Viele Dateien gehören nicht in fremde Hände: sei es Ihr in Word verfasster Geschäftsbrief, eine Liste mit Passwörtern oder die privaten Fotos. Besonders heikel sind Daten, die Sie auf dem USB-Stick oder Laptop mit sich herumtragen. Bei Verlust oder Diebstahl besteht die Gefahr, dass ein Fremder die Files in die Finger bekommt. Verhindern Sie das mit einem verschlüsselten, passwortgeschützten Datentresor auf der Harddisk. Der ist mit dem kostenlosen Programm TrueCrypt im Nu eingerichtet.
Nicht nur vorhandene, sondern auch vermeintlich gelöschte Daten sind heikel. Denn erst ein mehrfaches Überschreiben macht sie ganz unlesbar. Ansonsten lassen sie sich mit spezieller Software wieder rekonstruieren. Der PCtipp zeigt, wie Sie Ihre Daten wirklich endgültig von der Festplatte entfernen.

Datentresor: TrueCrypt
Das beste Mittel gegen Datendiebe heisst TrueCrypt. Mit der Software verschlüsseln Sie auf Wunsch ganze Laufwerke. Alternativ erstellen Sie einen verschlüsselten Datentresor, den Sie zum Beispiel auf dem USB-Stick mitnehmen. Ohne Passworteingabe kommt niemand – nicht einmal der TrueCrypt-Hersteller – an Ihre Daten.
Das mächtige und doch schlanke Programm gibt es gratis für Windows, Mac OS X und Linux. Wer zwei oder drei der genannten Betriebssysteme nutzt, kann sich freuen: Die TrueCrypt-Behälter sind betriebssystemunabhängig. Ein unter Linux erstellter Container lässt sich auch unter Windows problemlos nutzen.

Installation: Windows-Nutzer laden TrueCrypt und das Sprachpaket für die deutsche Oberfläche von der PCtipp-Website herunter. Die Version für andere Betriebssysteme finden Sie beim Hersteller. Starten Sie die Installation per Doppelklick auf die Datei TrueCrypt Setup 6.2.exe. Lassen Sie den Punkt «Install» aktiviert; klicken Sie auf Next.
Dürfen alle Benutzerkonten auf Ihrem PC TrueCrypt nutzen, wählen Sie im nächsten Dialog «Install for all users». Ob Sie ein Desktop-Symbol haben wollen («Add TrueCrypt to desktop»), ist Ihnen überlassen. Klicken Sie jetzt auf Install, das Programm wird installiert. Zum Schluss lesen Sie allenfalls das «Beginner's tutorial», eine englischsprachige Einführung für Einsteiger. Klicken Sie danach auf Finish.
Haben Sie zusätzlich die Sprachdatei heruntergeladen, klicken Sie mit Rechts darauf und gehen zu Alle extrahieren. Es wird ein Ordner namens «langpack-de-1.0.0-for-truecrypt-6.2» angelegt. Kopieren Sie beide Dateien aus diesem Ordner per Ctrl+C und fügen Sie diese via Ctrl+V in den Ordner C:\Programme\TrueCrypt oder C:\Program Files\TrueCrypt ein. Das TrueCrypt-Programm selbst muss hierfür geschlossen sein. Beim nächsten Start öffnet es sich mit der deutschsprachigen Benutzeroberfläche.

Tresor anlegen: Klicken Sie in TrueCrypt auf Volume erstellen. Einsteigern empfehlen wir, im nächsten Fenster den Punkt «Einen verschlüsselten Datei-Container erstellen» zu wählen. Sie hätten hier auch die Möglichkeit, ein ganzes Laufwerk abzusichern, beispielsweise eine Partition auf Ihrer Festplatte oder einen USB-Stick. Dabei gibt es allerdings Folgendes zu beachten: TrueCrypt muss ebenfalls auf dem PC installiert sein, in den Sie den USB-Stick einstecken. Bequemer ist die Variante, die im Abschnitt «Auf dem USB-Stick» beschrieben ist.
Klicken Sie nun auf Weiter. Beim «Volume-Typ» ist das «Standard TrueCrypt-Volume» die beste Wahl. Das «versteckte TrueCrypt-Volume» ist etwas für besonders ängstliche Nutzer, die in einem harmlos aussehenden Container einen versteckten Tresor mit brisanten Daten anlegen möchten. Informationen dazu finden Sie hier.

Als Nächstes geben Sie den Speicherort des TrueCrypt-Containers an. Klicken Sie auf Datei und wählen Sie am besten einen unverfänglicheren Dateinamen als jenen in unserem Beispiel; vielleicht einen, der an eine Systemdatei erinnert. Klicken Sie auf Weiter.

Jetzt gelangen Sie zu den Verschlüsselungseinstellungen. Die drei Methoden AES, Serpent und Twofish gelten für sich alleine schon als unknackbar. Falls Sie zwei oder drei kombinieren, braucht die Ver-/Entschlüsselung mehr Zeit. Via Weiter geht es zur Container-Grösse. TrueCrypt wird eine Datei erstellen, die Sie später so lange mit Daten füllen, bis sie voll ist. In unserem Beispiel nehmen wir als Grösse zwei Gigabyte. Falls Sie aber bloss einen sicheren Platz für Ihre Liste mit den gesammelten Passwörtern brauchen, tun es auch einige Megabyte.
Als Kennwort verwenden Sie eines, das Sie nicht schon anderswo (etwa fürs Mailkonto) einsetzen. Prägen Sie es sich gut ein, sonst kommen Sie später nicht mehr an Ihre Daten heran.
Das nächste Fenster fordert Sie dazu auf, ein Weilchen kreuz und quer per Maus herumzufahren. Die zurückgelegte Mausstrecke bildet die Basis für den Zufallsschlüssel. Danach klicken Sie auf Formatieren, TrueCrypt legt den Container in der vorgegebenen Grösse an.
Jetzt gehts zur Schaltfläche Weiter und zu Abbrechen, sofern Sie keinen anderen Behälter erzeugen wollen. Sie landen danach wieder im TrueCrypt-Hauptfenster.

Container einbinden: Um Ihre Tresordatei wie ein gewöhnliches Laufwerk zu nutzen, müssen Sie diese ins Programm laden. Greifen Sie in TrueCrypt zu Datei und navigieren Sie zum erstellten Container. Wählen Sie im oberen Fensterteil einen beliebigen freien Laufwerksbuchstaben und klicken Sie auf Einbinden. TrueCrypt fragt nach dem Kennwort. Jetzt taucht der Behälter unter dem gewählten Laufwerksbuchstaben in der Liste auf.
Denselben Buchstaben sehen Sie ab sofort auch via Arbeitsplatz (Windows XP) bzw. Computer (Vista). Sobald Sie TrueCrypt beenden oder Windows neu starten, löst sich die Verbindung. Um Ihren verschlüsselten Container wieder einzubinden, wiederholen Sie einfach die Schritte in diesem Abschnitt.

Auf dem USB-Stick: Viele Nutzer wollen ihre Daten an verschiedenen PCs verwenden, ohne auf allen TrueCrypt zu installieren. Hierfür ist der Traveler-Modus vorgesehen. Einziger Nachteil: Sie müssen zum Einbinden des Containers das Administratorpasswort kennen.
Zur Vorbereitung benötigen Sie einen Windows-PC, auf dem TrueCrypt installiert ist. Stecken Sie Ihren USB-Stick in diesen. Öffnen Sie in TrueCrypt das Menü Extras/Traveler-Disk Installation. Geben Sie den Laufwerksbuchstaben Ihres USB-Speichers an (zum Beispiel G:) oder wählen Sie den Stick via Durchsuchen aus. Klicken Sie auf die Option Erstellen. Auf dem USB-Stick landet ein Ordner mit allen benötigten Programmdateien. Erzeugen Sie jetzt auf demselben Stick wie vorher beschrieben einen Container.
Unter Windows Vista stecken Sie nun den USB-Speicher am gewünschten Rechner ein, klicken mit Rechts auf truecrypt.exe und wählen Als Administrator ausführen. Tippen Sie das Administratorkennwort ein. Öffnen Sie danach den Container – schon haben Sie Zugriff auf den verschlüsselten Inhalt. Unter XP müssen Sie sich als Administrator am PC einloggen und führen danach truecrypt.exe per Doppelklick aus.
Tipp: Möchten Sie auch die Linux-Version von TrueCrypt auf den USB-Stick ablegen? Wie das geht, lesen Sie hier.

Daten richtig löschen
Alte PCs, Notebooks, Festplatten und andere Speichergeräte landen immer öfter in Onlineauktionen oder werden verschenkt. Stichproben zeigen, dass bis zu 50 Prozent davon noch persönliche Daten des Vorbesitzers enthalten, beispielsweise Dokumente, Adresslisten, Passwortlisten, Finanzdaten oder Fotos. Der Grund: Ein gewöhnliches Löschen oder Formatieren mit Windows-Bordmitteln reicht nicht. Denn mit Spezialprogrammen wie PC-Inspector File Recovery lässt sich vieles wiederherstellen. Verhindern Sie das, indem Sie Ihre Dateien unwiderruflich löschen.

Für Dateien – Heidi Eraser: Zum endgültigen Löschen von Daten empfiehlt sich das englischsprachige Gratis-Tool Heidi Eraser. Laden Sie dieses hier herunter und starten Sie die Installation per Doppelklick auf Eraser-Setup32.exe. Übernehmen Sie dabei die Standardeinstellungen. Lassen Sie im letzten Dialog das Häkchen drin, so startet am Schluss automatisch die Software. Öffnen Sie im Programm Edit/Preferences/Erasing. Stellen Sie die Ausradierfunktionen in den Registern Files (Dateien) und Unused Disk Space (ungenutzter Platz) auf die Option «US DoD 5220.22-M» mit 3 Durchgängen («Passes»). Klicken Sie auf OK; nun können Sie das Programm schliessen.
Ab sofort finden Sie beim Rechtsklick auf eine Datei zwei neue Befehle. Erase löscht die Datei mittels der vorhin eingestellten drei Durchgänge unwiderruflich.
Den Menüpunkt Eraser Secure Move benutzen Sie, wenn Sie eine Datei in einen anderen Ordner verschieben wollen. Bei diesem Vorgang wird die Datei am Ursprungsort vernichtet, sobald sie an den Zielort kopiert wurde.

Wenn Sie Ihre Dateien per Delete-Taste löschen, landen diese wie bisher im Windows-Papierkorb. Beim Rechtsklick auf den Mülleimer entdecken Sie ebenfalls neue Befehle, so etwa den Punkt Erase Recycle Bin (3-pass DOD E). Damit werden die Dateien beim Leeren des Papierkorbs für immer ins Nirwana befördert.
Heidi Eraser bietet aber noch mehr: Klicken Sie im Arbeitsplatz mit Rechts auf ein Laufwerk, entdecken Sie im Kontextmenü den Punkt Erase Unused Space. Dieser Befehl überschreibt den gesamten freien Platz mit Zufallsdaten, damit bestimmt keine gelöschten Dateien mehr übrig sind. Das dauert jeweils eine ganze Weile. Die Option funktioniert nur mit gewöhnlichen Harddisks mit Magnetscheibe und nicht mit den neuen Solid State Disks (SSD).
Der Grund: Die Elektronik in Letzteren sorgt dafür, dass Schreibvorgänge möglichst gleichmässig auf alle Speicherzellen verteilt werden. Das Betriebssystem hat auf dieses Verhalten keinen Einfluss. Darum kann Heidi Eraser seine Zufallsdaten nicht mehr gezielt platzieren. Wollen Sie bei einer SSD sichergehen, dass keine vormals gelöschten Dateien mehr zu finden sind, müssen Sie den freien Speicherplatz mit Mülldaten füllen und diese danach mit Heidi Eraser unwiderruflich löschen.

Allestilger – DBAN: Bevor Sie Ihren alten PC verkaufen oder weggeben, sollten Sie alle Daten auf der Festplatte endgültig löschen. Dazu könnten Sie die Harddisk mit Heidi Eraser traktieren. Dazu müssten Sie aber die Disk ausbauen und zum Beispiel per USB-Adapter oder IDE- bzw. SATA-Kabel an einen anderen PC hängen. Danach liesse sich die Platte von diesem PC aus per Heidi Eraser löschen. Die bequemere Alternative: Sie starten den betroffenen PC ab einer Boot-CD mit dem Gratis-Tool DBAN (Darik's Boot and Nuke) auf und säubern die Harddisk damit.
Achtung: Viele neue Notebooks und Desktop-PCs werden ohne Betriebssystem- oder Wieder-herstellungs-CDs ausgeliefert. Bei diesen befindet sich eine versteckte Partition auf der eingebauten Festplatte. Darauf liegen die Daten, mit denen Sie das vorinstallierte Windows in den Auslieferzustand zurückversetzen könnten. Das Problem: Mit der DBAN-CD werden auch Wiederherstellungspartitionen entfernt. Darum gilt: Haben Sie mit dem PC keine Wiederherstellungs-CDs erhalten und bei der Inbetriebnahme auch keine eigenen erstellt, sehen Sie besser vom Gebrauch von DBAN ab. Es sei denn, Sie wollen danach ohnehin ein neues Betriebssystem verwenden. Wenn hingegen Wiederherstellungs-CDs vorhanden sind, können Sie den Computer mit diesen nach dem Löschen aller Daten in den Ursprungszustand versetzen.

Boot-CD erstellen: DBAN ist ein wahrer Datenkiller. Nach dem Aufstarten des PCs ab CD brauchen Sie nur einen einzigen kurzen Befehl einzugeben, danach beginnt die Software sofort und selbstständig mit dem Löschen aller Festplatten – ohne weitere Rückfragen.
Laden Sie Darik's Boot and Nuke 1.0.7 hier herunter. Es handelt sich um eine ISO-Datei von etwa 2 MB Grösse. Brennen Sie die Datei mit einer Funktion wie Image brennen auf einen leeren CD-Rohling. Falls Ihr Brennprogramm keine solche Option hat, erledigen Sie das in null Komma nichts mit dem kostenlosen ImgBurn.
Nehmen Sie die Disk jetzt aus Ihrem Arbeits-PC und beschriften Sie diese deutlich, zum Beispiel mit DBAN-Datenkiller. Legen Sie die DBAN-CD nun ins Laufwerk des gewünschten PCs ein und starten Sie ihn ab dieser Disk auf.
Bootet der PC nicht von selbst ab dem CD-Laufwerk? Suchen Sie auf dem Bildschirm unmittelbar nach dem Einschalten nach einem Hinweis, wie Sie das Boot-Menü oder das BIOS-Setup öffnen können. «Press ESC to BBS Popup» bedeutet beispielsweise, dass Sie in genau dem Moment per Esc-Taste ins Boot-Menü gelangen. Dort wählen Sie das CD-Laufwerk als temporäres Aufstartmedium aus. Bei älteren PCs rufen Sie das BIOS-Setup stattdessen über eine Taste wie F2, F10 oder F12 auf. Dort stellen Sie die Aufstartreihenfolge (Boot order) auf «CD-ROM first» (CD-ROM zuerst) um. Nun sollte dem Aufstarten ab CD nichts mehr im Weg stehen. Sobald der Rechner die DBAN-CD geladen hat, erscheint eine kurze Programmeinleitung, gefolgt von der Zeile «boot:». Tippen Sie dahinter den Befehl autonuke ein und drücken Sie Enter.

Jetzt beginnt eine bis zu zwei Minuten dauernde Startphase, danach macht sich DBAN ans Löschen der Laufwerke. Sobald der Vorgang begonnen hat, können Sie die CD übrigens aus dem Laufwerk nehmen. DBAN läuft ab diesem Moment nur im Arbeitsspeicher und führt drei Löschdurchgänge aus. Das dauert meist ein paar Stunden. Danach findet garantiert keiner mehr Daten von Ihnen.
Nach einer solchen kompletten Löschaktion ist die Festplatte leer. Sie enthält also auch keine Partitionen mehr. Diese müssen später während der Installation des Betriebssystems neu erstellt werden. Die Installationsassistenten bieten hierzu Hand und schlagen Ihnen jeweils automatisch das richtige Vorgehen vor.