Im Flugzeug oder auf Bahnhöfen, in Restaurants oder im Hotel: Im mobilen Zeitalter haben wir unser Büro immer dabei. Als Laptop, Netbook und Tablet oder einfach nur noch als alleskönnendes Smartphone. Neue Ideen, sensible Dokumente, die Kontaktliste des eigenen Büros, Senders oder Verlags – alles ist auf den Unterwegsgeräten gespeichert. Was aber tun, um Datendiebstahl oder Ideenklau zu verhindern, wenn Ultrabook oder Mobiltelefon mal verloren gehen? Tobias Lenartz von der Kooperative Berlin hat sich mit Verschlüsselungsprogrammen beschäftigt.

Laptops können geklaut, USB-Sticks können verloren gehen – mitsamt der sensiblen Daten, die man auf ihnen zusammengetragen hat. Wer Hackern, Dieben oder neugierigen Findern den Zugriff auf seine Datenschätze verwehren will, kann und sollte seine Daten verschlüsseln. Dank diverser Verschlüsselungstools ist eine verlässliche Chiffrierung auch ohne Spezialkenntnisse recht problemlos zu bewerkstelligen.

Vor allem das Open-Source-Programm TrueCrypt erfreut sich dabei größter Beliebtheit. In einem Test des Fraunhofer SIT schnitt es sogar besser ab als seine kostenpflichtigen Konkurrenten. Mit TrueCrypt lassen sich unter Windows, Mac OS X oder Linux Einzeldateien, USB-Sticks, komplette Festplatten und selbst das Systemverzeichnis verschlüsseln. Die Sicherheit des Programms wurde auch von anderer Stelle bestätigt: 2010 biss sich das FBI an den (unter anderem) mit TrueCrypt verschlüsselten Daten eines brasilianischen Bankers die Zähne aus.

Zum Verschlüsseln benutzt TrueCrypt Algorithmen wie den Advanced Encyption Standard, kurz AES. Nach seinen belgischen Entwicklern Joan Daemen und Vincent Rijmen wird der AES auch als Rijndael-Algorithmus bezeichnet. Der AES gewann 2000 eine vom US-amerikanischen Handelsministerium ausgelobte internationale Ausschreibung für einen weltweiten Verschlüsselungsstandard.

Die US-Regierung wendet AES beispielsweise auf Regierungsdokumente mit höchster Sicherheitsstufe an. Bei TrueCrypt kann man auch weitere Finalisten des AES-Wettbewerbs wie Serpent oder Twofish wählen. Alle Verschlüsselungsmethoden können nach gegenwärtigem Stand als sicher gelten. Der AES ist allerdings der schnellste und damit alltagstauglichste.

Wer möchte, kann die Verschlüsselungsalgorithmen kaskadieren, also koppeln und so den Sicherheitsstandard weiter erhöhen. Kaum überraschend schlägt sich das allerdings auch im Bearbeitungstempo nieder. Wenn man beispielsweise die Algorithmen AES, Twofish und Serpent kaskadiert, vervierfacht sich auch die Verschlüsselungs- und Entschlüsselungszeit.

Die von TrueCrypt erstellten Ordner oder Partitionen werden als „Container“ bezeichnet. Der Nutzer kann die Größe des verschlüsselten Containers frei wählen und diesen nach Erstellung mit sensiblen Daten füllen. Der verschlüsselte TrueCrypt-Container dient als virtuelles Laufwerk. Um auf ihn zugreifen zu können, wählt man die entsprechende Datei im Startmenü von TrueCrypt und klickt auf „mount“ bzw. „einbinden“ in der deutschen Lokalisierung, dann kann er wie ein reguläres Laufwerk geöffnet und bearbeitet werden. Weil TrueCrypt nicht den gesamten Container, sondern nach Bedarf Daten entschlüsselt, hält sich gerade bei Dokumenten die Bearbeitungszeit in übersichtlichem Rahmen.

Da man für die Ausführung von TrueCrypt Administratoren-Rechte benötigt, ist das Tool fürs Internetcafé nicht geeignet. Wird TrueCrpyt am Firmenrechner vom Admin installiert und für alle Nutzer freigegeben, kann man auch hier auf seine verschlüsselten Daten zugreifen.

Unsichtbare Datenschließfächer

Für maximale Sicherheitsbedürfnisse lässt sich auch ein versteckter Container anlegen. Quasi nach dem Matrjoschka-Prinzip wird so ein Datensafe innerhalb eines bereits bestehenden Containers erstellt. Weil TrueCrypt verschleiert, welcher Platz im Container frei und welcher genutzt wird, kann das Schließfach nicht ohne Weiteres als verschlüsselter Datensatz erkannt werden. Sollte man – hierzulande eher unwahrscheinlich, aber beispielsweise in Großbritannien gesetzliche Realität – zur Herausgabe des Passworts gezwungen werden, wird der äußere Tarn-Container geöffnet, der darin versteckte Top-Secret-Safe bleibt nach wie vor unsichtbar.

Die Codes zu knacken ist nach aktuellem Stand ohne physischen Zugriff auf den Rechner bislang nicht möglich. Deshalb versuchen Angreifer das Kryptogramm über seine empfindlichste Stelle aufzuschlüsseln. Das ist gemeinhin das Passwort. Deshalb sollte dem Erstellen eines sicheren Passworts, wie bereits ausführlicher diskutiert, die nötige Aufmerksamkeit gewidmet werden.

Die chiffrierte Cloud

Gerade wenn man der Datensicherheit der Cloud skeptisch gegenübersteht, aber auf den Wolkenspeicher nicht verzichten möchte, ist Verschlüsselung das Mittel der Wahl. Dazu wählt man als Zielordner des TrueCrypt-Containers beispielsweise das DropBox-Verzeichnis auf dem eigenen Rechner. Je nach Speicherbedarf sollte man die Container-Größe nicht zu knapp bemessen, da sie nicht nachträglich verändert werden kann. (Ein Video-Tutorial findet sich hier.)

Wie bei einem normalen TrueCrypt-Container muss der verschlüsselte Ordner in TrueCrypt als virtuelles Laufwerk gemounted werden. Nach Passworteingabe kann man dann wie gehabt die verschlüsselten Daten bearbeiten.

Wichtig: TrueCrypt wartet mit der Synchronisierung, bis der Container dismounted/getrennt wurde. Das ist sinnvoll, da so nicht jede mikroskopische Änderung einzeln verschlüsselt werden muss. Dementsprechend sollte nach Arbeitsende der Container unbedingt getrennt werden. Vergisst man das und bearbeitet an einem anderen Rechner die mit True-Crypt verschlüsselten Cloud-Dateien, kann das zu Konflikten führen. Zur gemeinschaftlichen Arbeit an einem Dokument via DropBox ist TrueCrypt also nur eingeschränkt geeignet.

Man kann sich den Prozess auch ein wenig vereinfachen. Unter Einstellungen/Voreinstellungen kann man beispielsweise festlegen, dass mit der Aktivierung des Energiesparmodus oder nach einer festgelegten Zeit, während der man im Ordner keine Änderungen vorgenommen hat, der Container automatisch getrennt wird

Setzt man ebenfalls unter Einstellungen/Voreinstellungen ein Häkchen bei „Änderungszeiten bei Container erhalten“, synchronisiert Dropbox tatsächlich nur die geänderten Dateien, statt den gesamten Ordner erneut hochzuladen.

Das mag möglicherweise kompliziert und unhandlich klingen, ist aber, wenn man diese zentralen Parameter beachtet, letztendlich eine überwiegend simple und unaufwendige Sache. Dank der großen Beliebtheit von TrueCrypt ist das Netz zudem geplastert mit Tutorials und How-Tos in schriftlicher oder filmischer Form. Carsten „Caschy“ Knobloch, Betreiber des meistgelesenen deutschen Blogs stadt-bremerhaven ist beispielsweise großer Freund des Tools und bietet TrueCrypt-Tutorials für sämtliche Bedürfnislagen.

Verschlüsselungsalternativen für Android bis IPad

Via Smartphone oder Tablet kann man allerdings nicht auf die TrueCrypt-Container zugreifen. Wer nicht darauf verzichten möchte, seine verschlüsselten Daten immer zur Hand zu haben, kann auf kommerzielle Alternativen wie BoxCryptor zurückgreifen.

Die in der Basisversion kostenlose, für Windows, Mac und Linux angebotene Software erlaubt es Anwendern, in wenigen Schritten ein lokales virtuelles Laufwerk anzulegen, das anschließend sämtliche darin platzierten Daten „on the Fly“ im AES-Standard verschlüsselt. Per Android oder iOS-App kann man dann eben auch von unterwegs auf verschlüsselte Daten zugreifen bzw. den Cloudspeicher mit chiffrierten Dateien bestücken. Das Tool ist explizit auf Cloudverschlüsselung ausgerichtet. So wird etwa der Dropbox-Ordner vom Programm praktischerweise selbstständig erkannt. Im Unterschied zu TrueCrypt arbeitet das Tool statt mit Containern mit einzelnen Dateien. Die angesprochenen Konflikte beim zeitgleichen Bearbeiten von verschlüsselten Dateien von verschiedenen Geräten sind damit eher zu umgehen.

Die kostenlose Variante ist auf 2 Gigabyte verschlüsselbare Daten beschränkt – für den Grundbestand sensibler Dokumente sollte das jedoch mehr als ausreichend sein. Allerdings werden Dateinamen nicht verschlüsselt. Die Personal Edition gibt es für 30 Euro, die Business-Variante liegt bei 70.

Mit seinem extrem übersichtlichen Spektrum an Einstellungsmöglichkeiten ist BoxCryptor ausgesprochen einsteigerfreundlich. Komfort wird groß geschrieben: In der Voreinstellung merkt sich BoxCryptor das gewählte Passwort. So hat man beim Rechner- bzw. Programmstart sofort Zugriff auf den verschlüsselten Ordner. Bei einem Heimrechner ist das im Allgemeinen kein Problem. Beim Laptop oder anderen mobilen Geräten unterläuft dies natürlich den Sinn der Chiffrierung, kann aber unter Preferences/Clear Stored Password problemlos deaktiviert werden.

Ob man sich für das breiter aufgestellte TrueCrypt, das etwas einsteigerfreundlichere BoxCryptor entscheidet oder eine der zahlreichen kostenfreien Alternativen einem Praxistest unterzieht: Es ist einfach ein beruhigendes wie befriedigendes Gefühl, seine sensiblen Daten in Chiffren zu verschlüsseln, die wohl auch dem großen Codeknacker Alan Turing ein Rätsel geblieben wären.