PC-Sicherheit
31.07.2020, 09:20 Uhr

PC-Daten mit Windows-Tools verschlüsseln – so gehts

Datenschutz zählt nicht nur im Internet. Auch auf Ihrem lokalen PC sollten Sie sich um die Sicherheit Ihrer Daten kümmern. Wir zeigen Ihnen, wie Sie Ihre Daten mit Windows-Tools verschlüsseln, sichern und schützen.
(Quelle: TheDigitalArtist/Pixabay )
Schritt eins für ein besser abgesichertes PC-System ist Verschlüsselung. Glücklicherweise ist das Verschlüsseln lokaler Daten um einiges simpler als beispielsweise die verschlüsselte Kommunikation. Sowohl zur Verschlüsselung ganzer Systeme als auch einzelner Dateien gibt es vergleichsweise einfache Lösungen. Wichtig dabei: Dies gilt vor allem für Sicherheit bei Diebstahl und ähnlichen Fällen. Wer sich gegenüber Akteuren wie Geheimdiensten und anderen Regierungsbehörden absichern möchte, muss einiges mehr an Aufwand in Kauf nehmen.

Verschlüsseln

Die Windows-Geräteverschlüsselung ist die Basisoption für Verschlüsselung unter Windows 10. Dafür benötigen Sie ein kompatibles Gerät sowie ein Windows-Konto, mit dem Sie sich an Ihrem PC anmelden. Die Geräteverschlüsselung verschlüsselt Ihren gesamten PC und lädt den Schlüssel auf einen Microsoft-Server. Entsprechend ist die Lösung effizient im Schutz vor physischem Diebstahl, aber machtlos gegen einen Hacker mit Zugriff auf Ihr Microsoft-Konto und wirkungslos gegenüber Geheimdiensten. Unterstützt werden Geräte, welche die folgenden drei Voraussetzungen erfüllen:
  • Verbautes TPM (2.0 oder neuer); TPM aktiviert im UEFI (TPM steht für Trusted Platform Module und ist ein Sicherheits-Chip)
  • PC-Firmware läuft auf der Firmware-Schnittstelle UEFI (nicht dem älteren BIOS)
  • Unterstützung für Modern Standby
Die einfachste Methode, um herauszufinden, ob Sie diese Bedingungen erfüllen, ist über die Einstellungs-App von Windows 10, die Sie im Startmenü finden. Navigieren Sie dort zu Update und Sicherheit. Sehen Sie in der Auswahl links ganz unten das Menü Geräteverschlüsselung, so ist Ihr Gerät kompatibel. Falls das Menü fehlt, wird die Funktion nicht unterstützt. Achten Sie auch darauf, dass alle aktuellen Updates installiert sind.
Ist die Geräteverschlüsselung nicht verfügbar, können Sie möglicherweise herausfinden warum. Tippen Sie dazu Systeminformationen in die Suchfunktion von Windows ein. Rechtsklicken Sie auf den Sucheintrag und wählen Sie Als Administrator ausführen. Scrollen Sie bis zum Punkt Unterstützung der Geräteverschlüsselung. Rechts daneben sehen Sie in gewissen Fällen eine Erklärung, warum die Funktion nicht verfügbar ist. Die häufigste Ursache ist ein fehlendes TPM.
Falls Sie Zugang zur Geräteverschlüsselung haben, gibt es nicht viel zu unternehmen. Schalten Sie die Funktion einfach ein und es sollte klappen.

Windows BitLocker fürs System

Ein weiteres Verschlüsselungsmodul von Windows 10 heisst BitLocker. Es verschlüsselt ganze Laufwerke und schützt diese vor unbefugtem Zugriff. Wie immer bei Verschlüsselung gilt aber auch hier: Wenn Sie Ihren Schlüssel verlieren, sind Sie ausgesperrt. BitLocker ist leider nur in den beiden Windows-10-Versionen Pro und Enterprise verfügbar, nicht in Windows 10 Home. Sie finden die entsprechende Option in der Systemsteuerung unter BitLocker-Laufwerkverschlüsselung. Alternativ finden Sie eine Verknüpfung dazu in der Einstellungs-App unter System/Info am rechten Rand unter BitLocker-Einstellungen, Bild 1.
Bild 1: Mit BitLocker verschlüsseln Sie Ihren PC einfach
Quelle: PCtipp.ch
Achtung: Auch BitLocker benötigt ein Trusted Platform Module (TPM). Es ist zwar möglich, BitLocker ohne TPM zu verwenden, dazu braucht es aber einige Extraschritte, Zugriff auf den Group Policy Editor und ein zusätzliches Passwort oder einen USB-Stick, der das TPM emuliert. Das ist weniger sicher als ein richtiges TPM, aber besser als nichts. Die Anleitung dazu finden Sie im nächsten Abschnitt. Falls Sie ein TPM in Ihrem PC haben, können Sie den folgenden Abschnitt hingegen überspringen.

BitLocker ohne TPM

Wenn Sie kein TPM verbaut haben, können Sie eine etwas weniger sichere Version von BitLocker verwenden. Die Einrichtung ist nicht besonders kompliziert. Zunächst müssen Sie die lokalen Gruppenrichtlinien anpassen. Das können Sie nur als Administrator tun. Sind Sie einer Geschäfts- oder Schul-Domain angeschlossen, ist das vermutlich nicht möglich.
Tippen Sie in die Windows-Suchfunktion gpedit.msc ein und öffnen Sie das entsprechende Programm. Navigieren Sie durch die folgenden Untermenüs: Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerkverschlüsselung/Betriebssystemlaufwerke. Suchen Sie im rechten Fenster die Funktion Zusätzliche Authentifizierung beim Start anfordern und doppelklicken Sie diese. Im folgenden Fenster setzen Sie den Punkt bei Aktiviert und aktivieren unten links BitLocker ohne kompatibles TPM zulassen. Klicken Sie auf Übernehmen und OK.

BitLocker einrichten

Um BitLocker einzurichten, wählen Sie BitLocker aktivieren. Windows prüft, ob BitLocker auf Ihrem System verwendet werden kann, und informiert Sie entsprechend. Als ersten Schritt aktiviert Windows das TPM. Ist
dieses bereits aktiv, wird der Schritt übersprungen. Für die Aktivierung müssen Sie Ihren PC neu starten. Der BitLocker-Assistent weist hier den Weg. Beim Neustart erhalten Sie eine Meldung, dass die Systemeinstellungen verändert wurden. Die Meldung kann je nach System variieren. Meistens müssen Sie einfach eine angegebene Taste drücken, um die Änderung zu bestätigen. Beim nächsten Login erhalten Sie wieder das BitLocker-Fenster von vorhin und können mit dem Verschlüsseln beginnen.
Dafür müssen Sie zunächst ein Passwort angeben. Dieses verlangt Ihr PC bei jedem Start, noch bevor Windows überhaupt geladen wird. Alternativ können Sie auch einen USB-Stick zur Authentifizierung verwenden. Allerdings ist die Gefahr, ein Passwort komplett zu verlieren, kleiner als ein verlorener oder defekter USB-Stick und somit wohl die bessere Variante. Denn: Ist der Stick futsch oder das Passwort vergessen, bleibt Ihr PC gesperrt.
Nachdem Sie ein Passwort gewählt haben, erhalten Sie die Möglichkeit, Recovery-Schlüssel zu erstellen – dies für den Fall eines verlorenen Schlüssels oder Passworts. Am besten erstellen Sie mehrere Varianten. Es stehen zur Auswahl: im Microsoft-Konto speichern, in eine Datei speichern, auf einen USB-Stick speichern oder ausdrucken. Verwenden Sie die Optionen, mit denen Sie sich am wohlsten fühlen, am besten zwei bis drei.
Als letzten Schritt können Sie noch angeben, wie das Laufwerk verschlüsselt werden soll. Wenn Sie Zeit haben, ist es immer die bessere Option, das gesamte Laufwerk zu verschlüsseln. Bei einem neuen PC können Sie aber auch nur die bisherigen Dateien verschlüsseln. Alles, was neu dazukommt, wird automatisch verschlüsselt. Folgen Sie dem Assistenten bis zum Ende und starten Sie Ihren PC noch einmal neu. Dann beginnt Windows mit der Verschlüsselung.

Windows EFS für Dateien/Ordner

Falls Sie nur einzelne Dateien oder Ordner verschlüsseln möchten, ist Windows EFS eine Option. EFS steht für Encrypting File System und ist in allen Versionen von Windows 10 ausser Windows 10 Home verfügbar. EFS ist an den jeweiligen Nutzer gebunden. Es schützt das System hauptsächlich gegen andere Nutzer auf dem gleichen Rechner. So sicher wie BitLocker ist EFS aber nicht, da Daten über Wege wie «Temporäre Daten» trotzdem nach draussen gelangen können, Bild 2.
Bild 2: EFS funktioniert gut bei einzelnen Ordnern und Dateien
Quelle: PCtipp.ch
Die Verwendung von EFS ist einfach. Rechtsklicken Sie auf den gewünschten Ordner oder die gewünschte Datei und wählen Sie Eigenschaften. Greifen Sie nun zu Erweitert. Es erscheint ein neues Fenster, in dem Sie neben Inhalt verschlüsseln, um Daten zu schützen ein Häkchen setzen. Bestätigen Sie mit OK. Verschlüsseln Sie das erste Mal Daten mit EFS, wird Windows Sie auffordern, Ihren Schlüssel zu sichern. Das tun Sie am besten auf einem externen Speichermedium, das Sie sicher verstauen können. Sollten Sie den Schlüssel verlieren und das Passwort vergessen, sind die Daten nicht mehr zugänglich.

Alternativen

Falls Sie mit Windows 10 Home unterwegs sind oder generell lieber eine Software von einem anderen Anbieter als Microsoft verwenden möchten, bietet sich VeraCrypt an. Die Open-Source-Software ist ein Nachfolger des eingestellten TrueCrypt. Sie ist kostenlos und kann von unabhängigen Parteien auf mögliche Sicherheitsmängel überprüft werden, da sie Open Source ist. VeraCrypt verschlüsselt das gesamte Laufwerk und ist damit eine Alternative zum BitLocker. Die Software VeraCrypt erhalten Sie unter der Adresse sourceforge.net/projects/veracrypt.
Als Alternative zu EFS ist 7-Zip eine Überlegung wert, vor allem wenn es um wenig gebrauchte Daten geht. 7-Zip ist hauptberuflich ein Archivierungs-Tool. Es packt und entpackt diverse Archiv-Dateitypen wie Zip, RAR oder das hauseigene Format 7Z. Diese Archivdateien können ebenfalls verschlüsselt werden. Das ergibt beispielsweise für Steuerdaten oder Versicherungsbelege Sinn, da diese meistens nur zur Sicherheit aufbewahrt und kaum einmal geöffnet werden. In einem verschlüsselten Archiv sind diese Daten nicht nur geschützt, sondern benötigen auch deutlich weniger Platz. 7-Zip erhalten Sie unter 7-zip.org.

Sichern

Der zweite Schritt für mehr Sicherheit für Ihre Daten ist ein funktionierendes Backup. Das gilt nicht nur für den Schutz Ihrer Daten vor fremden Einflüssen, sondern auch vor Hardware-Fehlern, Bugs und menschlichem Versagen. Windows bietet hier ebenfalls einige Bordmittel an, mit denen der Vorgang relativ schmerzlos geregelt werden kann. Allerdings gibt es aktuell keine wirklich gute Option für komplette Systemabbilder. Das Menü Sichern und Wiederherstellen wird von Microsoft nicht mehr weiterentwickelt und könnte in späteren Windows-Versionen wegfallen – nicht unbedingt, was man von einem Backup-Tool will. Wir werden diese Option aber dennoch beschreiben. Der Dateiversionsverlauf eignet sich hingegen hauptsächlich für Dateien, nicht aber für das gesamte Windows-System.

Daten-Backup mit Versionsverlauf

Falls Sie Ihre Dateien lokal sichern möchten, führt der einfachste Weg über den Dateiversionsverlauf. Diesen finden Sie in der Einstellungs-App unter dem Menüpunkt Update und Sicherheit/Sicherung, Bild 3.
Bild 3: Wählen Sie im Dateiversionsverlauf das gewünschte Laufwerk aus
Quelle: PCtipp.ch
Stellen Sie zunächst sicher, dass Sie ein genug grosses, externes Laufwerk angeschlossen haben. Klicken Sie auf Laufwerk hinzufügen. Wählen Sie das gewünschte Laufwerk aus. Klicken Sie auf Weitere Optionen. Dort können Sie genau festlegen, welche Ordner Sie sichern möchten, welche Ordner ausgenommen werden sollen und wie häufig die Sicherung stattfinden soll. Mit dem Knopf Jetzt sichern können Sie das Backup manuell auslösen. Falls Sie das Laufwerk wechseln möchten, klicken Sie auf Laufwerk nicht mehr verwenden und fügen ein neues Laufwerk hinzu. Möchten Sie ein Backup wiederherstellen, wählen Sie ganz unten die Option Dateien von einer aktuellen Sicherung wiederherstellen. Der Dateiversionsverlauf kopiert Ihre ausgewählten Daten auf ein externes Speichermedium und führt dazu einen Versionsverlauf. Das heisst: Von Dateien, die Sie bearbeiten, werden einige ältere Versionen  gespeichert. Sollten Sie zu einer älteren Version zurückkehren wollen, können Sie das mit dem Dateiversionsverlauf tun. Das ist im Vergleich zu einem regulären Backup ein grosser Vorteil.

Daten-Backup per Cloud

Noch einfacher geht es per Cloud. Welchen Dienst Sie dabei verwenden, ist am Ende Ihnen überlassen. Die am besten integrierte Option für Windows ist Microsofts OneDrive. Falls Sie bereits ein Office-Abo besitzen, haben Sie dort 1 TB Speicherplatz inklusive. Für ein möglichst einfaches Erlebnis können Sie entweder OneDrive dazu anweisen, die Ordner Bilder, Dokumente und Desktop zu sichern. Oder Sie verschieben Ihre Bibliotheken in Ihren Cloud-Dienst.
Um OneDrive mit dem Backup zu beauftragen, öffnen Sie die Einstellungen von One-Drive. Navigieren Sie zum Reiter Sicherung und wählen Sie Sicherung verwalten. Folgen Sie den Anweisungen von OneDrive. Falls Sie die Bibliotheken manuell verschieben möchten, öffnen Sie ein Explorer-Fenster und wechseln zu Dieser PC. Rechtsklicken Sie auf die gewünschte Bibliothek, klicken Sie auf Eigenschaften und auf den Reiter Pfad. Wählen Sie einen neuen Pfad für die Bibliothek aus. Diese Variante funktioniert mit ziemlich jedem Cloud-Anbieter, nicht nur mit OneDrive.

System-Backup

Ebenfalls verfügbar ist das gute, alte Sichern und Wiederherstellen, wie man es noch von Windows 7 her kennt. Das Tool hat nicht mehr ganz so viele Verwendungszwecke wie auch schon, ist aber noch immer praktisch. Vor allem ist es die einfachste Möglichkeit, ein Systemabbild zu erstellen. Im Hauptfenster von Sichern und Wiederherstellen finden Sie vier wichtige Punkte: Sicherung und Wiederherstellen im Hauptfenster. Und Systemabbild erstellen und Systemreparaturdatenträger erstellen auf der linken Seite, Bild 4.
Bild 4: «Sichern und Wiederherstellen» bietet Backups der alten Schule
Quelle: PCtipp.ch
Unter Sicherung finden Sie eine einfache Möglichkeit, bestimmte Ordner und Dateien zu sichern. In diesem Fall würden wir allerdings den Dateiversionsverlauf empfehlen, da dieser zusätzlich den Versionsverlauf anbietet und somit die vielseitigere Wahl ist. Das Menü Wiederherstellen benötigen Sie für das Wiederherstellen von Backups.
Spannend ist besonders das Systemabbild. Hierbei spiegeln Sie Ihren gesamten PC mitsamt Daten, Applikationen und Ordnerstrukturen. Falls beispielsweise Ihre Festplatte den Geist aufgibt, können Sie diese einfach ersetzen, das Abbild einspielen und dort weitermachen, wo Sie aufgehört hatten. Allerdings ist diese Backup-Option deutlich langsamer als ein reguläres Daten-Backup.
Der Systemreparaturdatenträger ist nützlich, wenn Ihr Windows nicht mehr startet. Viele der Hilfefunktionen sind mittlerweile im Boot-Menü von Windows verfügbar, was die Option etwas weniger essenziell macht. Zudem ist bei den meisten neuen PCs ein solcher Datenträger im Lieferumfang enthalten.

Schützen

Beim dritten Schritt geht es um Schutz. Vor allem vor Malware und ähnlichen Gaunereien. Der wichtigste Faktor in Sachen IT-Sicherheit ist der Nutzer selbst. Die grosse Mehrheit der Malware-Attacken heutzutage können durch korrektes Nutzerverhalten verhindert werden. Ausnahmen sind durchaus möglich, aber vergleichsweise selten. Mit einem gesunden Mass an Vorsicht, Vernunft und Aufmerksamkeit sichern Sie sich bereits breit gegen diverse Gefahren ab.
Mit entsprechendem Verhalten ist auch eine ausgeklügelte Antiviren-Software nicht zwingend nötig. Der von Windows verbaute Defender kommt mit Malware problemlos klar, bietet allerdings weniger Zusatzhilfen wie einen dedizierten Browser- oder E-Mail-Schutz. Im Gegenzug dazu ist die Performance des Defenders deutlich besser und Sie müssen nicht einer Drittanbieter-Software tiefen Zugriff in das System geben. Eine Lösung eines Drittanbieters lohnt sich höchstens, wenn Sie gezielt Risiken eingehen oder Sie sich ohne zusätzlichen Schutz unsicher fühlen.
Lohnenswert hingegen ist ein Werbeblocker. Wenn Sie sich irgendwo ohne eigenes Zutun etwas einfangen können, dann per verseuchter Werbung. Diese tummelt sich meistens auf unseriösen Seiten. Der Werbeblocker der Wahl ist derzeit uBlock Origin (Download unter ublock.org) und ist für alle gängigen Browser verfügbar. Tun Sie uns aber einen Gefallen und deaktivieren Sie den Blocker auf pctipp.ch und weiteren seriösen Websites, deren Gratisangebote Sie nutzen.


Kommentare

Es sind keine Kommentare vorhanden.