Wenige IT-Profis benötigen Belehrungen über Datensicherheit. Nur allzu häufig hören sie vom Diebstahl oder Verlust eines Computers oder einer Festplatte mit den darauf im Klartext ohne Verschlüsselung gespeicherten Daten.

Erfreulicherweise ist On-the-Fly-Verschlüsselung nicht länger ein exotisches, teures Biest. Statt nur einzelne Dateien zu verschlüsseln, sind einige Applikationen in der Lage, virtuelle Festplatten zu erzeugen und alles, was darauf geschrieben wird, automatisch zu verschlüsseln.

Diese virtuellen Festplatten oder Laufwerke erstellen die Programme entweder in einer Datei oder direkt in einer Partition. Bei moderner Hardware ist der Overhead dafür nur minimal.

Auch passable Freeware verfügbar

Network Computing testete mehrere Programme, die verschlüsselte Volumes erzeugen und verwalten, von Windows-Vistas eigener Bitlocker-Verschlüsselung bis zu PGPs mächtiger Desktop-Suite für die Verschlüsselung von E-Mail und Instant-Messaging.

Selbst als Freeware lässt sich bemerkenswert starke und gut implementierte Disk-Verschlüsselung finden – Features wie Administrierbarkeit und Support sind es allerdings wert, bezahlt zu werden.

TrueCrypt 5.1a

Als erste getestete Disk- oder Virtual-Volume-Verschlüsselungslösung machte Truecrypt einen unglaublich starken Eindruck. Abgesehen davon, dass das Produkt kostenlos und Open-Source ist (zwei große Pluspunkte), enthält es viele clever geschriebene Usability- und Datenschutz-Features. Es ist ein effizientes Produkt für die Verschlüsselung eines kompletten Systems einschließlich der Betriebssystempartition.

Das Produkt überlässt dem Benutzer die Wahl zwischen AES-, Serpent- und Twofish-Algorithmen, entweder einzeln oder in verschiedenen Kombinationen mit den Whirlpool-, SHA-512- und RIPEMD-160-Hash-Algorithmen.

Die tatsächliche Verschlüsselung arbeitet auf einem von drei Wegen: Sie kann eine Datei als virtuelles, verschlüsseltes Volume mounten, sie kann eine komplette Disk-Partition oder ein physisches Laufwerk in ein verschlüsseltes Volume umwandeln, und sie kann ein Live-Windows-Betriebssystem-Volume verschlüsseln. Letzteres allerdings mit einigen Einschränkungen.

Schutz durch Passwort und Schlüsseldatei

Verschlüsselte Volumes sind geschützt durch ein Passwort und optional durch eine Schlüsseldatei, beispielsweise eine Datei auf einem entfernbaren USB-Laufwerk. Dies ermöglicht dem Benutzer, eine Form von Zwei-Faktoren-Authentifizierung zu schaffen.

Zur Erzeugung eines virtuellen Standalone-Volumes lässt sich eine Datei jeder Größe und Namenskonvention nutzen. Truecrypt selbst erstellt diese Datei und formatiert sie anschließend so, dass ihr Inhalt wie zufällige Daten aussieht.

Truecrypt ist so entworfen, dass niemand, der einen oberflächlichen Blick darauf wirft, ein verschlüsseltes Volume als solches identifizieren kann. Es gibt keine offensichtlichen Volume-Header, besondere Dateierweiterungen oder andere Hinweise.

Verschlüsselte Volumes kaum erkennbar

Die einzige Ausnahme bilden verschlüsselte Boot-Volumes, die den Truecrypt-Boot-Loader enthalten. Für künftige Produktversionen wäre es allerdings durchaus vorstellbar, ein vollständiges Volume verstecken und einen externen Boot-Loader von einem USB-Thumb-Drive oder einer CD nutzen zu können.

Da der Begriff gerade genannt wurde: Das Programm erzeugt auch ein selbstverschlüsselndes USB-Laufwerk, das im »Traveler«-Modus läuft. Es enthält eine Kopie der ausführbaren Truecrypt-Dateien und lässt sich auf jeder Windows-Maschine, auf welcher der Benutzer Admin-Rechte besitzt, ausführen, mounten und starten.

Das Produkt enthält Features, die der Hersteller unter der Bezeichnung »plausible Deniability« zusammenfasst. Das signifikanteste davon ist die Fähigkeit, Volumes in anderen Volumes zu verstecken. Das versteckte besitzt sein eigenes Passwort, und es gibt keinen Weg herauszufinden, ob ein gegebenes Truecrypt-Volume irgendwo ein verstecktes Volume enthält.

Schreibt ein Benutzer allerdings zu viele Daten in das äußere Volume, besteht die Gefahr, das versteckte zu zerstören. Als Schutzmaßnahme gibt Truecrypt dem Anwender die Option, das versteckte Volume beim Mounten des äußeren Volumes als Read-Only zu mounten.

Notfall-CD für Systemstart

Beim Einsatz von System-Disk-Verschlüsselung braucht der tatsächliche Verschlüsselungsprozess schon eine Weile. Aber es ist möglich, ihn zu unterbrechen und beliebig fortzusetzen. Eine gute Idee ist es, den Prozess in der Nacht mit dem PC in einem abgeschlossenen Raum auszuführen.

Das Programm besteht auf der Erzeugung einer Rescue-CD, die im Problemfall zum Starten des Computers geeignet ist. Ein Nachteil: Truecrypt verschlüsselt kein Windows-System, das über einen Nicht-Windows-Boot-Loader dual gebootet wird.