In diesem Artikel werfen wir einen tieferen Blick auf die verschiedenen Verschlüsselungslösungen, die von unterschiedlichen Herstellern angeboten werden.

Schauen wir uns genauer an, wie Betriebssystemhersteller mit den Optionen der Datenverschlüsselung umgehen. Die Handhabung der Datenverschlüsselung unterscheidet sich erheblich.

Hinweis: Apple und Google verschlüsseln die gespeicherten Daten in ihren aktuellen Betriebssystemen Android und iOS automatisch. Die Verschlüsselung wird jedoch nicht nur automatisch aktiviert, sondern ist auch für den Endbenutzer vollständig transparent.

Anders sieht es bei Standard-Computerbetriebssystemen aus. Aufgrund des hohen Marktanteils von Laptops mit Windows- und MacOS-Betriebssystemen werden wir uns auf diese konzentrieren.

Apple bietet die Möglichkeit, die gespeicherten Daten mit dem vorinstallierten Programm FileVault auf allen aktuellen MacOS-Geräten zu verschlüsseln. Diese Anwendung ist kostenlos verfügbar und kann mit wenigen Klicks aktiviert werden. Wie bei der Android- und iOS-Verschlüsselung ist die Nutzung für den Endbenutzer vollständig transparent und im täglichen Gebrauch nicht spürbar.

Bei Windows sieht die Situation jedoch anders aus. Wenn wir uns Microsofts Betriebssystem ansehen, stellen wir fest, dass Unternehmen häufig das vorinstallierte Tool BitLocker verwenden. Ein Vorteil von BitLocker ist, dass es grundsätzlich möglich ist, die Systemverschlüsselung durch die Verwendung eines Hardwaregeräts namens Trusted Platform Module (TPM) vollständig transparent zu gestalten. Durch diesen Ansatz wird der Benutzer in seiner täglichen Arbeit nicht beeinflusst.

Darüber hinaus bietet BitLocker die Möglichkeit, die Sicherheit durch die Verwendung eines zusätzlichen Passworts zu erhöhen. Dieses wird beim Start des Betriebssystems angefordert.

Ein großer Nachteil von BitLocker ist jedoch, dass die Funktion in der Home-Version von Windows nicht verfügbar ist. Dies ist die Standardversion für Privatanwender. Um die Verschlüsselungstechnologie für jedermann zugänglich zu machen, hat Microsoft seit Windows 8.1 eine Funktion namens Geräteverschlüsselung eingeführt. Mit dieser Funktion ist es möglich, Betriebssystemlaufwerke auf die gleiche Weise wie mit BitLocker zu verschlüsseln. Microsoft hat jedoch einige Einschränkungen auferlegt. Neben erweiterten Hardwareanforderungen ist es nicht möglich, beim Start des Betriebssystems ein zusätzliches Passwort anzufordern. Außerdem wird der sogenannte Wiederherstellungsschlüssel, der vollen Zugriff auf das verschlüsselte Laufwerk ermöglicht, zwingend entweder in einer verbundenen Domäne oder über ein Microsoft-Konto bei Microsoft gespeichert. Der erste Fall tritt bei Privatanwendern jedoch nur selten auf.

Wir sehen also, dass die beiden großen Betriebssystemhersteller im Notebook-Segment grundsätzlich Lösungen anbieten, die es ermöglichen, die gespeicherten Daten zu verschlüsseln. Allerdings haben alle bisher vorgestellten Lösungen aus Sicherheitssicht einen erheblichen Nachteil: Sie sind nicht Open Source.

Das bedeutet, dass die tatsächliche Funktionalität und Arbeitsweise der Tools nur den Herstellern selbst bekannt ist. Externe Parteien können den Quellcode nicht einfach überprüfen. Eine generelle Veröffentlichung des Quellcodes würde es Experten ermöglichen, den Code zu überprüfen, mögliche Implementierungsfehler oder Sicherheitslücken zu finden und diese dem Hersteller zu melden. Darüber hinaus wäre es auch nach außen transparent, wie die Programme vorgehen, und Spekulationen über technisch mögliche Hintertüren würden sofort beendet.

Dementsprechend würde die Veröffentlichung des Quellcodes nicht nur die Sicherheit erhöhen, sondern auch das Vertrauen der Benutzer stärken.

Um dieses Problem zu überwinden, gibt es eine zunehmende Anzahl von Drittanbieter-Software, die die Funktionalität von FileVault und BitLocker ersetzt und versucht, durch Quelloffenheit Transparenz in den Bereich der Verschlüsselungssoftware zu bringen. Eine dieser Anwendungen ist ein Programm namens VeraCrypt.

VeraCrypt: Die Open-Source-Alternative

Im letzten Artikel dieser Serie haben wir uns die verschiedenen Verschlüsselungssysteme angesehen, die Microsoft und Apple ihren Benutzern zur Verschlüsselung von Daten auf mobilen Geräten anbieten. Wir haben festgestellt, dass zwar implementierbare Lösungen angeboten werden, es aber einen grundlegenden Nachteil gibt: Alle angebotenen Lösungen sind sogenannte Closed-Source-Lösungen. Der Quellcode verbleibt beim Hersteller und wird nicht öffentlich zugänglich gemacht.

Obwohl dieser Ansatz eine gute Möglichkeit bietet, das geistige Eigentum des Herstellers zu schützen, hat er aus Sicherheitssicht einige Nachteile. So ist es für Experten nur sehr eingeschränkt möglich, die Implementierung der Verschlüsselungsalgorithmen zu überprüfen und mögliche Implementierungsfehler frühzeitig zu erkennen.

Drittanbieter wie VeraCrypt gehen dieses Problem an, indem sie unabhängige Lösungen für die Verschlüsselung anbieten. Eine dieser alternativen Lösungen, die in Fachkreisen weit verbreitet ist, ist die VeraCrypt-Software. Das Ziel von VeraCrypt ist es, eine kostenlose Open-Source-Anwendung bereitzustellen, mit der Benutzer alle Arten von Daten auf ihren Geräten verschlüsseln können.

Auch wenn VeraCrypt wie die perfekte Lösung klingt, ist die Benutzerfreundlichkeit der Anwendung für den durchschnittlichen Benutzer nicht sehr handlich und daher für Nicht-Experten eine Herausforderung.

VeraCrypt wurde von IT-Sicherheitsexperten entwickelt, die sich auf die Überwindung der zuvor besprochenen Sicherheitsherausforderungen konzentrierten. Infolgedessen war die Benutzerfreundlichkeit der Lösung keine Priorität. Um so flexibel wie möglich zu sein und die Lösung an die eigenen Bedürfnisse anzupassen, bieten die Entwickler während des Setup-Prozesses zahlreiche Konfigurationsoptionen an. Diese reichen von der Auswahl des Verschlüsselungsalgorithmus über die Auswahl des Hash-Algorithmus bis hin zur Auswahl des sogenannten Personal Iterations Multiplier (PIM).

Für Experten stellt diese Vielfalt eine Möglichkeit dar, die Implementierung bestmöglich an die eigenen Bedürfnisse anzupassen. Durchschnittliche Benutzer sind jedoch oft mit der Auswahl der richtigen Einstellungen und den technischen Beschreibungen überfordert. Um die Software und damit auch die Nutzung kostenloser Open-Source-Verschlüsselungssoftware für die breite Masse nutzbar zu machen, ist es daher notwendig, die Benutzerfreundlichkeit zu erhöhen.

e2 Security und die Weiterentwicklung von VeraCrypt

e2 Security, ein professionelles Unternehmen für Cybersicherheit und digitale Transformationsprogramme, wollte die Nutzung von VeraCrypt als beste verfügbare Open-Source-Lösung für Verschlüsselung auf dem Markt fördern und entschied sich, die Weiterentwicklung des VeraCrypt-Projekts zu unterstützen. In Zusammenarbeit mit der Ruhr-Universität-Bochum entwickelte e2 Security eine überarbeitete Benutzeroberfläche, um die Benutzererfahrung beim Einrichtungsprozess bei der Konfiguration von Sicherheitsstandardeinstellungen zu verbessern.

Die Benutzeroberfläche wurde grundlegend neu gestaltet und vereinfacht, um die Benutzererfahrung und Nutzung durch durchschnittliche Benutzer zu verbessern. Das Ziel konnte durch die großartige Zusammenarbeit mit der Universität und die Berücksichtigung von Forschungsergebnissen in den Bereichen Sicherheit und Benutzerfreundlichkeit erreicht werden. Jetzt können auch nicht-technische Benutzer die erforderlichen Einstellungen erfolgreich und mit minimalem Aufwand einrichten. Zu diesem Zweck wurden mögliche sichere Auswahlen vordefiniert und entsprechende Menüs umstrukturiert. Um die Stärke von VeraCrypt zu erhalten, wurde ein Menü für erweiterte Optionen eingeführt, das weiterhin die vertrauten Anpassungsoptionen für Experten bietet. So ist es uns in unserem Vorschlag zur Weiterentwicklung von VeraCrypt gelungen, sowohl die Komplexität des Setup-Assistenten als auch den Einrichtungsprozess erheblich zu reduzieren.

VeraCrypt unterscheidet grundsätzlich zwischen drei verschiedenen Arten der Verschlüsselung:

  1. Die Verschlüsselung von Betriebssystemlaufwerken
  2. Die Verschlüsselung von Nicht-Betriebssystemlaufwerken
  3. Die Erstellung verschlüsselter Container für einzelne Dateien und Ordner

Aufgrund des Umfangs haben wir zunächst mit der Vereinfachung der Nutzung für die Verschlüsselung von Betriebssystemlaufwerken begonnen. Sobald die neue Lösung für alle Benutzer verfügbar ist, werden wir untersuchen, ob der neue Prozess von der Community akzeptiert wird, um alle anderen Verschlüsselungsoptionen innerhalb von VeraCrypt weiter zu vereinfachen.

Fazit

Wir bei e2 Security sind fest davon überzeugt, dass für eine erfolgreiche Sicherheitsmaßnahme immer zwei Komponenten erforderlich sind:

Erstens ist eine technisch effektive und sichere Implementierung obligatorisch. Zweitens muss die Lösung für die Endbenutzer mit geringem Aufwand einfach zu bedienen sein. Das Ziel muss daher sein, Anwendungen wie VeraCrypt so einfach wie möglich für jedermann zu entwickeln, um die Benutzerakzeptanz zu erhöhen.

e2 Security möchte sich bei allen bedanken, die das Projekt unterstützt haben. Wir möchten Pius Ganter für seine Vorarbeit im Rahmen seiner Masterarbeit danken. Weiterer besonderer Dank gilt Mounir Idrassi vom VeraCrypt-Projekt sowie dem Lehrstuhl für Human-Centered-Security an der Ruhr-Universität Bochum, der uns mit dem neuesten Wissen zur Benutzererfahrung im Bereich Sicherheit und erheblicher Unterstützung bei der Umsetzung des Projekts versorgt hat.

Eine offizielle Pre-Release-Version von VeraCrypt mit der neuen Oberfläche ist jetzt verfügbar unter: https://github.com/veracrypt/VeraCrypt/pull/957. Wir freuen uns über jedes Feedback.

Über den Autor

Das e2 Security Team besteht aus erfahrenen Security-Consultants, Penetration Testern und Security Architects. Wir teilen unser Wissen über aktuelle Security-Themen, Best Practices und Real-World-Erfahrungen.

Weitere Artikel

Penetration Testing

Black Box, White Box, Gray Box - Welche Pentest-Art ist die richtige?

Vulnerability Management

Systematische Schwachstellenidentifikation mit CVSS + EPSS Scoring.

ISO 27001

Der internationale Standard für Informationssicherheits-Management.