Datenschutz
Anleitung: Dateien verschlüsseln mit VeraCrypt 15.02.2018, 18:48
Wenn Sie personenbezogene Daten durch die Gegend tragen (z.B. Notenlisten), müssen diese verschlüsselt sein. Das beste Tool hierfür ist VeraCrypt. Hier finden Sie eine ausführliche Anleitung, wie Sie VeraCrypt installieren, einen »Container« erstellen und in der Praxis verwenden, außerdem Hinweise zu Backups und der Nutzung auf USB-Stick.
Über VeraCrypt
VeraCrypt ist ein Programm zur Verschlüsselung von Dateien, Verzeichnissen (»Ordnern«) und »Volumes« (z.B. ganzen Festplatten). Das Programm gilt als zuverlässig und wird deshalb von den Schulverwaltungen der meisten Bundesländer empfohlen. Vorgänger war TrueCrypt, was aus Sicherheitsgründen nicht mehr eingesetzt werden sollte.
VeraCrypt ist erhältlich für die gängigen Betriebssysteme (Windows, Mac OSX, Linux, FreeBSD, sogar für den Raspberry Pi). Mac OS X-User müssen OSXFUSE installieren, was reibungslos funktioniert.
Homepage: veracrypt.fr - Direkt zu den Downloads
Was bedeutet: eine Datei »verschlüsseln«?
Sie haben eine Notenliste mit Excel angefertigt. Die sieht so aus:
Wenn Sie den USB-Stick mit dieser Notenliste verlieren, kann jeder die Excel-Datei öffnen und im Internet verkünden, dass Doris Day in Deutsch eine 6 geschrieben hat. Das ist ein datenschutztechnischer GAU. Sie könnten also auf die Idee kommen, die Daten zu verschlüsseln - zum Beispiel so:
Praktisch ist, dass Sie nun eine alphabetische Klassenliste nehmen können, die Zahl beim Nachnamen entspricht der Nummer auf der Liste. Das ist nicht ganz unaufwändig, außerdem nicht besonders sicher (da jemand die Idee haben könnte, es ebenfalls mit der Klassenliste als Schlüssel zu versuchen).
Hier springen Verschlüsselungsprogramme wie VeraCrypt ein. Die machen aus der Notenliste so etwas:
Dies ist tatsächlich ein »VeraCrypt-Container« (Details s.u.), der mit einem Texteditor geöffnet wurde. Nur wenn Sie das Passwort haben, können Sie diese Datei entschlüsseln. Das gilt natürlich auch für Leute, die ihren verlorenen USB-Stick oder Ihre verlorene Festplatte finden.
Sie haben einmal (relativ niedrigen/einfachen) Aufwand - nämlich beim Einrichten der VeraCrypt-Installation. Danach sind es jedes Mal nur ein paar sehr einfache Klicks, um an Ihre Dateien zu kommen bzw. sie wieder zu verschlüsseln. Hier erfahren Sie, wie das geht.
Verschlüsselung mit VeraCrypt - Schritt-für-Schritt-Anleitung
Sie finden hier eine Anleitung, die auf einfache Benutzung durch Lehrer/innen ausgelegt ist. Bei Installation und Nutzung gibt es weitere forgeschrittene Optionen (wie bspw. komplette Systemverschlüsselung), die wir hier nicht besprechen.
Die folgenden Screenshots beziehen sich auf die Installation für Windows. Die Installation auf macOS ist bis auf Details identisch.
Vorarbeit: USB-Stick formatieren
Wenn Sie die verschlüsselten Daten auf einem USB-Stick herumtransportieren wollen, dann müssen Sie diesen erst mal formatieren. Benutzen Sie - gleich auf welchem Betriebssystem - exFAT (nicht MSDOS oder FAT32 oder MacOS Extended o.ä.). Windows: Rechtsklick auf den USB-Stick -> Formatieren; macOS: Festplattendienstprogramm -> USB-Stick auswählen -> "Löschen".
(Passend hierzu: USB-Sticks für Lehrer/innen: Praxistipps und Kaufempfehlungen)
1) VeraCrypt herunterladen und installieren
Diesen Vorgang müssen Sie nur einmal ausführen.
Im Download-Bereich von VeraCrypt.fr laden Sie sich die Installationsdatei herunter (Achtung Apple-Mac-User: erst OSXFUSE installieren, Link ebenfalls auf der angegebenen Downloadseite) und beginnen die Installation.
Während der Installation wählen Sie nicht die Option »Install«, sondern die Option »Extract«. So können Sie VeraCrypt später direkt von einem USB-Stick o.ä. starten (und damit auch auf Computern benutzen, auf denen VeraCrypt nicht installiert ist). Falls Sie aus Versehen doch »Install« gewählt haben, macht das nichts: Sie lassen das Installationsprogramm einfach noch einmal laufen und wählen dieses Mal »Extract«.
Bestätigen Sie die nächsten Sicherheitsabfragen und wählen Sie einen Ort (soll heißen: einen Ordner, in den die gesamte portable VeraCrypt-Installation hineinkommt). Falls Ihr USB-Stick schon eingesteckt ist, können Sie direkt ein Verzeichnis auf dem Stick auswählen. Im folgenden Screenshot hat der USB-Stick den Laufwerksbuchstaben F, wir installieren direkt auf den USB-Stick ins Verzeichnis VeraCrypt.
Beachten Sie, dass Sie in ein beliebiges Verzeichnis installieren können. Wenn Sie dieses Verzeichnis dann später auf einen USB-Stick oder auf eine Festplatte kopieren, dann wird VeraCrypt von dort laufen (sofern das Betriebssystem das gleiche ist - Windows, Mac, Linux …).
Aus diesem Verzeichnis können Sie VeraCrypt nun starten, indem Sie die VeraCrypt-x64.exe oder VeryCrypt.exe doppelklicken:
2) VeraCrypt-Container einrichten
Nun wollen wir uns einen sogenannten VeraCrypt-Container einrichten. Diesen Vorgang müssen Sie nur einmal ausführen.
Dieser »Container« ist eine Datei, die unsere eigenen Dateien (Arbeitsblätter, Notenlisten, Filme, was immer) aufnimmt - eine Art Tresor.
Im folgenden Bild stellt der Tresor links den VeraCrypt-Container da (= eine Datei, die wir im nächsten Schritt anlegen); sobald wir den Tresor öffnen (indem wir VeraCrypt starten und unser Passwort eingeben), können wir neue Dateien hineintun, bestehende Dateien öffnen, bearbeiten usw.
Starten Sie VeraCrypt und wählen Sie »Create Volume«.
Im folgenden Dialog wählen Sie »Create an encrypted file container«:
Dann: »Standard VeraCrypt Volume« erstellen.
Exkurs: Hidden Volumes
Hinweis: »Hidden VeraCrypt Volume« ist eine praktische Möglichkeit, einen zweiten Container im ersten zu erzeugen. Wenn Sie bspw. private Daten wie Arztrechnungen ebenfalls auf Ihrem Stick herumtragen wollen, dann erzeugen Sie ein verstecktes Volume im sichtbaren. Die beiden Volumes haben unterschiedliche Passwörter, je nach dem welches Passwort Sie eingeben, wird der entsprechende Container geöffnet. Wenn Sie den Container also mit dem Schule-Passwort öffnen, sieht niemand, dass dort auch private Dateien liegen. Wenn Sie den Container mit dem Hidden-Passwort öffnen, werden nur die privaten Dateien angezeigt.
Sinn dieses Features: Ein Hidden Volume ist nicht aufspürbar. Sollte jemand Sie foltern, um Ihr Passwort zu erhalten, dann geben Sie das Passwort für den einen Container preis, ohne dass jemand wissen kann, dass/ob da noch ein anderer Container ist.
Als nächstes wählen Sie einen Ort aus, an dem der Container erstellt wird. Am besten erstellen Sie ihn nicht auf einem USB-Stick, da das hier recht lange dauert. Sie wählen einen Ort auf der Festplatte und erstellen den Container dort, das geht am schnellsten. Der Name, den Sie ihm geben, ist der Name der Datei, die später auf Ihrem USB-Stick herumliegt.
Im folgenden Beispiel wurde der Name schuleContainer gewählt. Sie können natürlich einen beliebigen anderen Namen wählen (veracrypt_container, 30GBvc oder auch sonnenblume, wenn Ihnen das praktischer erscheint).
Danach wählen Sie eine Verschlüsselungsmethode aus. Hier gibt es zahlreiche Optionen. In unserem Fall ist ziemlich egal, was wir wählen. Da wir auf unserem Stick nicht die Bauanleitung für die Atombombe speichern und außerdem nicht sämtliche Geheimdienste der Welt unsere Verschlüsselung knacken wollen, benutzen wir das, was am schnellsten geht: oben »Serpent« und unten »SHA-256«.
Nun kommt eine wichtige Entscheidung: Wie groß soll der Container werden?
Wenn Sie nur ein paar Excel- und Word-Dateien speichern wollen, dann reichen Ihnen ein paar hundert Megabyte. Wenn Sie wirklich Ihr gesamtes Unterrichtsmaterial speichern wollen, wo sich auch Videoprojekte von Schüler/innen und riesige Fotosammlungen befinden, muss der Container groß genug sein, um das zu packen.
Um abschätzen zu können, wie viel Platz Sie brauchen, können Sie die Größe einzelner Verzeichnisse (»Ordner«) herausfinden, indem Sie mit der rechten Maustaste auf ein Verzeichnis klicken und dann »Eigenschaften« wählen. Dann wird Ihnen die Größe des Verzeichnisses angezeigt.
Sie können die Größe des Containers später nicht mehr verändern. Geben Sie ihm genug Platz - im Beispiel wollen wir etwa 1,3 GB (Gigabyte) Daten speichern; da wir davon ausgehen müssen, dass noch Daten dazukommen werden, können wir den Container ruhig 4 oder 5 GB groß sein lassen. In jedem Fall muss der Container kleiner sein als der verfügbare Speicherplatz. Sie können einen 5-Gigabyte-Container nicht auf einem USB-Stick von 4GB speichern.
Natürlich können Sie sich auch später einen neuen Container anlegen und die Daten umkopieren. Doch jetzt mit Platz zu geizen bringt nichts. Lieber ein GB zu viel als eines zu wenig.
Als nächstes vergeben wir ein Passwort. Wenn Sie dieses Passwort vergessen, werden Sie nie mehr an Ihre Daten herankommen (siehe deshalb unten: Backups).
Ist Ihr Passwort zu kurz, warnt VeraCrypt, dass das einfach zu knacken sei. Grundsätzlich sind lange, komplexe Passwörter gut - aber bleiben Sie verhältnismäßig. Niemand wird mit Profitools Ihren Container knacken, um an zwei alte Notenlisten und Ihre Folien zu »Osmose im Wandel der Zeiten« zu kommen. Also wählen Sie ein Passwort, das Sie einigermaßen zügig eingeben können.
Im nächsten Schritt wird der Container formatiert, also sozusagen beschreibbar gemacht. Wählen Sie als Dateisystem exFAT aus. Bewegen Sie die Maus eine Zeit lang durch die Gegend, um Zufälligkeit zu erzeugen (das erschwert den Knackern das Knacken). Dann klicken Sie auf »Format«.
Das Dateisystem exFAT hat verschiedene Vorteile - unter anderem macht es bei Verwendung auf unterschiedlichen Betriebssystemen möglichst wenig Ärger und erlaubt die Speicherung sehr großer Dateien auf sehr großen Containern.
Je größer der Container ist, desto länger dauert das Erstellen. Gerade bei Containern mit mehr als 5 GB Größe sollte man deshalb den Container nicht auf einem USB-Stick erstellen sondern auf der Festplatte und anschließend den Container auf den Stick kopieren.
Genau das tun Sie als letzten Schritt - fertig!
3) VeraCrypt im Alltag benutzen
Sie haben jetzt ein externes Medium (z.B. eine externe Festplatte oder einen USB-Stick), auf dem sich
a) der VeraCrypt-Container befindet, außerdem
b) ein Ordner mit dem VeraCrypt-Programm selbst (Installation wurde oben in Schritt 1 erklärt):
Der Ordner mit der VeraCrypt-Installation muss nicht zwingend vorhanden sein, wenn das Programm schon auf dem Rechner installiert ist. Da Sie Ihren Container jedoch an beliebigen Rechnern öffnen können wollen, empfiehlt sich die Existenz eines solchen Ordners.
Nun starten Sie VeraCrypt (s.o. Schritt 1) und wählen einen Laufwerksbuchstaben aus, der noch nicht vergeben ist. "Q" ist nicht schlecht, da der selten als Standard für irgendwelche Medien verwendet wird. Dann wählen Sie Ihren Container aus und klicken "Mount".
Nun wird Ihnen ein neues »Laufwerk« angezeigt - der Container hat sich als neues Medium geöffnet (als hätte er sich in eine externe Festplatte verwandelt), und zwar mit dem gewählten Laufwerksbuchstaben. Unter Windows lautet die Bezeichnung »Lokaler Datenträger«, unter macOS lapidar »Untitled«
Dieses »Volume« können Sie nun genau so benutzen, als wäre es ein USB-Stick, eine Speicherkarte oder eine externe Festplatte. Sie öffnen es und kopieren Dateien, öffnen Dateien, speichern Sie ab usw.
Wenn Sie mit der Arbeit fertig sind, klicken Sie in VeraCrypt auf den Knopf »Dismount« oder beenden VeraCrypt einfach. Achten Sie darauf, dass keine Dateien aus dem Container mehr in Bearbeitung sind.
Hinweise zur Benutzung von VeraCrypt
Tipp: Volume bei Inaktivität automatisch auswerfen lassen
Wenn Sie Ihre externe Festplatte oder Ihren USB-Stick an einem fremden Rechner vergessen, dann hat jede zufällige Passant/in Zugriff auf den geöffneten Container. In VeraCrypt können Sie einstellen, dass der Container nach einer bestimmten Zeit der Inaktivität geschlossen wird.
Achtung: Im Falle der Einstellungen oben ("Force auto-dismount …") gehen Änderungen an geöffneten Dateien verloren!
Backups machen!
Wenn der Container beschädigt wird, sind alle Daten futsch (das ist bei einer Festplatte nicht so - hier kann man häufig noch einen Teil der Daten rekonstruieren). Anders gesagt: Wenn Ihr USB-Stick mal einen Tick zu heiß wird und sich nur ein Bit in ihrem Container dreht, ist alles weg.
Wenn Sie Ihr Passwort vergessen, sind ebenfalls alle Daten verloren.
Deshalb gilt: Machen Sie regelmäßig Backups! Die sicherste Möglichkeit besteht darin, zuhause alle Dateien des Containers auf Ihre Festplatte zu kopieren, am besten mit Datumsangabe.
Auch wenn Ihre Dateien mehrere Gigabyte umfassen - Backups sind Pflicht, wenn Sie den Container auf externen Medien herumschleppen, die dauernd mal runterfallen oder in den Regen kommen oder vom Magneten am Schlüsselbund infiziert werden können. Sie können ältere Backups ja nach einigen Wochen löschen.
Eleganter und schneller sind inkrementelle Backups; da diese zusätzliche Tools und/oder Kenntnisse erfordern, ignorieren wir das hier.
VeraCrypt kann nicht beendet werden
Manchmal möchten Sie Ihre externe Festplatte oder Ihren USB-Stick auswerfen und erhalten die Meldung, dass noch Dateien in Gebrauch seien, obwohl Sie das portable VeraCrypt schön beendet haben. Dann hilft oft nichts als ein Neustart.
Der richtige USB-Stick
Externe Festplatten nerven, weil man sie nicht einfach in die Hosentasche stecken kann. USB-Sticks sind da wesentlich praktischer - allerdings gibt es bei Anschaffung und Handhabung einige Punkte zu beachten. Das lesen Sie hier: USB-Sticks für Lehrer/innen: Praxistipps und Kaufempfehlungen