Damit Privates privat bleibt

Truecrypt bietet ein spärliche, aber durchaus funktionale Oberfläche

15. April 2008 Rechtsprechung und Rechtswirklichkeit driften auseinander. Auf der einen Seite hat das Bundesverfassungsgericht im Februar die nordrhein-westfälischen Vorschriften zur Online-Durchsuchung für nichtig erklärt und ein neues Grundrecht aus der Taufe gehoben: das Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, auf eine private Datensphäre also. Auf der anderen Seite finden in Deutschland auf Betreiben der Musikindustrie jeden Monat Tausende von Hausdurchsuchungen statt. Hier werden private PC beschlagnahmt und anschließend nicht etwa von den Strafverfolgungsbehörden ausgewertet, sondern von demjenigen privaten Unternehmen, das im Auftrag der Musikindustrie ebendiese Durchsuchungsaktionen initiiert hat. Weil das Ganze zur Massenveranstaltung geworden ist, erwischt es immer mehr unbescholtene Bürger. Etwa durch Zahlendreher bei der Zuordnung der IP-Adresse zu den Kundendaten.
Man sollte sich also Gedanken darüber machen, was man auf seinen Festplatten hat. Bei den meisten PC kann man sofort auf alle Inhalte zugreifen. Einmal durch die „Eigenen Dateien“ blättern, schon tauchen Word-Dokumente und Excel-Tabellen auf. Ein weiterer Mausklick fördert private Briefe zutage oder das Fax ans Finanzamt. Mit der Suchfunktion von Windows lassen sich ebenso schnell JPG-Bilddateien finden, auch die peinlichen und gut versteckten Aufnahmen der letzten Betriebsfeier und die Strandfotos mit barbusiger Ehefrau. Vorsichtige Zeitgenossen schützen Texte und Tabellen mit einem Kennwort. Schon die Dateinamen können indes verräterisch sein, und der Kennwort-Schutz der meisten Programme ist schnell zu „knacken“.

Aus der „Open Source“-Bewegung gekommen

Wer sichergehen will, braucht zusätzliche Verschlüsselungssoftware. Hier hat sich seit Jahr und Tag die englische Software Truecrypt bewährt. Sie kommt aus der „Open Source“-Bewegung: Der Programmcode ist für jedermann einsehbar, es gibt also keine Hintertürchen wie möglicherweise bei kommerzieller Software, sie ist kostenlos verfügbar (www.truecrypt. org) und genügt höchsten Sicherheitsansprüchen. Seit einigen Wochen steht die Version 5.1 zur Verfügung, sie kann erstmals komplette Systempartitionen von Windows XP und Vista schützen. Bevor man diesen aufwendigen und etwas riskanten Weg beschreitet, sollte man zunächst einen Blick auf die Basisfunktionen werfen.
Im einfachsten Fall basiert Truecrypt auf folgender Idee: Man legt auf der Festplatte eine nahezu beliebig große Datei an. Sie verhält sich wie ein Container und nimmt die Dokumente, Bilder, Videos oder Programme auf, die man schützen will. Der Container kennt zwei Zustände: Ist er geöffnet, kann man auf seinen Inhalt wie auf eine Mini-Festplatte zugreifen. Er erhält sogar einen eigenen Laufwerksbuchstaben. Selbst Programme lassen sich im Container unterbringen und aus ihm starten. Ist der Container geschlossen, sieht man nicht, was in ihm steckt. Wird der PC inspiziert, würde der Schnüffler nur die Container-Datei finden, die beispielsweise „Weihnachtsvideo.avi“ heißt oder als „Systemctr32“ irgendwo in den Untiefen der Windows-Verzeichnisse schlummert. Ohne das Kennwort ist der Container nicht zu öffnen, auch nicht von den Geheimdiensten.

Kennwort seines privaten Datentresors preisgeben

Nun kann es sein, dass man gezwungen wird, das Kennwort seines privaten Datentresors preiszugeben. Für solche Fälle setzt Truecrypt auf einen weiteren Trick: Es lässt sich ein Container im Container einrichten, quasi ein unsichtbares Geheimfach im Geheimfach. Mit dem ersten Kennwort gelangt man nur in den Alibi-Container, wo man am besten Unterlagen verstaut, die einen Schein von Wichtigkeit erwecken. Die wirklich geheimen Dokumente landen im zweiten Container.
Einige Vorsichtsmaßnahmen sollte man nicht vergessen. Wird der Rechner mit geöffnetem Container versehentlich ausgeschaltet oder heruntergefahren, gibt es in der Regel keine Probleme. Wenn allerdings jemand die Containerdatei löscht - und das geht auch bei geschlossenem Container -, ist der Datentresor futsch. Empfehlenswert ist also, die Datei mit Windows-Bordmitteln unsichtbar zu machen und an einem sicheren Platz auf der Festplatte zu verstauen: irgendwo in den Tiefen der Windows-Systemverzeichnisse beispielsweise. Auch sollte man die Tresordatei regelmäßig auf anderen Datenträgern sichern, etwa auf einer externen Festplatte oder auf CD brennen. Mit Truecrypt kann man auch mehrere Container gleichzeitig anlegen, wenn der Platzbedarf für Privates etwas größer ist.

Je länger und komplizierter das Kennwort, desto besser

All das kann man unverbindlich ausprobieren. Geht es jedoch darum, mit der neuen Funktion die Systempartition oder die gesamte Festplatte zu verschlüsseln, ist äußerste Vorsicht angesagt. Wir empfehlen, vorab unbedingt eine Sicherungskopie des Systems anzulegen. Oder besser: zunächst mit einem ausrangierten PC zu experimentieren. Wer „encrypt the system partition“ wählt, wird von einem Assistenten angeleitet. Man vergibt zunächst ein Kennwort. Truecrypt installiert also einen eigenen Bootloader im Master Boot Record der Festplatte. Je länger und komplizierter das Kennwort, desto besser. Anschließend berechnet Truecrypt aus dem Kennwort einen längeren Schlüssel, dazu muss man Zufallszahlen durch eine Mausbewegung generieren. Danach wird eine ISO-Datei für eine Rettungs-CD erstellt, die man brennen muss.

Um diesen Schritt kommt man nicht herum, denn Truecrypt prüft die gebrannte CD. Erst danach beginnen die Verschlüsselung der Festplatte und das Überschreiben früherer unverschlüsselter Inhalte. Truecrypt behandelt sämtliche Sektoren der Festplatte, so dass auch Reste von gelöschten Dateien verschlüsselt werden. Dieser Vorgang kann durchaus eine Stunde und länger dauern. Fortan muss nach jedem Neustart des Systems das Kennwort eingegeben werden, und die Festplatte ist sicher wie in Abrahams Schoß. Bei uns funktionierte das alles mit einem älteren Notebook problemlos, Zugriffe auf die Festplatte sind mit Truecrypt nur unmerklich langsamer.
Zum Schluss bleibt nur: Die Rettungs-CD irgendwo sicher unterzubringen, denn mit ihrer Hilfe lässt sich für den Fall der Fälle der ursprüngliche Bootloader zurückschreiben und die komplette Platte wieder entschlüsseln. Aber nur mit dem Kennwort.