• Zielgruppen
  • Suche
 

Datenverschlüsselung

Neben der Transportverschlüsselung bei der Nutzung von https-Webseiten gibt es auch die Verschlüsselung von Dateien und Datenträgern selbst. Dieses ist sehr sinnvoll, um sich gegen den Diebstahl von USB-Sticks oder Notebooks zumindest in Bezug auf die Vertraulichkeit von Daten abzusichern. Nebenbei kann aber die Verschlüsselung von Dateien auch eine Transportverschlüsselung entbehrlich machen: z.B. bei einer verschlüsselten Anlage in einer unverschlüsselten und damit postkarten-ähnlichen E-Mail.

Die Verschlüsselung von Daten ist

  • für Dateien bei der Nutzung von Cloud-Diensten
  • für ganze Datenträger für mobile Geräte

dringend anzuraten. Die Festplattenvollverschlüsselung von Notebooks ist als absoluter Mindeststandard anzusehen.

Kurz-Empfehlungen nach Nutzung

Unten sind die Details für die Abwägung beschrieben. Unsere Empfehlungen in Kürze sind:

  • 7-Zip mit AES-Verschlüsselung für Dateien bei Transport, Cloud-Dienste, Archivierung, externe Speicherung etc.
  • SSD-Verschlüsselung bei SSDs mit AES für die Festplatten-Verschlüsselung (insb. bei Notebooks)
  • Veracrypt für Festplatten-Verschlüsselung, USB-Sticks oder zur lokalen Verschlüsselung von Daten-Dateien
  • Eingebaute Vollverschlüsselung des Betriebssystems bei Smartphones & Tablets

Datei-Verschlüsselung

Die Verschlüsselung einzelner Dateien ist einerseits bei der lokalen Speicherung besonders sensibler Daten anzuraten, besonders aber bei der Nutzung von Cloud-Diensten: evt. stellt das erst die Vertraulichkeit her oder erhöht deutlich den Schutz. So ist z.B. bei der Nutzung des Dateitransferdienstes DL des Rechenzentrums grundsätzlich ohne zusätzliche Dateiverschlüsselung nur ein normales Schutzniveau garantiert.

Die in vielen Programmen mögliche Vergabe von Passwörtern z.B. für PDF- oder Word-Dateien ist häufig kein ausreichender Schutz. Viele dieser Möglichkeiten wurden unzureichend implementiert und sind längst umgehbar. In einigen solcher Fälle haben die Hersteller nachträglich bessere Verfahren implementiert, aber diese müssen auch bewusst gewählt werden! Da dieses sehr programm-abhängig ist, empfehlen wir Verfahren, die für alle Dateien nutzbar sind (aber dafür nicht aus der Bearbeitungssoftware heraus direkt aufrufbar sind).

  • Für die Verschlüsselung von Dateien bei der lokalen Bearbeitung ist eher die Verschlüsselung des ganzen Datenträgers oder zumindest eines Containers (siehe Abschnitt Datenträger-Verschlüsselung) empfehlenswert, da sonst temporäre oder gelöschte Dateien Datenspuren hinterlassen.
  • Für den Versand bietet sich die Nutzung eines sicher verschlüsselten Archivs an. Empfehlenswert ist das Packen in eine .zip-Datei mit dem Programm 7Zip, wobei das Verfahren AES-256 zu wählen ist. Details vgl. z.B. beim DSB-RLP.
    Beachten Sie auch, dass Sie nicht nur ein sicheres Passwort wählen sondern dieses auch sicher an den Empfänger weiter geben müssen (z.B. außerhalb der Mail in einem Brief oder Telefonat oder via SMS).
  • Für sehr versierte Nutzer oder bei der Automatisierung sind auch gpg oder openssl gute Werkzeuge, die einen anderen Umgang mit den Keys als mit Passwörtern ermöglichen.

Bei der Dateiverschlüsselung ist unbedingt auf den Dateinamen zu achten, da der häufig nicht verändert wird ("Kündigung-Meier.docx" wäre ein Problem).

Verschlüsselndes Dateisystem

Eine Sonderform der Dateiverschlüsselung ist ein automatisch verschlüsselndes Dateisystem: die Dateien werden einzeln für sich automatisch verschlüsselt abgelegt. Dabei bleiben die Dateien einzeln im Dateisystem, was für Backup- oder Cloud-Sync-Dienste praktisch sein kann - bei manchen Systemen sind diese Dateien aber ohne Passwort nicht kopier- oder backup-bar. Je nach System werden dabei nur die Inhalte oder auch zusätzlich die Dateinamen verschlüsselt.

Datenträger-Verschlüsselung

Diese kann auf verschiedenen Ebenen implementiert werden: auf Firmware-Ebene im Gerät, auf Betriebssystem-Ebene oder als Anwendungs-Programm (Details vgl. folgende Abschnitte). Grundsätzlich ist folgende Auswahl empfehlenswert:

  • in der Festplatten-Firmware/BIOS bei SSDs mit AES-Verschlüsselung
  • im Betriebsystem bei Linux, bei Windows lieber mit Veracrypt
  • für mobile Datenträger mit Veracrypt

Vollverschlüsselung in der Geräte-Firmware

Moderne SSD-Geräte bieten häufig eine AES-Verschlüsselung (teilweise mithilfe eines Festplattenpasswortes im BIOS oder als TCG-OPAL-Implementation). Dieses hat den Vorteil, dass diese Verschlüsselung völlig unabhängig von der eingesetzten Software ist und daher unter Windows und Linux gleichermaßen und transparent funktioniert. Nachteilig ist, dass es nur ein Passwort (ggf. ein zweites Master-Passwort für Notfälle) gibt, was auf Mehrbenutzersystemen oder für zentrales Recovery schwierig ist.

Leider ist die Spezifikation der SSD genau zu betrachten: auch schon ältere oder normale Festplatten bieten Passwörter, die aber nicht zu einer Verschlüsselung der Daten führen. Die SSD sollte AES-Verschlüsselung explizit als Eigenschaft haben. Für USB-Geräte (Sticks oder externe Platten) ist das Verfahren grundsätzlich nicht empfehlenswert: meist bieten diese Geräte die Funktion gar nicht, bei anderen wurde die Verschlüsselung unzureichend implementiert.

Datenträger-Verschlüsselung des Betriebssystems

Moderne Betriebssysteme bringen meist Möglichkeiten der Platten-/Partitions-Verschlüsselung mit, die häufig mit dem Nutzerlogin (keine separate Passwort-Eingabe) verknüpfbar sind.

  • Für Smartphones und Tablets ist diese Art der Verschlüsselung vorzunehmen.
  • Unter Windows gibt es Bitlocker. Da das aber ein Recovery oder Malware-Scan aus einem Linux-Live-System heraus unmöglich macht, emfehlen wir eher Veracrypt (vgl. folgenden Abschnitt).
  • Linux-Distributionen bieten das meist schon bei der Installation. Damit ist z.B. die Verschlüsselung nur einer zusätzlichen Datenpartition oder eines externen Datenträgers gut möglich.

Datenträger- & Container-Verschlüsselung mit separaten Anwendungen

Mit einigen im Betriebssystem installierten Anwendungen ist auch die Festplattenvollverschlüsselung, die Ablage von Dateien in verschlüsselten Containern oder die Verschlüsselung mobiler Datenträger möglich. Eine sehr bekannte solche Anwendung ist Truecrypt, die jedoch nicht mehr weiterentwickelt wird. Empfehlenswert ist derzeit Veracrypt. Diese Anwendung ist für verschiedene Betriebssysteme verfügbar, so dass auch ein Austausch verschlüsselter USB-Sticks zwischen Windows, Linux, MacOSX möglich ist; für iOS und Android gibt es kompatible Apps. Veracrypt ist zu empfehlen für

  • die Vollverschlüsselung von Windows-Systemen
  • die Ablage von schützenswerten Dateien in einem separaten Container
  • mobile Datenträger

Container sind i.Allg. nicht für Sync-Dienste in der Cloud zu empfehlen: aus Sicht der Cloud ist der Container nur eine große Datei, unterschiedliche Versionsstände verschiedener enthaltener Dateien kann die Cloud nicht sehen. Sinnvoll ist daher ein verschlüsselter Container in der Cloud nur bei kleinen Containern und bei klar asynchroner Nutzung (also z.B. als Backup, zwischen Desktop und Notebook des gleichen Nutzers).

Container sollten auch aus Backup-Gründen nicht zu groß gewählt werden: aus Backup-Sicht ist eine Dateiänderung im Container immer eine Änderung des ganzen Containers, was die Größe inkrementeller Backups hochtreibt.