Verschlüsselte Datenträger in Windows
Datenträgerverschlüsselung (auch: Full Disk Encryption: FDE) genannt bezeichnet die Verschlüsselung eines kompletten Datenträgers (bzw. einer oder mehrere Partitionen) noch unterhalb des Dateisystems und ist damit für Anwendungen transparent (d.h. unsichtbar). Meist wird es sich um Festplattenverschlüsselung handeln, einige Hersteller bieten dies auch in Hardware.
Bei den Windowsversionen XP und 2000 ist mit Bordmitteln lediglich eine transparente Verschlüsselung von einzelnen Dateien und Ordnern möglich. Die Stichwörter dazu sind EFS (seit Win2000) für einzelne Dateien und Ordner und Bitlocker (ab Vista) für ganze Datenträger. Das Verschlüsseln des kompletten Startdatenträgers ist nicht möglich, da die Verschlüsselung beim Windowsstart noch nicht aktiviert ist. Dafür wird zur sicheren Abspeicherung des Schlüssels ein TPM-Chip auf dem Mainboard benutzt oder alternativ eine Schlüsselablage auf einem USB-Datenträger (der dann beim booten bereits angesteckt sein muss). Die Option, das Kennwort im Active Directory abzulegen, ist ab Windows Server 2003 SP1 oder Windows Server 2008 möglich.
Bitlocker ist ohne TPM ebenfalls möglich, dazu muss aber eine Gruppenrichtlinie angepasst werden. Wenn nicht ein Passwort-Stick oder der „BitLocker Recovery Key“ benutzt werden soll, sondern ein eigenes Passwort dann ist eine Version ab Windows 8 nötig.
Die Software Truecrypt bietet ab der Version 5 die Möglichkeit auch schon beim Systemstart aktiv zu sein. (pre-boot authentication).
Wenn allerdings Sicherheitslücken in Windowsprogrammen bzw. Windowsbestandteilen ausgenutzt werden, nützt die Verschlüsselung nichts, da laufende Programme oder Dienste transparent auf die Daten zugreifen können. Und das Ausnutzen von Sicherheitslücken ist bei Windows schließlich der kein seltener Weg um ins System bzw. an Daten zu kommen. Außerdem kann man auch bei Nutzung von Verschlüsselung nur hoffen, das Microsoft keine Fehler bei der Implementierung gemacht hat bzw. keine Hintertüren für Geheimdienste eingebaut haben. Überprüfen kann man naturgemäß nicht (eben closed-source).
Für Windows Benutzer kann auch folgender Artikel interessant sein: Verschlüsseltes Netzlaufwerk für Arbeitsgruppen.
Alternativen
- Mit FreeOTFE lassen sich verschlüsselte dm-crypt/LUKS-Datenträger auch unter Windows erzeugen und lesen. Es ist keine Installation nötig.
- DiskCryptor (Keine Container-Funktion, aber für Datenträger)