Entscheidungshilfe zur passenden Verschlüsselungsstrategie

Wer ob der Bedrohung seiner Privatsphäre oder seiner Geschäftsdaten mit Verschlüsselung loslegen möchte, stehen ein Fülle von Programmen und Diensten zur Verfügung. Diese Vorschläge sollen einen einfachen und kostenlosen Einstieg in die ersten Schritte zum Schutz unterschiedlicher Ansprüche darstellen.

Die gelegentliche Verschlüsselung

Wenn man nur alle Jubeljahre was verschlüsseln muss oder möchte, reichen Programme, die einfach zu handhaben sind. Man erstellt die verschlüsselte Datei, versieht diese mit einem Passwort und schickt sie dem Adressaten. Der große Nachteil ist das Passwort, dass mit jeder Verschlüsselung erstellt werden muss und das man dem Adressaten auf einem sicheren Weg, unabhängig vom Versand der verschlüsselten Datei, zukommen lassen muss. Für unerfahrene Adressaten stellt das Entschlüsseln eine große Hürde dar, weswegen man das Passwort gleich in einem Telefonat im Rahmen der Hilfe zum Entschlüsseln weitergeben kann.
Außerdem sollte man sich eine Strategie überlegen, ob man für verschlüsselte Dateien immer das gleiche Passwort verwendet, was aber ein Sicherheitsrisiko darstellt, oder ob man unterschiedliche verwendet. Aber wie soll man sich dann die Passworte merken? Einen Artikel habe ich unter 42.th2s.de/2012/11/das-elend-mit-den-passwortern.html geschrieben.

AxCrypt
Wer nur ab und an mal Informationen oder Dateien verschlüsselt verschicken möchte, kann die zu versendeten Daten mit Hilfe von AxCrypt vor fremden Blicken schützen. Das Programm gibt es auch für den USB-Stick. Ist AxCrypt installiert, kann man bequem mit dem Kontextmenü ausgewählte Dateien ver- und entschlüsseln. Verschlüsselte Dateien können auch als ausführbare Dateien gespeichert werden, was es dem Empfänger einfach macht, weil es kein zusätzliches Programm benötigt.

7-ZIP
Eigentlich dienst das Programm zum Packen von Dateien, wie auch das bekannte, aber nicht kostenlose WinZIP. Es können auch ganze Verzeichnisse in eine Datei kopiert werden, die mit einem Passwort versehen wird. Diese Datei ist nicht ohne weiteres zu entschlüsseln. Auch 7-ZIP kann ausführbare Dateien erstellen und gibt es als portable Version.

LockNote
Aus einer einzigen Datei besteht dieses Progrämmchen zum Verschlüsseln reinen Textes. Der Text wird nicht extra gespeichert, sondern ist Teil des Programms, das man entweder als Notizblock auf dem USB-Stick nutzen kann oder man verschickt die Datei per Mail. Der Empfänger muss dann nur die ausführbare Datei anklicken und das Passwort eingeben.
[Locknote scheint inzwischen nicht mehr direkt von Steganos erhältlich zu sein, aber z. B. bei Heise oder Chip]

Regelmäßige Verschlüsselung

Die regelmäßige Verschlüsselung erfordert insbesondere eine einfache Handhabung der passwortgeschützen Daten. Bei gelegentlicher Verschlüsselung, wie oben beschrieben, wird man jede verschlüsselte Datei mit einem eigenen Passwort versehen, was schnell unübersichtlich werden kann. Nutzt man Verschlüsselung regelmäßig, sollte man sich nach einfacheren Alternativen umsehen.

USB-Stick verschlüsseln
Mit Rohos Mini Drive lässt sich in der kostenlosen Version ein verschlüsselter Bereich von 8 GB nutzen. VeraCrypt und das nicht mehr weiterentwickelte TrueCrypt können das gesamte Stäbchen verschlüsseln. Allerdings ist Rohos Mini Drive so einfach zu nutzen, dass man keine Ausrede findet, die Verschlüsselung wichtiger Daten auf dem USB-Stick sei zu kompliziert.

Festplatten komplett verschlüsseln
Eine komplett verschlüsselte Festplatte hat den Vorteil, dass man sich nicht um bestimmte sichere Daten kümmern muss. Die Daten der Platte sind ohne das Passwort für Fremde nicht lesbar. Der Schwachpunkt ist das Passwort, das deswegen gut gewählt sein muss.

Bitlocker
Die Windows-eigene Verschlüsselung gibt es seit Windows Vista. Sie ist sehr einfach in der Nutzung, weil sie Benutzerabhängig ist. Die Entschlüsselung erfolgt mit der Anmeldung am Rechner. Aber bei einem Defekt der Festplatte kommt man nicht mehr an die Daten heran. Die bessere Alternative ist …

DiskCryptor
Das Programm verschlüsselt komplette Festplatten, so dass man Windows nur mit dem Passwort starten kann. Die Auswahl eines guten Passwortes ist deswegen wichtig.

Einen verschlüsselten Bereich auf dem Computer benutzen
Es muss vielleicht nicht gleich die ganze Festplatte verschlüsselt werden, sondern man möchte nur einen bestimmte Bereich haben, der vor fremden Blicken geschützt ist. Programme, die das bieten, erstellen einen sogenannten Container, in dem die verschlüsselten Daten wie auf einer Partition oder einem Laufwerk verwaltet werden.

TrueCrypt
TrueCrypt erstellt sogenannte Container-Dateien, denen beim Öffnen ein Laufwerksbuchstabe zugewiesen wird. So lange der Container offen ist, kann man ihn benutzen wie ein zusätzliches Laufwerk. Alles was man dort speichert, wird verschlüsselt, sobald der Container geschlossen wird; entweder per Hand oder wenn der Rechner runtergefahren wird.
TrueCrypt kann auch ohne Installation auf dem USB-Stick verwendet werden.
Obacht: TrueCrypt wird nicht mehr weiterentwickelt und dient deswegen eher der Nutzung bestehender verschlüsselter Container. Der Nachfolger basiert auf auf dem Quellcode von TrueCrypt und heißt …

VeraCrypt
Der legitime Nachfolger von TrueCrypt funktioniert genauso wie jener und kann ebenso auf auf dem USB-Stäbchen installiert werden. Die Software gibt es für Windows, Linux und MacOS X. Für Android und iOS gibt es Drittanbieter-Software, EDS für Android und Disk Decipher oder Crypto Disks für iOS.

My Lockbox
In der kostenlosen Version kann dieses Verschlüsselungsprogramm einen beliebigen Ordner verschlüsseln. Der Ordner kann allerdings beliebige Unterordner enthalten. Bei Start des Programms gibt man das Passwort ein, dann kann man den Lockbox-Ordner wie einen normalen Ordner nutzen. Wenn man das Programm beendet, ist der verschlüsselte Ordner nicht mehr sichtbar.
Während der Installation bitte auf Benutzerdefinierte Installation klicken, wenn man ZoneAlarm oder TuneUp Utilities nicht zusätzlich installieren möchte.

Keyparc
Eine besonders plietsche Methode einen verschlüsselten Bereich freizuschalten nutzt Keyparc, nämlich so genanntes Single Sign-On. Wenn man den Verschlüsselten Container aufruft, weist man sich als berechtigt aus, indem man Google Account Service, Yahoo! Browser-based Authentication oder Windows Live ID benutzt. Das Programm ist nur für die private Nutzung kostenlos und gibt es für Windows, Linux und Mac.
Keyparc benötigt Java, was man sich überlegen sollte. Bei mir hat das Programm nicht funktioniert, die Idee bleibt aber bestechend.

Unregelmäßiger Datenaustausch von Mail

Wer unregelmäßig wichtige Informationen mit anderen austauschen möchte und diese nicht als Postkarte verschicken möchte oder darf sollte eine einfache und flexible Lösung wählen.

gpg4usb
Sehr flexibel, weil unabhängig von einem bestimmte E-Mail-Programm, ist gpg4usb. Man muss nur mit den Kommunikationspartnern die öffentlichen Schlüssel tauschen und braucht sich außer dem eigenen Schlüsselpasswort von gpg4usb keine weitern merken. gpg4usb benötigt keine Installation und kann deswegen vom USB-Stab genutzt werden.
Eine Anleitung habe ich unter 42.th2s.de/2014/07/klandestine-botschaften-mit-gpg4usb.html geschrieben.

Regelmäßig E-Mail verschlüsselt verschicken
Wer einen Großteil seiner E-Mail-Kommunkation verschlüsseln muss, sollte entsprechende Erweiterungen verwenden oder auf Kullo zurückgreifen.

ProtonMail
Ähnlich wie Kullo funktioniert ProtonMail, das allerdings nur im Browser und auf Smartphones unter iOS und Android läuft.

Enigmail und Thunderbird
Der Vorteil von GnuPG ist, dass man keine aufwändige Infrastruktur benötigt. man benötigt nur eine Erweiterung, die die Schlüsselverwaltung übernimmt. Deswegen bietet sich insbesondere Thunderbird als E-Mail-Klient an, für das man die Erweiterung Enigmail installiert. GnuPG muss außerdem zusätzlich installiert werden.
Mit GnuPT Thunderbird Portable gibt es eine komplette, portable Version.

S/MIME
S/MIME ist eine alternative Verschlüsselung zu GnuPG, die auf Certificate Authorities setzt; das sind Instanzen, die die Echtheit der Verschlüsselung bestätigt. Die Zertifikaten müssen allen Partnern bekannt sein und im E-Mail-Programm importiert werden. Das können allerdings alle modernen E-Mail-Programme. Als Privatperson kann man bei einigen Anbietern kostenlose Zertifikate erhalten, z. B.

• StartSSL, www.startssl.com/
• Comodo, www.comodo.com/home/email-security/free-email-certificate.php

Kurznachrichten verschlüsseln

Kurznachrichten haftet der Makel an, dass sie unterschiedlichen Stellen mitgelesen werden können. Kurznachrichten, die wirklich nur vom Sender und Empfänger gelesen werden können, sind eher rar.

Threema
Der schweizerische Kurznachrichtendienst ist der Klassiker unter den Ende-zu-Ende-verschlüsselten Nachrichtendiensten für Smartphones. Threema gibt es für Android, iOS und Windows Phone.

Telegram
Telegram besticht insbesondere durch die breite Unterstützung von Plattformen und Betriebssystemen. Das Programm gibt es für Android, Windows Phone, iOS, Windows (auch für USB-Stecken), Linux, MacOS.

Wire
Verschlüsselte Kurznachrichten, Gruppenchats, Sprach- und Videoanrufe mit Ende-zu-Ende-Verschlüsselung bietet das Open-Source-Programm Wire. Damit deckt das Programm das breiteste Angebot an verschlüsselten Kommunikationsdiensten ab. Wire kann man im Browser nutzen und unter Windows, MacOS, Android und iOS installieren.

Off-the-Record Messaging
Off-the-Record Messaging ist eigentlich kein Programm, sondern eine Erweiterung für Kurznachrichtendienste wie Pidgin und Miranda. OTR-fähige Programme kommunizieren mit der Erweiterung verschlüsselt.

SMS mit Signal
Signal ersetzt die SMS-App des Telefons und kann verschlüsselte SMS schicken, wenn das Programm vom Empfänger ebenfalls benutzt wird. Die Ver- und Entschlüsselung finden nur auf den jeweiligen Geräten statt, die Installation ist trivial. Noch einfacher geht sichere Kommunikation kaum.

Eigene Daten in der Cloud verschlüsseln

Speicherplatz, der sich dem eigenen Zugriff entzieht, einfach, weil er irgendwo im Internet liegt, ist natürlich alles andere als sicher, wenn es um die Sicherheit der Daten geht.

CryptSync
Eine einfache Methode, Daten auf fremdem Cloudservern zu verschlüsseln, beruht auf CrytSync. Die Dateien sind auf dem heimischen Rechner in einem unverschlüsselten Verzeichnis zum arbeiten und werden von CryptSync vor dem Upload auf den Cloud-Speicher verschlüsselt.
Eine Anleitung habe ich unter 42.th2s.de/2014/07/daten-in-der-cloud-verschlusseln.html beschrieben.

SpiderOak
Der Clouddienst SpiderOak behält keine Schlüssel auf deren Server. Man ist also Herr seiner Daten; selbst der Dienstleister verspricht die Daten nicht entschlüsseln zu können.

Ladeliste
7-ZIP


7-ZIP Portable


AxCrypt


AxCrypt2Go
www.axantum.com/AxCrypt/Downloads.html

Crypto Disks
https://itunes.apple.com/us/app/crypto-disks-store-private/id889549308

CryptSync


DiskCryptor


Disk Decipher
http://disk-decipher.hekkihek.nl/

Enigmail
www.enigmail.net/home/index.php

GnuPT Thunderbird Portable


GNU Privacy Guard (GnuPG) für Thunderbird und Enigmail


gpg4usb


Keyparc
www.keyparc.com

LockNote


My Lockbox


Off-the-Record Messaging
https://otr.cypherpunks.ca

• OTR-Plugin für Kopete
• OTR-Plugin für Miranda
• OTR-Plugin für Pidgin
• OTR-Plugin für Trillian

Rohos Mini Drive


Signal für Android
https://play.google.com/store/apps/details?id=org.thoughtcrime.securesms

Signal für iOS
https://itunes.apple.com/us/app/signal-private-messenger/id874139669

SpiderOak


Telegram
https://telegram.org

Threema
https://threema.ch/de/download

Thunderbird


TrueCrypt


VeraCrypt


Wire
https://wire.com/download/