Datenverschlüsselung für USB-Sticks mit TrueCrypt

TrueCrypt (90px + transparenter Rand)
Haben Sie schon einmal darüber nachgedacht, was passieren könnte, wenn Sie Ihren USB-Stick verlieren? Was wäre, wenn die darauf gespeicherten Daten jemandem in die Hände fallen, der Ihnen nicht gut gesinnt ist? Wenn sie sich vor unliebsamen Überraschungen schützen wollen, sollten Sie Ihre Daten besser verschlüsseln – zum Beispiel mit TrueCrypt.

Was ist TrueCrypt?

TrueCrypt ist ein Open-Source-Programm zur Verschlüsselung von Datenträgern, Partitionen oder Dateien und Verzeichnissen. TrueCrypt ist kostenlos und kann aus dem Internet heruntergeladen werden. Das Programm arbeitet plattformübergreifend und eignet sich damit für den Einsatz sowohl unter Windows als auch unter Linux und Mac OS X. Der Einsatz von TrueCrypt 7.0a zur Verschlüsselung eines USB-Sticks wird hier beispielhaft unter Windows XP gezeigt.

Wichtig: Daten sichern!
Im hier gezeigten Beispiel möchte ich Ihnen erklären, wie Sie einen ganzen USB-Stick - das heißt eine Partition, die den ganzen USB-Stick belegt - verschlüsseln können. Dazu sollten Sie entweder einen neuen, noch leeren USB-Stick benutzen, oder aber die vorhandenen Daten vom USB-Stick beispielsweise auf die Festplatte Ihres Computers sichern. Falls Sie bei der Verschlüsselung etwas verkehrt machen, werden nämlich möglicherweise alle Daten auf dem USB-Stick gelöscht. Wenn Sie in diesem Fall ein Backup haben, können Sie die gesicherten Daten wieder zurück auf den USB-Stick speichern.

Installation

Zu erst müssen Sie TrueCrypt von http://www.truecrypt.org herunterladen und installieren. Dazu starten Sie nach dem Download die ausführbare Datei.

Sollten Sie bereits eine ältere Version des Programms benutzen, so bietet Ihnen TrueCrypt die Möglichkeit eines Upgrades an (wie hier im Bild gezeigt).

TrueCrypt 7.0a: Auswahl des Installationsmodus'TrueCrypt 7.0a: Auswahl des Installationsmodus'

Während der Installation fragt TrueCrypt Sie danach, wo sie das Programm installieren wollen und welche Verknüpfungen erzeugt werden sollen.

TrueCrypt 7.0a: InstallationseinstellungenTrueCrypt 7.0a: Installationseinstellungen

Normalerweise können Sie die vorgegebenen Einstellungen einfach beibehalten und die Installation (bzw. das Upgrade) beginnen.

TrueCrypt 7.0a: InstallationsprozessTrueCrypt 7.0a: Installationsprozess

Nach der erfolgreichen Installation müssen Sie den Computer gegebenenfalls neu starten, um TrueCrypt in Betrieb nehmen zu können.

TrueCrypt 7.0a: Neustart erforderlichTrueCrypt 7.0a: Neustart erforderlich

Sprachanpassung

Wie Sie sehen können, ist TrueCrypt in englischer Sprache gehalten. Um eine deutsche Version benutzen zu können, müssen Sie separat das deutsche Sprachpaket von http://www.truecrypt.org/localizations herunterladen und installieren.

Einen USB-Stick verschlüsseln

Vorab eine kleine Klarstellung zur Terminologie. Ich benutze im Beispiel einen 4 GB großen USB-Stick (der tatsächlich nur 3,7 GB Speicherplatz hat). Auf diesem USB-Stick befindet sich genau eine Partition, die den gesamten verfügbaren Speicherplatz belegt. Wenn ich hier davon rede, "den USB-Stick zu verschlüsseln", meine ich damit, die auf dem USB-Stick vorhandene Partition zu verschlüsseln.

USB-StickUSB-Stick

USB-Stick auswählen

Um nun die Partition auf dem USB-Stick zu verschlüsseln, starten Sie zuerst TrueCrypt. Sie sehen dann ein Fenster, in dem oben eine Reihe von Laufwerksbuchstaben angezeigt werden. Die Liste enthält alle Laufwerksbuchstaben, die noch nicht belegt sind.

TrueCrypt 7.0a: AuswahlfensterTrueCrypt 7.0a: Auswahlfenster

Wählen Sie aus der Liste einen beliebigen Laufwerksbuchstaben aus (1) und klicken Sie auf die Schaltfläche mit der Aufschrift "Create Volume" (2). Daraufhin erscheint der "TrueCrypt Volume Creation Wizard" und fragt Sie danach, wie Sie ihre Daten verschlüsseln möchten.

TrueCrypt 7.0a: Volume Creation WizardTrueCrypt 7.0a: Volume Creation Wizard

Für unseren USB-Stick bietet sich die zweite Option – "Encrypt a non-system partition/drive" – an. Wählen Sie also die Option aus (1) und klicken Sie auf "Next" (2).

Als Nächstes fragt Sie TrueCrypt nach dem Typ für die Verschlüsselung. Wählen Sie hier "Standard TrueCrypt volume" aus und klicken Sie wieder auf "Next".

Daraufhin will TrueCrypt von ihnen wissen, wo sich der USB-Stick befindet ("Volume Location").

Klicken Sie also auf die Schaltfläche "Select Device...".

TrueCrypt 7.0a: Auswahl der zu verschlüsselnden PartitionTrueCrypt 7.0a: Auswahl der zu verschlüsselnden Partition

Daraufhin zeigt Ihnen TrueCrypt ein Fenster an, in dem alle Laufwerke mit ihrem Laufwerksbuchstaben angezeigt werden.

TrueCrypt 7.0a: Auswahl der Partition auf dem USB-StickTrueCrypt 7.0a: Auswahl der Partition auf dem USB-Stick

Wählen Sie aus der Liste den Eintrag für Ihren USB-Stick aus. Im gezeigten Beispiel ist es das Laufwerk "L:", hinter dem sich die erste und einzige Partition auf dem USB-Stick verbirgt. Schließen Sie die Auswahl mit einem Klick auf "OK" ab. Der Wizard bestätigt Ihnen dann Ihre Auswahl.

TrueCrypt 7.0a: Anzeige der ausgewählten PartitionTrueCrypt 7.0a: Anzeige der ausgewählten Partition

Mit Klick auf "Next" gehen Sie zum nächsten Schritt.

Hinweis fürs Nachvollziehen: Wenn Sie unsicher sind, schauen Sie im Zweifel lieber noch einmal im Windows Explorer nach, welchen Laufwerksbuchstaben ihr USB-Stick hat.

Verschlüsseln und formatieren?

Als Nächstes gibt TrueCrypt einen Warnhinweis aus und fragt noch einmal nach, ob Sie wirklich die ganze Partition auf dem USB-Stick verschlüsseln wollen.

TrueCrypt 7.0a: Warnhinweis und NachfrageTrueCrypt 7.0a: Warnhinweis und Nachfrage

Beantworten Sie die Frage mit "Ja". Anschließend klicken Sie auf "Next", woraufhin TrueCrypt Sie fragt, ob Sie den USB-Stick verschlüsseln und formatieren wollen, oder nur verschlüsseln. Die erste Variante ist deutlich schneller und bietet sich bei neuen, leeren USB-Sticks an. Im vorliegenden Beispiel wird diese Variante gewählt (1) und mit Klick auf "Next" bestätigt (2).

TrueCrypt 7.0a: Auswahl des Verschlüsselungsmodus'TrueCrypt 7.0a: Auswahl des Verschlüsselungsmodus'

Noch einmal: Wenn Sie einen USB-Stick verschlüsseln möchten, auf dem bereits Daten gespeichert sind, so denken Sie unbedingt daran, vorher eine Datensicherung anzulegen!

Verschlüsselungsverfahren wählen

Nun gilt es, ein geeignetes Verschlüsselungsverfahren auszuwählen. Die hier getroffene Auswahl hat unter anderem Einfluss darauf, wie stark ihr Computer beim Zugriff auf den verschlüsselten USB-Stick durch die Ver- und Entschlüsselung der Daten belastet wird.

TrueCrypt 7.0a: Auswahl von Verschlüsselungsverfahren und Hash-VerfahrenTrueCrypt 7.0a: Auswahl von Verschlüsselungsverfahren und Hash-Verfahren

Die angebotenen Verschlüsselungsalgorithmen gelten bei Fachleuten alle als sicher. Der AES-Algorithmus (1) wurde in den USA zur Verschlüsselung von Staatsgeheimnissen zugelassen. Damit können Sie also nicht viel falsch machen.

Neben dem Verschlüsselungsverfahren müssen Sie auch noch einen sogenannten Hash-Algorithmus auswählen. Im vorliegenden Beispiel habe ich mich für RIPEMD-160 entschieden (2). (Um Ihnen zu erklären, was es mit dem Hash-Algorithmus auf sich hat, müsste ich in die Theorie der Kryptologie einsteigen. Das erspare ich Ihnen aber lieber ...)

Wenn Sie fertig sind, bestätigen Sie Ihre Auswahl mit einem Klick auf "Next" (3).

Nun bittet Sie TrueCrypt noch einmal zu bestätigen, dass die Größe der für die Verschlüsselung ausgewählten Partition korrekt ist. An dieser Stelle können Sie noch einmal überprüfen, ob Sie tatsächlich den USB-Stick ausgewählt haben. Ist das der Fall, bestätigen Sie die Auswahl mit Klick auf "Next".

TrueCrypt 7.0a: Bestätigung der ausgewählten PartitionTrueCrypt 7.0a: Bestätigung der ausgewählten Partition

Sicheres Passwort auswählen

Um den Schlüssel für den verschlüsselten USB-Stick vor unbefugten Zugriffen zu schützen, setzt TrueCrypt einen Passwort-Schutz ein. Sie müssen das Passwort zweimal eingeben, um Tippfehler auszuschließen.

TrueCrypt 7.0a: Password-EingabeTrueCrypt 7.0a: Password-Eingabe

Wichtiger Hinweis: Bedenken Sie, dass ein leicht zu erratendes Passwort keine große Hürde darstellt.
Wenn sich Ihr Passwort innerhalb von Sekunden überwinden lässt, können Sie sich die Mühe mit der Datenverschlüsselung auch gleich sparen. Entscheiden Sie sich also für ein sicheres Passwort - je länger und komplizierter desto besser. Und je wichtiger die Daten sind, die sie schützen wollen, desto länger und komplizierter sollte Ihr Passwort ausfallen. (Tipp: In unserem Artikel "Passwörter - die Schlüssel zu Computer und Internet" erklären wir Ihnen, wie Sie sich ein sicheres Passwort merken können.)

Nachdem Sie Ihr Passwort eingegeben und nochmals bestätigt haben, klicken Sie auf "Next". Sollten Sie ein kurzes Passwort gewählt haben, gibt Ihnen TrueCrypt noch einmal einen Sicherheitshinweis verbunden mit der Empfehlung, ein Passwort von mindestens 20 Zeichen Länge zu wählen.

TrueCrypt 7.0a: Warnung vor kurzen PasswörternTrueCrypt 7.0a: Warnung vor kurzen Passwörtern

Sollten sie weiterhin darauf bestehen, mit einem kürzeren Passwort zu arbeiten, so müssen Sie das mit "Ja" ausdrücklich bestätigen. (Ich habe mich hier zu Demonstrationszwecken für ein kürzeres Passwort entschieden.)

Dateisystem auswählen

In dem vorliegenden Beispiel hatte ich mich dafür entschieden, die Partition auf dem USB-Stick gleichzeitig zu verschlüsseln und zu formatieren (siehe oben). Aus diesem Grunde will TrueCrypt nun von mir wissen, welches Dateisystem ich für die Formatierung auswählen möchte. Normalerweise werden USB-Sticks mit dem Dateisystem FAT16 oder FAT32 (via Wikipedia) formatiert. Ich habe mich aber für das ausgefeiltere NTFS (via Wikipedia) entschieden (1).

TrueCrypt 7.0a: Auswahl des DateisystemsTrueCrypt 7.0a: Auswahl des Dateisystems

Purer Zufall

Die Sicherheit der Verschlüsselung hängt nicht zuletzt davon ab, wie sicher der verwendete kryptografische Schlüssel ist. Um dessen Sicherheit zu erhöhen, benötigt TrueCrypt Zufallsinformationen. Diese werden unter anderem durch Mausbewegungen erzeugt. Bevor Sie also mit einem Klick auf "Format" die Verschlüsselung starten, nehmen Sie sich eine Minute Zeit, um möglichst wahllose Bewegungen des Mauszeigers über dem TrueCrypt-Fenster zu vollführen. Sie können währenddessen beobachten, wie sich die seltsam aussehende Zeichenfolge hinter "Random Pool:" permanent verändert.

Haben Sie lange genug "Zufall" produziert, klicken Sie auf "Format" (2). Bevor die Verschlüsselung nun tatsächlich startet, warnt Sie TrueCrypt noch einmal davor, dass durch Formatieren und Verschlüsseln alle Daten auf dem USB-Stick überschrieben werden.

Empfehlung: Sollten Sie den verschlüsselten USB-Stick nicht nur unter Windows sondern auch unter anderen Betriebssystemen nutzen wollen, so wählen Sie besser FAT32.

TrueCrypt 7.0a: Warnhinweis und Nachfrage, ob formatiert werden sollTrueCrypt 7.0a: Warnhinweis und Nachfrage, ob formatiert werden soll

Im vorliegenden Beispiel ist mein USB-Stick leer, sodass ich beruhigt auf "Ja" klicken kann. Und los geht es mit der Verschlüsselung …

Langsam, aber sicher

Je nach Größe des USB-Sticks und Leistungsfähigkeit des PCs kann die Verschlüsselung geraume Zeit in Anspruch nehmen. Bei meinem USB-Stick (4GB) dauert der Vorgang etwa eine halbe Stunde.

TrueCrypt 7.0a: Fortschrittsanzeige während Verschlüsselung und FormatierungTrueCrypt 7.0a: Fortschrittsanzeige während Verschlüsselung und Formatierung

Ist die Verschlüsselung beendet, weist TrueCrypt Sie darauf hin, dass Sie den verschlüsselten USB-Stick vor der Nutzung immer erst mit TrueCrypt einbinden (englisch "mounten") müssen.

TrueCrypt 7.0a: Hinweis, dass verschlüsselte Geräte vor der Nutzung immer eingebunden werden müssenTrueCrypt 7.0a: Hinweis, dass verschlüsselte Geräte vor der Nutzung immer eingebunden werden müssen

Haben Sie diesen Hinweis bestätigt, informiert Sie TrueCrypt (mit einer doppelten Erfolgsmeldung) darüber, dass der USB-Stick erfolgreich verschlüsselt wurde.

TrueCrypt 7.0a: ErfolgsmeldungTrueCrypt 7.0a: Erfolgsmeldung

TrueCrypt 7.0a: ErfolgsmeldungTrueCrypt 7.0a: Erfolgsmeldung

Sollten Sie noch weitere USB-Sticks verschlüsseln wollen, können Sie mit "Next" fortfahren; andernfalls verlassen Sie den Wizard durch Klick auf "Exit".

Nun ist der USB-Stick verschlüsselt und kann nur noch mit Hilfe von TrueCrypt und bei Kenntnis des richtigen Passworts gelesen und beschrieben werden. Alle Daten, die auf dem USB-Stick gespeichert werden, werden in Zukunft verschlüsselt. Und sollten Sie den USB-Stick einmal verlieren, kann kein Unbefugter Ihre Daten missbrauchen.

Jetzt bleibt die Frage zu beantworten, wie denn eigentlich die Daten auf den USB-Stick kommen.

Den verschlüsselten USB-Stick benutzen

An die verschlüsselten Daten kommen Sie nur mit Hilfe von TrueCrypt heran. Auf Computern ohne TrueCrypt können die Daten nicht lesbar gemacht werden! Der klassische Einsatzfall ist der Datenaustausch zwischen einem Desktop und einem Notebook, das man mit auf die Reise nimmt. Wie leicht kann es da passieren, dass Notebook und/oder USB-Stick verloren geht oder gestohlen wird?!

Installieren Sie auf beiden Computern – Desktop und Notebook (oder auch Netbook) – TrueCrypt, dann können Sie die sensiblen Daten auf einem verschlüsselten USB-Stick zwischen den beiden Computern austauschen.

Verschlüsselte Partition auf dem USB-Stick einbinden

Um auf den verschlüsselten USB-Stick zugreifen zu können, müssen Sie den USB-Stick zuerst einmal einbinden. Dazu starten Sie TrueCrypt und führen anschließend drei Schritte aus:

  1. Wählen Sie einen Laufwerksbuchstaben aus der Liste der verfügbaren Laufwerksbezeichner aus.
  2. Wählen Sie den verschlüsselten USB-Stick als "Device" aus.
  3. Binden Sie den verschlüsselten USB-Stick mittels "Mount" ein.

TrueCrypt 7.0a: Einbindung einer verschlüsselten PartitionTrueCrypt 7.0a: Einbindung einer verschlüsselten Partition

Nachdem Sie auf "Mount" geklickt haben, fragt Sie TrueCrypt nach dem Passwort für den verschlüsselten USB-Stick.

TrueCrypt 7.0a: Passwort-EingabeTrueCrypt 7.0a: Passwort-Eingabe

Wenn Sie das Passwort nicht vergessen haben, bindet TrueCrypt den USB-Stick ein und weist ihm den ausgewählten Laufwerksbuchstaben zu.

TrueCrypt 7.0a: Eingebundene, verschlüsselte PartitionTrueCrypt 7.0a: Eingebundene, verschlüsselte Partition

Anschließend können Sie das TrueCrypt-Fenster mit Klick auf "Exit" schließen. Das Fenster wird dann minimiert und im Benachrichtigungsfeld (englisch "System Tray") angezeigt.

Daten verschlüsseln

Im Windows Explorer ist die verschlüsselte Partition nach dem "Mounten" mit dem zugewiesenen Buchstaben sichtbar (im Beispiel T:) und kann wie jedes andere Laufwerk benutzt werden.

Windows Explorer: Eingebundene, verschlüsselte Partition im Windows ExplorerWindows Explorer: Eingebundene, verschlüsselte Partition im Windows Explorer

Der im Bild gezeigte "Wechseldatenträger (L:)" ohne Angabe des freien Speichers ist der USB-Stick auf dem die verschlüsselte Partition liegt. Versuchen Sie nicht, darauf zuzugreifen! Da Windows mit den verschlüsselten Daten als solchen nichts anfangen kann, schlägt es vor, den Datenträger zu formatieren. Wenn Sie das tun, sind alle Daten darauf weg und die verschlüsselte Partition wird durch eine unverschlüsselte ersetzt.

Die Verschlüsselung erfolgt automatisch im Hintergrund. Sie müssen sich um nichts weiter kümmern und können mit dem eingebundenen USB-Stick-Laufwerk ganz normal arbeiten. Normalerweise werden Sie überhaupt nicht bemerken, dass Ihr Computer mit der Ver- und Entschlüsselung von Daten beschäftigt ist. Lediglich auf älteren beziehungsweise langsamen Computern kann es zu spürbaren Geschwindigkeitseinbußen beim Schreiben und Lesen der verschlüsselten Daten kommen.

Einbindung der verschlüsselten Partition lösen

Wenn Sie alle Daten auf den USB-Stick kopiert haben und ihn entfernen wollen, müssen Sie zuerst die Einbindung der verschlüsselten Partition lösen. Dazu gehen Sie in vier Schritten vor:

  1. Schließen Sie alle Programme, die auf das verschlüsselte Laufwerk zugreifen.
  2. Öffnen Sie das TrueCrypt-Fenster durch Anklicken des TrueCrypt-Icons im Tray.
  3. Wählen Sie im TrueCrypt-Fenster das verschlüsselte Laufwerk aus, dessen Einbindung Sie lösen wollen (1).
  4. Klicken Sie auf "Dismount" (englisch für "Verbindung lösen" oder "demontieren") (2).

TrueCrypt 7.0a: Einbindung einer verschlüsselten Partition lösenTrueCrypt 7.0a: Einbindung einer verschlüsselten Partition lösen

Wenn nicht noch irgendein Programm – denken Sie auch an den Windows Explorer! – auf den USB-Stick zugreift, wird die verschlüsselte Partition geschlossen und die Verbindung mit Laufwerk T: gelöst. Das Laufwerk verschwindet aus dem TrueCrypt-Fenster und der zugewiesene Laufwerksbuchstabe wird freigegeben.

Anschließend können Sie den USB-Stick wie gewohnt mit der Funktion "Hardware sicher entfernen" abschalten und anschließend abziehen.

Fertig!

Die auf dem USB-Stick gespeicherten Daten sind nun sicher wie in einem Safe. Sollten Sie den USB-Stick doch einmal verlieren, müssen Sie keinen Datenmissbrauch fürchten – vorausgesetzt, Sie haben ein sicheres Passwort ausgewählt.

Das Passwort – den Schlüssel zu Ihren Daten – dürfen Sie allerdings nicht vergessen. Denn ohne das Passwort kommen auch Sie selbst nicht mehr an Ihre Daten heran. Und die TrueCrypt-Verschlüsselung ist so sicher, dass Ihnen dann auch niemand anderes weiterhelfen könnte.

PS

Weitere Informationen zu TrueCrypt finden Sie natürlich auf den Webseiten des TrueCrypt-Projekts und zum Beispiel auch in dem PCtipp-Artikel "Schliessfach für Ihre Daten" (PDF, Juli 2009).