Daten sicher verschlüsseln | c't uplink 46.8
ฝัง
- เผยแพร่เมื่อ 3 ต.ค. 2024
- Der 28. Januar ist Europäischer Datenschutztag: Passend dazu geben wir in c't uplink Tipps zum Verschlüsseln von Daten auf PCs, Notebooks und externen Speichermedien. Die meisten Betriebssysteme können von Haus aus den kompletten Rechner verschlüsseln. In der aktuellen Folge von c't uplink erklären wir, wie das genau funktioniert und wie man sein System dafür konfiguriert. Windows bringt von Haus aus die SSD- und Festplattenverschlüsselung BitLocker mit - auch in der Home-Variante in abgespeckter Form als "Geräteverschlüsselung". Als Alternative bietet sich das Open-Source-Tool VeraCrypt an, dass man auf Linux, macOS und Windows nutzen kann. Sowohl BitLocker als auch Veracrypt haben so ihre Tücken, weshalb c't-Windows-Experte Jan Schüßler dazu häufig Leserfragen bekommt.
Christof Windeck aus dem Hardware-Ressort erklärt, wie Sicherheitschips auf dem PC mit Verschlüsselungssoftware zusammenspielen und warum das alles ziemlich sicher ist, obwohl man zum Entsperren eines verschlüsselten Windows-Notebooks kein kompliziertes Passwort eingeben muss. Deshalb muss man auch höllisch aufpassen: Wenn bei einem Update etwas schief geht und der Bitlocker-Wiederherstellungsschlüssel verlangt wird, sollte man ihn unbedingt parat haben. Am besten, man druckt ihn aus und heftet ihn für alle Fälle ab.
In c't hat Lutz Labs außerdem spezielle USB-Sticks, Festplatten und SSDs mit integrierter Verschlüsselung getestet. Um die zu entsperren, muss man eine PIN auf einem eingebauten Tastenfeld eintippen oder sich per Fingerabdruck identifizieren. Für den Test hat Lutz die Hardware auch an einen Sicherheitsexperten geschickt, der die Dinger aufgebohrt und zu hacken versucht hat.
Mit dabei: Achim Barczok, Lutz Labs, Jan Schüßler, Christof Windeck
Windows Laptop mit Microsoft Konto verschlüsseln ? Solange Microsoft ganz legal dein Microsoft Konto kündigen kann und dann alles gekaufte aus deren Shop (Office365 Abo, gekaufte Spiele, Xbox-Spiele....) weg ist und du dann auf einmal keinen Zugriff auf dein Microsoft Konto hast würde ich keinen Laptop mit Microsoft Konto verschlüsseln. Denn wenn das Konto gesperrt / gelöscht ist, ist der Laptop unbenutzbar, alle Daten darauf unerreichbar und reif für eine Neuinstallation.
Ich glaube das wart sogar ihr bei Heise die über den Fall des gesperrten Microsoft Kontos berichtet habt ....
Und wie war das mit dem UEFI wo Microsoft auf einmal alle Linux von der Installation ausschloss ?
Ich vertrau denen genau so weit wie ich eine Waschmaschine werfen kann 😉
Meine Datensicherheitsstrategie ist erstmal Linux verwenden. Aus praktischen Gründen ist nur das Home Verzeichnis verschlüsselt.
Alle USB-Sticks mit persönlichen Daten sind LUKS-verschlüsselt. Steckt man den in einen Windows Rechner will Windows den Stick gleich formatieren weil er das Linux-Dateisystem nicht kennt 😁 Die Backup-Festplatte ist LUKS verschlüsselt.
Wenn ich NTFS-formatierte windows-kompatible USB-Sticks verwenden muss sind darauf alle sensiblen Daten 7zip gepackt und verschlüsselt. Oder ich benutze mein Android Handy mit seiner Speicherkarte zum Datentransport. Sensible Daten werden nur im Handy-Speicher und nicht auf der SD-Card gespeichert. Ich hab noch nicht rausgefunden wie ich eine verschlüsselte SD-Card mit Android erstellen kann 🤔
Damit dürfte niemand an die Daten kommen sollte mir ein Datenträger abhanden kommen.😊
Meine Systempartition ist mit Veracrypt verschlüsselt. Kein Problem auf meinem 6 Jahre alten Notebook. Leider ist mein NAS (OMV auf Raspi, nach Kenos 3003 Anleitung) noch nicht encrypted. Hier habe ich noch keine Lösung für einen mäßig ambitionierten Hobby-Admin gefunden.
Leider habt ihr beim Vorlesen meines Kommentares den entscheidenden Teil weggelassen. Nämlich das mein NAS auf OMV aufbaut. Man kann hier wohl mit Luks verschlüsseln, welches auch in der Sendung erwähnt wird, allerdings ist mir keine Anleitung bekannt, die dies ohne größere Linux Kenntnisse auf einem Raspi4 ermöglicht.
Ich habe meine ganz geheimen Daten auf einem USB-Stick, auf dem ein Veracrypt-Container ist. Wenn mein Bildschirm, Netzteil oder Tastatur am Laptop kaputt ist und man nichts mehr mit dem System machen kann, ziehe ich den USB raus und gebe das Gerät in die Reparatur. Meinen USB-Stick verwende ich dann einfach im Ersatzrechner.
Ich bin Fan davon meine Wiederherstellungsschlüssel von Bitlocker in meinem Password Manager(ENPASS) zu speichern. Klar ist das ein single point of failure wenn dieser Kompromittiert wird. Aber einen Verlust muss ich nicht fürchten da eine vollständige Datenbank auf jedem Endgerät liegt und von denen auch auf jedem Endgerät auch noch ein Backup gemacht wird. Synchronisation findet über meine Nextcloud statt. Die Datenbank liegt somit in verschiedenen Versionen an Räumlich und IT-Technisch getrennten Orten. Ist für mich besser als ein Ausgedruckter Zettel.
Puh, ich benutze zwar auch Enpass, habe aber meine Wiederherstellungsschlüssel in einem Extra-VeraCrypt-Container, den ich rechnerübergreifend synchronisiere. Mir fällt jetzt aber auch kein Argument ein, warum ich die nicht einfach auch in Enpass packe. Außer vielleicht, dass ich bei Enpass öfters mal kleine Syncprobleme hatte, die im Fall des Wiederherstellungsschlüssels ein echtes Problem gewesen wären.
15:39 Bei iOS kann man die Geräteverschlüsselung (noch nie, zurecht) abschalten, proof me wrong!
Bitlocker gestern wahnsinnig gemacht, Festlatte neu Formatiert und Win 11 neu darauf gemacht und gleich ein lokales Konto erstellt, um mich nicht immer anzumelden. Und jetzt komme ich nicht mehr auf meine anderen Festlatten, weil ich nie gewusst habe das es verschlüsselt ist und ein Key bekommen habe. Aber auf dem Microsoft Konto war zum Glück der Key von den Festlatten.
So ein Wahnsinn. Und dann hätte man auch noch Pech haben können und Microsoft hätte einem das Konto gesperrt und man hätte dann automatisch keinen Zugriff auf die damit verknüpften BitLocker-Schlüssel gehabt.
Man muss echt verrückt sein, Windows mit Microsoft-Konto zu verwenden...
@@87solarsky Dem kann ich nur zustimmen 🙂
Gute und sehr interessante Sendung! :)
Danke! :)
Als regelmäßiger Zuschauer des Uplinks würde ich mich über 1-2 zusätzliche Videos pro Woche freuen, falls das machbar ist.
Ihr könntet beispielsweise die Tech-Themen der Woche besprechen.
Oder ihr sprecht über Themen die von den Zuschauern/Zuhörern vorgegeben werden bzw. lasst über eine von euch getroffene Auswahl entscheiden.
Oder ihr lasst euch regelmäßig Fragen von den Zuschauern/Zuhörern schicken und beantwortet sie dann.
Oder auf Tipps und Tricks anderer Medienschaffender reagieren und ggf. korrigieren.
Gerne würde ich auch sehen, was die Mitarbeiter im Heise Verlag an Software & Handware privat nutzen und warum sie sich dafür entschieden haben.
Falls den anderen Zuschauern/Zuhörern noch etwas interessantes einfällt, können sie gerne noch auf meinen Kommentar antworten.
Danke für die Aufmerksamkeit!
Danke für die verschiedenen Vorschläge. Mit zusätzlichen Videos experimentieren wir gerade, da kommt noch mehr. Die Idee, Themenvorschläge aufzugreifen ist gut - hättest Du welche?
Von Festplattenverschlüsselung und Konsorten halte ich GAR NICHTS! Zu groß die Gefahr, das ich das Passwort vergessen oder die Festplatte zerschossen wird.
Bei Daten, die mir wirklich wichtig sind lege ich zwei, vier, acht oder mehrere Backups an.
Was ich mich immer frage bei Software-Verschlüsselung (z. B. bei Bitlocker/VeraCrypt):
Es wird stets gesagt, dass es keine bzw. kaum Auswirkung auf die Performance hat, da die Prozessoren AES integriert haben. Aber wie sieht es mit der SSD/HDD (oder generell dem Speichermedium) aus, wird das dann nicht zum Flaschenhals beim Daten lesen oder schreiben?
(Vielleicht wird es auch noch im Video behandelt, habe es noch nicht fertig geschaut.)
Dürfte keine Performancenachteile geben, da die Platten ja transparent verschlüsselt und in dem Moment wo man damit arbeitet - unverschlüsselt sind :)
@@THeck_23 Nein. Es gibt keine sich selbstentschlüsselnde Daten. Die Daten bleiben auf den Platten immer verschlüsselt. Wenn gelesen oder geschrieben wird, muß die CPU on-the-fly ent- oder verschlüsseln.
Die Aussage, daß es keine Performance-Nachteile gibt, ist nicht ganz richtig. Richtig ist: in praktischen Anwendungen spürt man kaum Nachteile. Das ist wie mit SATA-SSD vs NVME-SSD. Der Unterschied ist im normalen(!) Betrieb kaum zu spüren, trotz der drastisch höheren Transferraten.
Zur Einordnung: selbst eine moderne Notebook-CPU AES-NI kann an die 3GB pro Sekunde ent- oder verschlüsseln (reine Verschlüsselungsleistung mit Daten im RAM). Ohne AES-NI sind es eher 100MB pro Sekunde, was bei Dateizugriffen spürbar bremsen und die CPU-Last schnell auf 100% bringen würde.
In der Praxis erreicht man aber deutlich geringere Durchsätze als die 3BG/s, da Latenzen im Kernel die Performance versauen. Ver- und Entschlüsseln ist eine heikle Sache, da man sicherstellen muß, daß dem Kernel nicht der Schlüssel durch unberechtigte Prozesse geklaut werden kann. Ich kenne mich nur mit Linux ein wenig aus. Dort sind 600MB/s bei einem LUKS-verschlüsseltem System realistisch. Ob Windows da besser ist, vermag ich nicht zu sagen - vermutlich sieht es da nicht viel anders aus. Allerdings: in der Praxis reicht der Durchsatz, daß man keine Bremswirkung spürt.
Danke, top aktuelle Übersicht...
Gute Sendung. Etwas nervig, dass Achim ständig bei den Fragen schon spekulative Antworten mit formuliert und diese dann von den Kollegen aufwändig korrigiert werden müssen. Kurze und prägnante Fragen ließen mehr Zeit für die Antworten der Gäste.
Huch, das ist mir bei der Sendung nicht aufgefallen. Danke für das Feedback!
Ich finde es absurd, über Verschlüsselung zu reden und WINDOWS zu verwenden. Windows ist eine reine und waschechte Wanze (das kann man auch bei heise in aller Tiefe nachlesen) die ohnehin alles an MS und angeschlossene "Unternehmen" sendet. [0] und [1]
Ich wüsste nicht, wozu man Verschlüsselung einsetzen soll, wenn man einen Wiederherstellungsschlüssel an einen NSA-Datenlieferanten übermitteln muss und wie gesagt, Windows überträgt sowieso alles, was sie wollen an ihre Spähserver, da kann man sich die Verschlüsselung sparen, da hilft auch kein Veracrypt, das Problem ist Windows und alles was man nach "Windows" sagt, ist schlicht _void_.
Und es ist eine reine Unwahrheit, dass man Apple-Geräte nicht ohne Konto nutzen kann.
.) Erstens kann man ein iOS Gerät VÖLLIG ohne Apple-ID verwenden (wenn einem die vorinstallierten Apps reichen, was sie durchaus tun könnten).
.) Zweitens überträgt iOS keinen Wiederherstellungsschlüssel an Apple, der Gerätecode verbleibt im Kopf des Anwenders und das ist auch genau der EINZIGE Ort an dem eine Passphrase sein sollte.
.) Drittens kann man sich einen reinen Appstore-Account einrichten.
.) Viertens kann man WENN man iCloud möchten eine eigene ID dafür anlegen, die mit der Appstore-ID nichts zu tun hat und auch unterschiedlich zur FaceTime Apple-ID sein kann.
.) Fünftens trifft all das auch auf macOS zu.
[0] www.heise.de/news/Datenschutzbeauftragter-Behoerden-sollten-unverzueglich-auf-Microsoft-verzichten-5990886.html
[1] www.heise.de/forum/Mac-i/Kommentare/Umsteigen-von-Windows-auf-den-Mac/Windows-10-ist-eine-Wanze-Eine-Wanze-zu-betreiben-ist-indiskutabel/posting-31881405/show/
Na ja nun wollen wir mal nicht übertreiben nur, weil du kein Windows magst, dann benutze eben was anderes, Linux bietet sich ja an, das dümpelt ja schon seit Jahren so vor sich hin. Ich kann mir nicht vorstellen das MS eine Verschlüsselung rausbringt für ihr Betriebssystem, was den "Recovery Schlüssel" in dem Fall wir sprachen ja von Bitlocker zu MS überträgt oder 007 Mäßig zur NSA. Die Daten des verschlüsselten USB-Sticks werden sie wohl kaum übertragen können bei unseren tollen Upstreams, die wir hier in Deutschland haben. Und auch wenn das so wäre das sie den Recovery Schlüssel übertragen würden haben sie noch lange nicht meinen verschlüsselten Datenträger. Ohne diesen können die sich den Recovery Schlüssel dahin stecken, wo die Sonne nicht scheint. Also ich bin mit BitLocker sehr zufrieden, es macht das, was es soll und gut ist. Übrigens für die Redakteure bei mir ist der Recovery Schlüssel auf einem NAS Gesichert (NAS01), dieser hat direkt darunter noch einen Backup NAS (NAS03) der die Daten Synchron hält. Und alle 3 Stunden wird dazu noch ein Rsync zu einem anderen NAS (NAS04) über Internet gemacht, der auch eine Kopie des Recovery Schlüssel enthält, der nicht hier bei mir Zuhause steht. Also ich glaube nicht das ich mir das was aufschreiben muss das sollte so ausreichen und wen nicht kann ich ja bei der NSA nachfragen die haben bestimmt von mir "extrem wichtige Person" den Recovery Schlüssel. LOL
@@DD6VDch muss Dich enttäuschen, wenn Du ein MS Konto, und das „muss“ man ja bei Windows 11 Home bei der Einrichtung einrichten benutzt, dann wird durchaus ein Recovery Key von Bitlocker zur MS Cloud übertragen! Was danach (NSA) damit passiert, sei mal dahingestellt (ich glaube nicht dran, selbst wenn, s.u.)!
Jetzt kann man ja sagen, man kann den Onlinekonto“zwan“ umgehen (mit Tricks), usw.
Es geht „nur“ um den gemeinen Standard, den jeder DAU ab Werk vorfindet, und das ist auch gut so!
Denn, und jetzt zu meiner Erklärung, nicht jeder der hier so Kommentare schreibt steht auf einer NSA Liste! Sorry, aber halten sich eigentlich alle immer für James Bond? Oder was ist da los? Ich habe das Gefühl, manche leben permanent in einer Traumwelt. Und vergessen die reale Welt.
Hier in dem Video und in dem Heft Artikel geht es sicherlich nur um Schutzmöglichkeiten für den normalen Anwender, und da interessiert es mich doch nicht, ob die NSA meinen Recovery Key von meinem lokalen Computer kennt.
Hier gehts darum, wenn Otto einbricht, und neinen PC klaut, dass er nicht meine „intimsten“ Daten bekommt!
Oder, und das ist bei meiner alten Firma schon vorgekommen, nachts eingebrochen wird und die Arbeits PCs geklaut werden, jemand was mit den Daten machen kann!
Oder viel einfacher Fall. Jemand klaut mein Handy.
Der zweite Teil bezieht sich auf den OT 🤪
@@DD6VD Ich verstehe. Es ist einfach egal, ausgespäht zu werden. Das ist dein gutes Recht; alles Gute!
@@watchadult5743 Du weißt doch gar nicht was Microsoft ausspäht bei Dir und was nicht, da sie bis heute nicht offengelegt haben, was sie überhaupt bei Windows 10/11 an Daten zu sich übertragen. Das kann man auch gut in Deinen Links die Du hier so Postest nachlesen. Du setzt die Firma erstmal unter Generalverdacht und behauptest hier irgendein Nonsens was nicht belegbar ist. Dass die natürlich so wie Google alles über uns wissen wollen, nach Möglichkeit ist insoweit klar, weil es da einfach mal um gezielte Werbung und dann wiederum um Geld geht und um nichts anderes. Und wie Bogomil schreibt oben: "Hier in dem Video und in dem Heftartikel geht es sicherlich nur um Schutzmöglichkeiten für den normalen Anwender, und da interessiert es mich doch nicht, ob die NSA meinen Recovery Key von meinem lokalen Computer kennt.
Hier gehts darum, wenn Otto einbricht, und meinen PC klaut, dass er nicht meine „intimsten“ Daten bekommt!"
Da hat er Recht so sehe ich das auch. Und dafür funktioniert BitLocker erstaunlich gut.
@@Bogomil76 Dann ist das neu bei Windows 11 das er das ungefragt macht, bei meinen Windows 10 und den MS Konto konnte ich keinen gespeicherten Recovery Schlüssel finden. Windows 11 setze ich hier nicht ein. Danke für den Hinweis.