Verschlüsselung - Eine Übersicht

Betriebssysteme verschlüsseln Daten standardmäßig nicht. Das Benutzerpasswort soll lediglich schnellen, unbefugten Zugriff erschweren. Es sichert weder die gespeicherten Daten, noch macht es einen Zugriff unmöglich. Unter Windows lässt sich das Passwort mit ein paar Handgriffen umgehen und bei Linux reicht in der Regel das booten eines Live-System von einem USB Stick oder einer DVD um die Daten auslesen zu können.

Dies ist keineswegs ein Versäumnis der Hersteller, sondern soll Daten bei einer Fehlfunktion des Systems schützen. Bei einem Systemfehler, z.B. in Folge eines fehlerhaften Updates, lassen sich so leicht Daten retten. Datensicherheit und Datenschutz stehen hier gegenüber, der Konflikt lässt sich aber mit einer sinnvollen Backup-Strategie auflösen.

Gerade bei Mobilgeräten wie Notebooks sollte die Problematik einer unverschlüsselten Festplatte offensichtlich sein, aber auch der heimische PC kann verwundbar sein - beispielsweise durch Wohnungseinbrüche. Der Verlust der Daten ist dann oft schmerzhaft genug (auch dafür hat man ein Backup). Bei einer Vollverschlüsselung des Systems kann man aber wenigstens darauf vertrauen, dass die Daten sicher sind.

Das Verfahren und die eingesetzte Software zur (Voll)Verschlüsselung eines Betriebssystems variiert je nach eingesetztem System und dessen Version. Allein für moderne Linuxdistributionen gibt es drei unterschiedliche Verfahren.

Inhaltsverzeichnis

  1. Linux
  2. macOS
  3. Speichermedien
  4. Cloud

linux artikelabschnitt

Linux verschlüsseln

Verschlüsselung des Systems mit LUKS

LUKS (dm-crypt) ist die Standardmethode um unter Linux das komplette Betriebssystem zu verschlüsseln.

Bei LUKS wird bis auf den Startbereich das gesamte Betriebssystem verschlüsselt und nicht nur die Bereiche mit den Benutzerdaten. Dies ist grundsätzlich sicherer, da unverschlüsselte Bereiche immer ein Risiko darstellen, aber auch komplexer umzusetzen, da in der Regel eine LVM-basierte Partitionierung erforderlich ist. Aus diesem Grund ist eine Verschlüsselung gleich bei der Systeminstallation einzurichten. Weiterlesen

Benutzerdaten des Systems mit eCryptFS verschlüsseln

eCryptFS ist eine native Verschlüsselungslösung für Linux-Systeme.

Im Unterschied zu LUKS (dm-crypt) oder Truecrypt verschlüsselt es die Daten nicht in Containern, sondern auf Dateibasis. Jede Datei wird einzeln verschlüsselt und bei Bedarf entschlüsselt.

eCryptFS ist deshalb keine Lösung um eine Vollverschlüsselung des Betriebssystems zu ermöglichen, es ist aber hervorragend geeignet um beispielsweise die Benutzerdaten zu verschlüsseln. eCryptFS ist dadurch in hohem Maße Mehrbenutzerfähig, da die Benutzerdaten jedes Benutzers durch dessen individuelles Benutzerpasswort ver- und entschlüsselt werden. Dies geschieht automatisch beim Login. Weiterlesen


macOS verschlüsseln

apple artikelabschnitt

Verschlüsselung des Systems mit FileVault

FileVault ist die native Verschlüsselungsmethode des Betriebssystems macOS von Apple. FileVault 2 verschlüsselt das komplette Betriebssystem und nicht nur die Benutzerdaten.

Gegenwärtig gilt FileVault als sicher, die bekannten Angriffszenarien sind theretischer Natur und betreffend auch vergleichbare Verschlüsselungsmethoden.

FileVault kann außer zur Verschlüsselung des Betriebssystems auch zur Absicherung externer Speichermedien genutzt werden. Weiterlesen


Externe Speichermedien verschlüsseln

festplatte artikelabschnitt

Die Verschlüsselung externer Speichermedien ist die notwendige Ergänzung zur Verschlüsselung des Betriebssystems. Es widerspricht zwar der Idee eines Backups den Zugang zu selbigem einzuschränken, ist aber aus Gründen der Sicherheit absolut notwendig. Es macht keinen Sinn das Betriebssystem mit allen Daten zu verschlüsseln, wenn das Abbild des Betriebssystems auf einer externen Festplatte verfügbar ist.

Verschlüsselung mit VeraCrypt

VeraCrypt ist eine betriebssystemübergreifende Methode um einzelne Datenbestände bzw. das gesamte Betriebssystem zu verschlüsseln. Es steht damit in Konkurrenz zu nativen Methoden wie z.B. LUKS. Im Gegensatz zu diesem ist es mit VeraCrypt aber auch möglich ein Betriebssystem nachträglich zu verschlüsseln. Weiterlesen

Verschlüsselung mit LUKS

LUKS (dm-crypt) ist in einer homogenen Linux-Umgebung hat die sinnvollste Methode zur Verschlüsselung externer Speichermedien. Weiterlesen


Daten in der Cloud verschlüsseln

cloud artikelabschnitt

Die Verlagerung von Daten in die Wolke ist ein weiterhin anhaltender Trend. Ermöglicht wird diese Entwicklung durch schnellere Internetverbindungen und billigeren Speicherplatz bei den großen Anbietern. Während die Verbindung selbst meistens über HTTPS geschützt wird, erfolgt die Speicherung der Daten bei den meisten Anbietern unverschlüsselt. Für den Fall immer wieder auftrender Datenlecks und Sicherheitsprobleme ist das ein Problem.

Dagegen hilft nur clientseitige Verschlüsselung. Bei diesem Prinzip werden die Daten bereits auf dem System des Nutzers verschlüsselt und nur die verschlüsselten Daten übertragen. Andere Systeme können die verschlüsselten Daten abrufen und entschlüsseln. Das Prinzip der clientseitigen Verschlüsselung hat leider bisher lediglich bei sehr wenigen Dienstanbietern Einzug gehalten.

Bei fast allen Cloud-Anbietern lässt sich clientseitige Verschlüsselung jedoch mit Drittsoftware realisieren:

EncFS

EncFS ist eine eingeschränkt plattformübergreifend verfügbare Möglichkeit Daten vor dem Upload in die Cloud auf Dateibasis zu verschlüsseln. Weiterlesen

Cryptomator

Cryptomator ist eine recht junge Möglichkeit Daten plattformübergreifend vor dem Upload in die Cloud automatisiert zu verschlüsseln. Weiterlesen

Über

[Mer]Curius bietet Informationen zur technischen Dimension des Datenschutz im digitalen Bereich. Neben permanent aktualisierten Artikeln zu Betriebssystemen, Verschlüsselung und Kommunikationsabsicherung werden im Blog aktuelle Trends präsentiert und kommentiert.

Top