Systemverschlüsselung mit VeraCrypt, so geht es.
Wenn es um die Verschlüsselung der Systempartition geht denken wir bei Windows meist direkt an Bitlocker. Leider ist diese Verschlüsselungsmethode nur bei der Pro-Version von Windows mit dabei. Home-User haben keinen Zugriff auf die Funktion. Wer die Home-Version hat oder Microsoft nicht das Vertrauen schenkt, kann die Verschlüsselung auch mit VeraCrypt vornehmen. VeraCrypt ist die moderne Variante des eingestellten TrueCrypts.
In diesem Tutorial schauen wir uns an, wie wir Windows, bzw. die Windows-Systempartition verschlüsseln wollen. Nicht betrachtet werden, Dual-Boot-Konfigurationen, z.B. Windows und Linux.
Videoanleitung
Download
Zuerst laden wir VeraCrypt herunter. Die aktuelle Version gibt es auf der Downloadseite des Projekts. Anschließend installieren wir die Software.
Grundsätzlich empfehlen wir ein Backup von System und Daten vor der Verschlüsselung.
Verschlüsselung der Windows-System-Partition
Nach dem Start, rufen wir “System – Systempartition/Systemlaufwerk” verschlüsseln auf.
Für den Standardfall der Verschlüsselung verwenden wir nun die Option “Normal”.
Der Wizard führt uns nun durch die Schritte. Im nächsten Schritt legen wir fest, dass wir die Windows-System-Partition verschlüsseln wollen. Die zweite Option steht nur zur Verfügung, wenn wir weitere Partitionen auf unserem Laufwerk haben.
Es folgt die Abfrage nach den Betriebssystemen. Für unseren Fall gilt die Option eins. Sofern Sie ein zweites Betriebssystem installiert haben, kann dies hier festgelegt werden, wobei wir diesen Fall hier nicht direkt behandeln.
Es folgt die Festlegung der Verschlüsselung. Hier können wir gut mit den Standardeinstellungen leben und diese so belassen.
Nun geben wir das Kennwort ein. Je länger, desto besser. Wer mehr Sicherheit will, kann auch eine PIM verwenden. Eine Erklärung zur PIM gibt es hier.
Im nächsten Schritt werden zufällige Daten gesammelt für die Verschlüsselung, bewegen Sie den Mauszeiger bis der Balken grün wird im Fenster. Dies verbessert die Verschlüsselung.
Mit “Weiter” geht es weiter. Im folgenden Schritt bestätigen wir den Schlüssel.
Es erfolgt die Erstellung eines Rettungsdatenträgers. Verschlüsselung bietet nicht nur Vorteile, sondern es besteht auch immer die Gefahr, dass bei Beschädigungen des Datenträgers die Daten nicht mehr auslesbar sind. Wird beispielsweise zufällig der Bootloader beschädigt, ist kein Zugriff mehr auf die Daten möglich. Auch Datenrettungsprogramme greifen ins Leere.
Der Rettungsdatenträger erlaubt die Entschlüsselung und Wiederherstellung in solchen Fällen. Es empfiehlt sich daher, den Datenträger entsprechend zu sichern.
Als Nächstes können wir den Löschmodus festlegen. Standardmäßig würde die Verschlüsselung nur die bestehenden Daten verschlüsseln. Theoretisch und praktisch können aber in Speicherbereichen noch Daten von gelöschten Dateien liegen. Daher bietet VeraCrypt hier an, die freien Speicherbereiche zu löschen. Bei einem neuen Computer ist dies nicht notwendig. Ansonsten reicht im Regelfall ein einfaches Überschreiben.
Es folgt ein Test der Verschlüsselung. Dabei wird der Bootloader von VeraCrypt eingerichtet, die Daten aber noch nicht verschlüsselt. Dies dient dazu zu testen, ob wir das Kennwort richtig eingeben können, bevor wir die Daten verschlüsseln.
Nun starten wir den Computer ein und geben beim Booten das Kennwort ein.
Windows startet nun normal. Nach dem Einloggen startet VeraCrypt automatisch.
Ein Klick auf “Verschlüsseln” startet die Verschlüsselung des Laufwerks und der Daten. Nach dem Klick kann es einige Zeit, bis hin zu Minuten dauern, bis die Verschlüsselung startet. Geduld ist hier angesagt.
Je nach Datenmenge dauert der Vorgang einige Zeit, kann aber jederzeit pausiert werden. Nach Abschluss wird die verschlüsselte Systempartition in VeraCrypt angezeigt. Beim Booten des Computers müssen wir nun das Kennwort eingeben.
Entschlüsselung des Systemlaufwerks
Natürlich lässt sich die Verschlüsselung auch wieder rückgängig machen. Dies geht in deutlich weniger Schritten als die Verschlüsselung.
Im Menü System finden wir den Punkt zur Entschlüsselung.
Es folgen Warnungen, dass nach der Entschlüsselung die Daten wieder entschlüsselt sind. Gut, ist ja Sinn der Sache.
Dies müssen wir noch kurz bestätigen, anschließend beginnt die Entschlüsselung. Auch der Bootloader von VeraCrypt wird entfernt. Windows bootet anschließend wieder wie gehabt ohne Kennwort.
Fazit
Im Gegensatz zu Bitlocker haben wir bei der Verschlüsselung ein paar mehr Schritte, ein paar mehr Informationen durch zu klicken. Am Ende funktioniert die Methode auch auf modernen Computern mit Windows 11 recht gut.
VeraCrypt ist damit eine gute Option für Windows Home Anwender oder Nutzer, welche auch noch ein Linux parallel installiert haben.
Im Gegensatz zu BitLocker lässt sich der TPM-Chip hier aber nicht nutzen. Bitlocker hat den Vorteil, dass der Key im TPM-Chip hinterlegt werden kann, so dass im Alltag Windows einfach bootet. Dies bietet mehr Komfort, allerdings ist dies unter Umständen auch etwas weniger sicher.
