Softwaregestützte Verschlüsselung

Zahlreiche, teilweise kostenlos verfügbare Programme ermöglichen die Verschlüsselung einzelner Dateien und Ordner oder ganzer Datenträger. Oft können auch Programme zur Datenkompression die komprimierten Daten verschlüsseln, beispielsweise die Open-Source-Anwendung 7-zip.

Eingehen möchten wir hier auf Programme, die allein für Verschlüsselungszwecke entwickelt wurden.

GNU Privacy Guard for Windows (Gpg4Win)

Gpg4Win ist ein aus mehreren Programmen bestehendes Paket zum Verschlüsseln unter Microsoft-Windows-Betriebssystemen. Es wurde vom Bundesamt für Sicherheit in der Informationstechnik beauftragt. Das Paket enthält die Komponente GpgEX, die sich bei der Installation auswählen lässt.

Einmal installiert, erweitert Gpg4Win das Kontextmenü im Windows Explorer. Bei Rechtsklick auf eine Datei oder einen Ordner steht dann die Option "Signieren und verschlüsseln" zur Verfügung. Wie im zugehörigen Kompendium im Kapitel 18.2 ausführlich geschildert, können Daten so für verschiedene Nutzerinnen und Nutzern bzw. Empfängerinnen und Empfänger verschlüsselt werden.

Allerdings kann die Software dabei nur auf bereits bestehende Schlüssel und Zertifikate zurückgreifen. Daher ist es notwendig, dass Anwenderinnen und Anwender sich zunächst mit der Funktionsweise von Gpg4win vertraut machen und Schlüssel und Zertifikate erstellen oder importieren. Auch hierzu hält das Kompendium ausführliche Anleitungen bereit.

Gpg4Win bietet auch Funktionen zur Verschlüsselung von E-Mails.

Hardwaregestützte Verschlüsselung

PCs und Notebooks

Einige Computer, vor allem Notebook-Modelle für Geschäftskunden, sind mit einem Trusted Platform Module (TPM) ausgestattet. Dieser Chip kann als Schlüsselspeicher bei der Verschlüsselung von Daten dienen. Dies nutzt die Microsoft-Windows-Software Bitlocker Drive Encryption zur Verschlüsselung von Festplatten-Partitionen. Allerdings ist die Software nur in den Professional- und Enterprise-Versionen ab Windows 7 enthalten.

Bitlocker speichert bei der Verschlüsselung der Festplatte den zum Entschlüsseln notwendigen Schlüssel auf dem TPM. Gleichzeitig werden dort Informationen über die aktuelle Systemkonfiguration abgelegt. Ändert sich die Systemkonfiguration, scheitert das Entschlüsseln der Festplatte: Das TPM verweigert den Zugriff auf den Schlüssel. So soll sichergestellt sein, dass niemand die Festplatte einfach mit einem anderen Betriebssystem auslesen kann. Nur ein Wiederherstellungskennwort ermöglicht dann noch die Entschlüsselung. Dieses wird bei der Verschlüsselung gewählt und sollte unbedingt sicher verwahrt werden.

Wer Bitlocker unter Windows 10 nutzt, sollte beachten, dass das Wiederherstellungskennwort automatisch im OneDrive-Konto des Nutzers, also in einem Cloud-Dienst von Microsoft, gespeichert wird.

Mit Windows 7 (Ultimate/Enterprise) hat Microsoft außerdem "Bitlocker to go" eingeführt, mit dem sich externe Datenträger wie USB-Sticks verschlüsseln lassen. Entschlüsseln lassen sich die Sticks auch auf Windows-Rechnern ohne Bitlocker-Software. Dazu lässt sich Bitlocker direkt vom USB-Datenträger starten, wo es automatisch in einem unverschlüsselten Bereich abgelegt wird.

Festplatten

Es gibt sowohl klassische Festplatten (HDD) wie auch solche ohne bewegliche Teile (SSD), die eine eingebaute Verschlüsselungsoption anbieten. Um Manipulationen vorzubeugen, sollte der Zugriff auf den Datenträger über das BIOS mit einem Passwort geschützt werden (ATA Security Feature Set). Dieses Passwort muss die Anwenderin oder der Anwender dann bei jedem Systemstart eingeben. Für die eigentliche Verschlüsselung können verschiedene Verfahren zum Einsatz kommen. Alle großen Hersteller haben sich jedoch auf einen Standard für die Festplatten-Verschlüsselung geeinigt. Festplatten, die entsprechend ausgestattet sind, werden oft als Opal-Festplatten bezeichnet. Für Festplattenpasswörter wird jedoch nicht immer zwangsläufig eine Verschlüsselung implementiert, sondern über das Passwort nur der Zugriff auf die ansonsten unverschlüsselt abgelegten Daten verhindert. Dies stellt bereits einen Basisschutz, etwa für den Fall eines Diebstahls, dar.

Externe Festplatten und Speichersticks

Gehäuse für externe Festplatten und USB-Speichermedien werden mitunter mit eingebauter Verschlüsselungstechnik verkauft. Die Festplatten-Gehäuse erlauben den Zugriff auf die Daten erst, nachdem sich die Nutzerin oder der Nutzer als berechtigt erwiesen hat: etwa durch einen Fingerabdruck, durch Eingabe eines Codes auf der eingebauten Tastatur oder durch einen mitgelieferten Funkchip, der wie eine kontaktlose Schlüsselkarte funktioniert. USB-Flash-Speicher setzen dagegen oft auf eine Software, die auf dem Rechner gestartet werden muss und die dann ein Passwort abfragt.

Netzwerkspeicher (NAS)

Datenspeicher in lokalen Netzwerken, sogenannte NAS-Geräte (Network Attached Storage), können je nach Modell die auf ihnen gespeicherten Daten verschlüsseln. Bei jedem Neustart des Gerätes muss die Anwenderin oder der Anwender die Daten entschlüsseln lassen. Die Strategien der Hersteller sind dabei unterschiedlich: Bei manchen Geräten muss ein USB-Stick mit dem Schlüssel eingesteckt werden, bei anderen muss die Anwenderin oder der Anwender ein Passwort in eine Web-Oberfläche eingeben.

Es gibt auch die Variante, dass das Gerät den Schlüssel selbst speichert und beim Neustart automatisch zur Entschlüsselung heranzieht. Wird der Schlüssel dabei auf der Festplatte selbst abgelegt, ist dadurch allerdings der Sinn der Verschlüsselung ad absurdum geführt. Manche Geräte legen den Schlüssel stattdessen auf einem internen Speicherchip ab. So sind die Daten zumindest bei einem Diebstahl oder Austausch der Festplatte geschützt, nicht jedoch, wenn Fremde Zugriff auf das ganze Gerät erlangen.

Wer solche Netzwerkspeicher für seine Daten verwendet, sollte neben der Verschlüsselung seiner Daten auch die Sicherheit des entsprechenden Netzwerkes im Blick haben.