Wenn sensible Daten auf einem PC oder Notebook gespeichert sind, sollten diese auch mit einem ordentlichen Konzept vor Dritten geschützt werden. Mit einfachen Tools lässt sich ein Windows-Passwort knacken und Fremde haben Zugriff auf die Daten. Mit VeraCrypt lässt sich das komplette Windows-Betriebssystem verschlüsseln.
Ein Nachteil bei VeraCrypt ist, dass ein komplettes Backup vom Windows dann zwar möglich, aber sich eine Wiederherstellung als schwierig erweist. Das Backupprogramm muss die Verschlüsselung unterstützen. Auch solltest du beachten, dass sich die komplette Systemverschlüsselung auf die Performance des Computers auswirken kann. Sofern keine sehr leistungsstarke CPU im Einsatz ist, wird sich der PC während jedem Windows-Update, während jedem größeren Download oder einfach mitten drin wo man denkt, der PC macht doch gerade nichts, sehr träge und langsam anfühlen. Da diese Art von Auslastung nicht im Task-Manager feststellbar ist, wundert man sich oft, was denn gerade los ist. Diese Erfahrungen habe ich gemacht. Darüber sollte man sich vorher im Klaren sein.
Erstelle vor der Verschlüsselung unbedingt ein Backup. Durch eine falsche Konfiguration oder das Verlieren des Passworts verlierst du den gesamten Zugriff auf das Betriebssystem und deine Daten!
Vorbereitung
Auch für diese Verschlüsselung benötigst du einen leeren USB-Stick. Dieser muss als FAT32 formatiert sein und darf nicht größer als 8 GB sein, da FAT32 sonst nicht verfügbar ist.
Sollte dein USB-Stick zu groß sein...
... und sich nicht als FAT32 formatieren lassen, gehst du wie folgt vor. Stecke den USB-Stick zunächst an den PC an.
Starte die Eingabeaufforderung als Administrator. Öffne dazu das Startmenü von Windows und gib in der Suche cmd ein. Mache einen Rechtsklick auf den Suchtreffer und wähle im Kontextmenü Als Administrator ausführen aus.
Verwende folgenden Befehl, um diskpart zu starten:
diskpart
Um alle Laufwerke, die am Computer angeschlossen sind, auszugeben, verwendest du folgenden Befehl. USB-Geräte gehören ebenfalls dazu.
list disk
Merke dir die Nummer deines USB-Sticks und wähle diese aus.
select disk 2
Um alle Partitionen zu löschen und das Laufwerk quasi in den Ursprungszustand zu versetzen, verwendest du folgenden Befehl. Alle Daten auf dem USB-Stick werden gelöscht!
clean
Erstelle jetzt eine neue Partition mit 100 MB:
create partition primary size=100
Formatiere diese jetzt als FAT32:
format quick fs=fat32
Vergib noch einen freien Laufwerksbuchstaben für den Stick, beispielsweise D:
assign letter D
Der USB-Stick wurde nun als FAT32 formatiert und kann als späterer Rettungsdatenträger verwendet werden.
Hast du ein Backup der Festplatte und wichtigen Daten erstellt? Dann kann es losgehen.
System verschlüsseln
Lade dir, falls noch nicht geschehen, die neueste Version von VeraCrypt für Windows herunter und installiere das Programm.
In der oberen Menüleiste von VeraCrypt klickst du auf System System-Partition/Laufwerk verschlüsseln. Bestätige die kommende Sicherheitsmeldung mit Ja.
Bei der Art der System-Verschlüsselung bleibt Normal angewählt. Auch beim nächsten Schritt bleibt die Standardeinstellung Die Windows System-Partition verschlüsseln ausgewählt.
In der Regel befindet sich nur ein Betriebssystems auf der Festplatte, daher wählst du Ein Betriebssystem aus. Ist dies bei dir anders, wählst du Mehrere Betriebssysteme aus.
Im nächsten Schritt müssen die Verschlüsselungseinstellungen entschieden werden. Die Auswahl hier ist relativ irrelevant, lasse daher die Standardeinstellungen ausgewählt. Desto komplexer der Algorithmus, desto länger wird der Zugriff auf die Daten später dauern.
Nun wird das Passwort für die Verschlüsselung festgelegt. Überlege dir hierfür ein sehr ein sicheres mit Sonderzeichen, Zahlen und mindestens 12 Zeichen, damit es sicher genug ist. VeraCrypt empfiehlt sogar mindestens 20 Zeichen. Tipps für ein sicheres Passwort findest du hier: Tipps für ein sicheres und merkbares Passwort
Je nachdem wie sicher das System verschlüsselt werden soll, empfiehlt es sich noch eine PIM zu verwenden. Das Ganze kann man sich als Zwei-Faktor-Authentisierung vorstellen. Neben dem richtigen Passwort muss zum Entschlüsseln dann auch noch die richtige Zahl eingegeben werden. Bei einem Passwort kleiner als 20 Zeichen sollte dieser Wert im dreistelligen Bereich liegen, bei Passwörtern länger als 20 Zeichen im Zweistelligen. Wer es aber ganz sicher haben möchte und einem der lange Systemstart egal ist, kann auch eine Vierstellige nehmen.
Jetzt werden Zufallswerte für die Verschlüsselung generiert, indem du deine Maus umher bewegst. Desto länger du sie bewegst, desto zufälliger werden die generierten Werte.
Klicke anschließend auf Weiter und auf der nächsten Seite ebenfalls auf Weiter.
Falls der VeraCrypt-Bootloader oder das Windows-Betriebssystem beschädigt werden, wird ein Rettungsdatenträger benötigt. Dieser wird in diesem Schritt erstellt. Wähle hier die lokale Festplatte aus.
Entpacke nun die erstellte ZIP-Datei auf den USB-Stick im Hauptverzeichnis. Das heißt, auf dem USB-Stick ist der erste sichtbare Ordner EFI.
Ist dies geschehen, klickst du auf Weiter. Eine Erfolgsmeldung sollte nun erscheinen. Stecke den USB-Stick ab und bewahre ihn an einem sicheren Ort auf. Am besten erstellst du auch noch eine Kopie der ZIP-Datei. Der Rettungsdatenträger ist an diese Verschlüsselung gebunden, wird eine weitere Partition verschlüsselt oder neu verschlüsselt, ist dieser Stick nicht mehr zu gebrauchen.
Im nächsten Schritt kann Sicher löschen aktiviert werden. Vorhandene Daten werden jetzt von VeraCrypt in verschlüsselter Form überschrieben. Da beim Löschen dieser alten Daten nicht wirklich gelöscht, sondern nur für Neues freigegeben wird, könnte man diese wiederherstellen. VeraCrypt bietet daher einen Durchlauf von bis zu 256 Durchgängen an, diese Daten mit zufälligen Zahlen zu überschreiben. Desto mehr Durchgänge, desto sicherer, aber desto länger dauert der folgende Vorgang auch.
Im letzten Schritt führt VeraCrypt noch einen Test durch, bevor die Verschlüsselung beginnt. Sobald du auf Test klickst, musst du noch bestätigen, dass die Bootloader-Texte lediglich auf englisch sind. Dann wird der Computer neu gestartet, du wirst vor dem Start von Windows gebeten, dein festgelegtes Passwort einzugeben.
Nach dem Neustart meldest du dich in Windows wie gewohnt an, VeraCrypt öffnet sich automatisch und teilt das Test-Ergebnis mit. War er erfolgreich, kannst du mit klicken auf Verschlüsseln mit der Verschlüsselung beginnen.
Die Verschlüsselung kann dabei je nach Größe des Laufwerkes und der gewählten Stufe von "sicher löschen" einige Stunden Zeit in Anspruch nehmen. Der Vorgang kann jederzeit pausiert werden.
Nachdem das System verschlüsselt wurde, klickst du auf Fertig stellen. Das Laufwerk wurde nun verschlüsselt. Ab sofort musst du dann bei jedem Systemstart dein festgelegtes Passwort eingeben.
Festplatte entschlüsseln
Möchtest du die Verschlüsselung dauerhaft entfernen und die Festplatte in den ursprünglichen Zustand versetzen, machst du in VeraCrypt einen Rechtsklick auf das Volumen der Festplatte und wählst hier Dauerhaft entschlüsseln aus. Befolge hier nun die weiteren Schritte.
Lösung für: "Automatische Reparatur wird vorbereitet" oder "Der PC/das Gerät muss repariert werden"
Ist der VeraCrypt-Bootloader korrupt bzw. nicht im Bootmenü aufgelistet, wird versucht, direkt Windows zu starten. Das klappt natürlich nicht, da das System verschlüsselt ist. Es wird daher eine automatische Reparatur gestartet, welche erfolglos endet. In diesem Falle benötigt man den Rettungsdatenträger.
Stecke diesen an den PC an und boote von ihm. Im Menü drückst du un zunächst M für Restore VeraCrypt loader to boot menu und anschließend noch R.
Drücke jetzt E, um neu zu starten. Stelle sicher, dass in der Bootreihenfolge im BIOS der VeraCrypt-Bootloader an oberster Stelle steht. Es wird nun wieder nach dem Passwort gefragt und Windows startet wie gehabt.
Lösung für: "Wrong password, PIM or HASH" trotz richtiger Eingaben
Ist der VeraCrypt-Header korrupt, erhält man nach jeder Passwort-Eingabe, dass diese falsch ist, obwohl alles richtig eingegeben wurde. Auch in diesem Falle wird der Rettungsdatenträger benötigt.
Stecke diesen an den PC an und boote von ihm. Im Menü wählst du nun Restore OS header keys aus. Nun wirst du gebeten, das Passwort einzugeben und, falls gesetzt, die PIM. Achte darauf, dass die Eingaben wirklich richtig sind! Außerdem muss noch die Festplatte ausgewählt werden, auf welcher die Verschlüsselung ist, und den Restore mit Y bestätigt werden.
Danach kann der PC neu gestartet werden und das richtige Passwort wird wieder akzeptiert.
Bei Fragen oder Anregungen freue ich mich natürlich über eure Kommentare.
Über mich
Ich bin Janis (aka. EurenikZ), 25 Jahre alt und komme aus der Nähe von Frankfurt am Main. Ich habe eine abgeschlossene IHK-Ausbildung zum Fachinformatiker für Systemintegration und arbeite als Junior IT-Administrator in einem IT-Systemhaus. Neben meinem IT-Blog beschäftige ich mich viel mit diversen IT-Themen und meinen Webseiten sowie Telegram Bots und biete IT-Dienstleistungen an.
