sorgen, dass die Geheimdienstdatenbanken der NATO-Partner aktuell bleiben.
Der CLOUD Act verpflichtet amerikanische Unternehmen dazu, auf ausländischen Servern gespeicherte Kundendaten herauszurücken, wenn US-Behörden dies verlangen. Ganz ohne richterlichen Beschluss. Und ohne die Kunden darüber informieren zu müssen.
Komes, Antonio: Die EU und Amerika im Daten-Clinch. In: Chip Nr. 1 (2019). S. 34.
Hingegen die chinesische Volksbefreiungsarmee¹ versucht etwas subtiler an westliche Benutzerdaten zu kommen, indem sie modifizierte Mainboardchips in die Serverzentren der Cloud-Anbieter einschleust.
Laut einem Bloomberg-Bericht sind im Data-Center-Equipment von Amazon und Apple chinesische Spionage-Chips verbaut.
Kaufmann, Benedikt: Spionage-Chips bei Apple und Amazon! Riesenskandal oder Ente? deraktionaer.de (01/2019).
Es scheint so, als seien persönliche Daten heiße Ware und das Öl der Postmoderne. Aus diesem Grund ist es sinnvoll, sensible Dateien ausschließlich auf lokalen Partitionen zu speichern. Doch auch diese Maßnahme schützt nicht vor Missbrauch. Schließlich können selbst Linux-Rechner mit einem Erpressungstrojaner oder mit einem UEFI-Rootkit infiziert werden.
UEFI-Rootkits seien extrem gefährliche und mächtige Werkzeuge für Cyberangriffe. Sie garantieren den Zugriff auf den gesamten Computer und können mit Zusatz-Malware beispielsweise auch den Datenverkehr mitschneiden oder umlenken.
Richey, Daniel: Erstes erfolgreiches UEFI-Rootkit. it-administrator.de (01/2019).
In einem solchen Worst-Case-Szenario sind alle privaten Dokumente eingefroren, gelöscht oder auf dem Computer des Angreifers.
Wer Datenentführungen effizient verhindern möchte, der sollte seinen digitalen Besitz auf einer Partition ablegen, die mit VeraCrypt verschlüsselt wurde. Diese Linux-Applikation sorgt nämlich dafür, dass abgesicherte Speicherbereiche für Hacker und Schadsoftware weder sichtbar noch zugänglich sind.
Für die Festplattenverschlüsselung stellt VeraCrypt gängige Algorithmen wie AES, Camellia oder Serpent zur Verfügung, die auch miteinander kombiniert werden können. Des Weiteren ist es mit der Open-Source-Software möglich, einen Datenträger mit einem Passwort und mit einem sogenannten Keyfile abzuschließen.
Auch das Festlegen mehrerer Keyfiles ist möglich. Der Typ der Datei spielt dabei keine Rolle - Bild- und Tondokumente eignen sich genauso wie Textfiles oder Binaries.
Leichtenstern, Thomas: Panzerschrank. Dateien und Partitionen verschlüsseln mit VeraCrypt. In: LinuxUser Nr. 8 (2018). S. 42.
Die erste VeraCrypt-Version erschien am 22. Juni 2013². Seitdem wird das Verschlüsselungsprogramm in Paris von einem Kryptologen³ namens Mounir Idrassi weiterentwickelt. Die Sicherheitssoftware ist vor allem deshalb sehr beliebt, da der französische Applikationsurheber bei jeder Gelegenheit beteuert, dass in seinem Produkt kein geheimes Hintertürchen versteckt ist.
[...] the fact that it is open, there is no backdoor [...].
Idrassi, Mounir: FLOSS Weekly 340: VeraCrypt. youtube.com (01/2019).
Das bestätigte auch das Forschungsinstitut Quarkslab, das VeraCrypt im Jahre 2016 unter die Lupe genommen hat. Bei dem Intensivcheck kamen zwar einige andere Sicherheitsmängel ans Licht, die mit Version 1.19 jedoch alle behoben wurden.
Im Jahr 2016 unterzog das Unternehmen Quarkslab in Zusammenarbeit mit der Initiative Ostif die Software einem umfangreichen Security-Audit. Er förderte diverse Sicherheitslöcher zutage, die das Projekt umgehend behob.
Leichtenstern, Thomas: Verriegelt. Dateien und Partitionen verschlüsseln mit VeraCrypt. In: Ubuntu Spezial Nr. 1 (2019). S. 86.
Leider ist die Bedienung der Verschlüsselungssoftware etwas umständlich, weshalb ein VeraCrypt-Volumen eher ein Speicherort für statische Daten ist, die nicht permanent präsent sein müssen.
- Falls Sie also Beweismaterial, ein großes Fotoarchiv oder Bewerbungsmappen verstecken und absichern möchten, dann kann ich Ihnen VeraCrypt wärmstens empfehlen.
In der folgenden Anleitung erfahren Sie zunächst, wie das kostenlose Programm unter Ubuntu installiert wird. Im Anschluss daran führe ich Sie durch die Verschlüsselungsprozedur. Dabei sehen Sie gleich, was heutzutage alles nötig ist, um sein digitales Eigentum langfristig zu schützen.
VeraCrypt via PPA installieren
Szenario: Die Soziologie-Pflichtvorlesungen sind stinklangweilig, weshalb ich vor Kurzem die 0%-Finanzierung eines Elektrofachgeschäfts in Anspruch genommen und mir ein Netbook gekauft habe. Mit dem unscheinbaren Gerät kann ich meinen virtuellen FarmVille-Bauernhof pflegen, währenddessen die Professoren ihre PowerPoint-Folien herunterbeten. Doch leider klauen meine Kommilitonen an der Freien Universität Berlin wie die Raben, weswegen ich davon ausgehe, dass mein Klapprechner nicht lange in meinem Besitz bleiben wird. Sollte mir mein mobiler Computer tatsächlich abhandenkommen, dann will ich zumindest verhindern, dass meine Seminararbeiten, Welteroberungspläne und Musik-Dateien frei zugänglich sind. Aus diesem Grund erstellte ich bereits bei der Ubuntu-Installation eine kleine Partition, die ich nun mit VeraCrypt verschlüsseln möchte.
Dementsprechend öffne ich zunächst einmal ein neues Terminal-Fenster, um mein Linux-System mit einer neuen Paketquelle auszustatten:
sudo add-apt-repository ppa:unit193/encryption
Wichtig: Diese private Repository wird nicht von Mounir Idrassi betrieben. Der PPA-Besitzer ist eine amerikanische Gruppe, die sich Unit193 nennt. Dabei handelt es sich um ein Team, das an der Xubuntu-Entwicklung beteiligt ist. Nebenbei sorgen die freiwilligen IT-Helfer seit Jahren dafür, dass sich VeraCrypt komfortabel über die Konsole installieren und aktualisieren lässt.
Als Nächstes soll mein APT-Dienst alle hinterlegten Programmquellen neu einlesen:
sudo apt-get update
Gleich danach rüste ich mein Ubuntu mit dem französischen Datenverschlüsselungswerkzeug aus:
sudo apt-get install veracrypt
Hinweis: Nach Abschluss des Installationsprozesses muss ich mich nie wieder um die Applikation kümmern. Zukünftige Softwareverbesserungen kann ich bequem zusammen mit den anderen Systemupdates über die Aktualisierungsverwaltung einspielen.
Eine ganze Partition abriegeln
Im nächsten Schritt möchte ich meine freie Netbook-Partition mit VeraCrypt verschlüsseln. Dementsprechend öffne ich die Freeware über die Ubuntu Aktivitäten-Suchleiste und klicke gleich danach auf die Schaltfläche „Create Volume”.
Daraufhin erscheint ein neues Fenster, in diesem ich festlegen muss, ob ich einen definierten Bereich oder eine ganze Partition verschlüsseln möchte. Hier wähle ich den zweiten Punkt aus und bestätige meine Eingabe mit „Next”.
Im Anschluss daran markiere ich den Eintrag „Standard VeraCrypt volume”. Die Versteckfunktion ist für mich eher uninteressant, da sie vor allem für Benutzer aus Großbritannien hinzugefügt wurde. Im Vereinigten Königreich können Gerichte einen Beschuldigten nämlich dazu zwingen, sein Passwort herauszugeben.
In Großbritannien ist ein Student zu einer sechsmonatigen Haftstrafe verurteilt worden. [...] In England ist es seit mehreren Jahren möglich, Beschuldigte zur Herausgabe von Passwörtern zu zwingen.
Vetter, Udo: Kein Passwort = Gefängnis. lawblog.de (01/2019).
In einem solchen Fall hilft ein „Hidden VeraCrypt volume” ungemein, da eine derartige Partition in einem abgeschlossenen Alibicontainer versteckt ist. Durch dieses smarte System hat ein Justizopfer die Möglichkeit, einen verschlüsselten Festplatteninhalt bereitwillig offenzulegen, ohne dabei seine geheimen Daten preiszugeben.
Dazu werden zwei Container erstellt, wobei der zweite innerhalb des ersten liegt. Beide Container verwenden unterschiedliche Passphrasen.
Gierow, Hauke: VeraCrypt und TrueCrypt: Hidden-Volumes sind nicht versteckt. golem.de (01/2019).
Als BRD-Bürger aus dem Freistaat Bayern habe ich jedoch stets das Recht zu schweigen, weshalb ich mir diesen Trick sparen kann. Des Weiteren sind auch Standard-Volumen schwer zu finden, da der Ubuntu-Dateimanager diese Datenträger im ausgehängten Zustand nicht anzeigt.
Als Nächstes klicke ich im Menüfenster „Volume Location” auf die Schaltfläche „Select Device”, sodass ich daraufhin die Partition heraussuchen kann, die ich mit VeraCrypt verschlüsseln möchte.
Gleich danach muss ich festlegen, wie genau der ausgewählte Speicherraum abgesichert werden soll. Aufgrund der Tatsache, dass es vor allem westliche Institutionen auf meine Daten abgesehen haben, entscheide ich mich für den russischen Kuznyechik-Verschlüsselungsalgorithmus.
Hingegen den sogenannten Header der VeraCrypt-Partition, in dem sich unter anderem meine Passwortphrase befindet, codiere ich mit der kryptologischen Hashfunktion SHA-512.
Im nächsten Menü muss ich zweimal das Passwort eingeben, mit dem sich meine VeraCrypt-Partition wieder entschlüsseln lässt. Außerdem könnte ich zusätzlich ein Keyfile erstellen. Auf diese erweiterte Sicherheitsfunktion verzichte ich jedoch. Denn sollte ich die Schlüsseldatei verlieren, dann kann ich nie wieder auf das abgeriegelte Laufwerk zugreifen.
Als jemand der ausschließlich mit Linux-Distributionen arbeitet, wähle ich im darauffolgenden Fenster das Dateisystem Ext4 aus. Würde ich ein Multi-Boot-System betreiben, dann müsste ich mich für NTFS entscheiden, da ich sonst nicht mit Windows oder macOS auf die verschlüsselte Partition zugreifen könnte.
Um die Prozedur abzuschließen, bewege ich meine Maus im letzten Einstellungsmenü so lange, bis der erste Balken komplett blau gefärbt ist.
Wenn du alles nach deinen Wünschen eingestellt hast, wirst du zuletzt noch aufgefordert, deine Maus für kurze Zeit möglichst zufällig zu bewegen. Diese Bewegungen nutzt das Programm zur Generierung von Zufallszahlen, die es für eine sichere Verschlüsselung benötigt.
Lehmann, Alexander: Daten Verschlüsseln einfach erklärt. youtube.com (01/2019).
Nach der Zahlengenerierung klicke ich auf die Schaltfläche „Format” und warte, bis mein VeraCrypt-Datenträger erstellt wurde.
Hinweis: Die Verschlüsselung einer vier Terabyte großen Partition nimmt circa sechs Stunden in Anspruch.
Mit VeraCrypt-Partitionen arbeiten
Szenario: Gleich nach Beendigung des Verschlüsselungsprozesses möchte ich meine Seminararbeiten und Musik-Dateien von meiner Home-Partition auf mein neues VeraCrypt-Volumen verschieben. Bevor diese Aktion möglich ist, muss ich den abgeriegelten Datenträger aber erst einmal einhängen. Also öffne ich die französische Sicherheitssoftware über die Ubuntu Aktivitäten-Suchleiste. Danach markiere ich das dritte Festplattensymbol, das sich im Reiter „Slot” befindet.
Als Nächstes klicke ich auf die Schaltfläche „Select Device”. Direkt im Anschluss erscheint ein neues Fenster, in dem mir alle vorhandenen Systempartitionen angezeigt werden. Hier suche ich mein VeraCrypt-Volumen heraus und wähle dann im Hauptmenü den Eintrag „Mount” an, sodass ich daraufhin mein Entschlüsselungspasswort eingeben kann.
Sofort nachdem ich die Partition geöffnet habe, taucht in meinem Ubuntu-Dateimanager ein neues Gerät auf, das den Namen „volume” trägt. Dabei handelt es sich um meinen verschlüsselten Datenträger, der nun dazu bereit ist, meine privaten Dokumente aufzunehmen.
Die Vorteile von VeraCrypt im Überblick
Die Benutzeroberfläche der Krypto-Software ist etwas umständlich zu bedienen und für Linux-Benutzer nicht in deutscher Sprache erhältlich. Wenn Sie über diese Kleinigkeiten hinwegsehen können und sich für VeraCrypt entscheiden, dann profitieren Sie von den folgenden Vorteilen:
- Das mächtige Verschlüsselungsprogramm ist ein kostenloses Produkt, das in Europa entwickelt wird und keine Backdoors enthält.
- Die breit gefächerte Algorithmensammlung macht es möglich, ein Speichervolumen nach eigenen Präferenzen abzuriegeln. Außerdem lassen sich mit der Versteck- und Keyfile-Funktion neugierige Exekutivorgane effektiv austricksen.
- Eine renommierte PPA hält die Applikation stets aktuell und sorgt dafür, dass die VeraCrypt-Installation unter Ubuntu ein Kinderspiel ist.
In finsteren Zeiten wie diesen gibt es keinen vernünftigen Grund, seine persönlichen Daten offen auf einer lokalen Partition liegen zu lassen. Nutzen Sie also meine Anleitung als Muster, investieren Sie einige Stunden und bringen Sie Ihre sensiblen Dokumente hinter Schloss und Riegel. Nehmen Sie gerne alle Sicherheitsmechanismen in Anspruch, die VeraCrypt Ihnen bietet. Und sollte Sie deswegen ein Homo smartphonensis als Aluhutträger oder Verschwörungstheoretiker betiteln, dann fühlen Sie sich geschmeichelt.
Verwandte Themen:
Die sicherste Firefox-Version installieren - so geht’s
LAN-Verbindung schützen - SMBv2-Protokoll verwenden
¹Windeck, Christof: Bit-Rauschen. PC-Revolutionen, Kursschwankungen und Spionage-Chips. In: c’t Nr. 22 (2018). S. 18.
²IDRIX: Why not VeraCrypt. forum.truecrypt.ch (01/2019).
³Schirrmacher, Dennis: c’t uplink 12.5 - HoloLens, 360-Grad-Kameras, VR-Inhalte selbst gemacht, VeraCrypt. youtube.com (01/2019).