USB-Sticks und USB-Festplatten sind kleines Gepäck: Daher gehen sie oft verloren, fallen aus der Jackentasche oder werden einfach vergessen – im Zug, im Hotel, im Lokal, im Büro. Daher ist Verschlüsselung für mobile USB-Medien ein kritisches Thema.
Alle Mobildatenträger mit persönlichen Daten verdienen Verschlüsselungsschutz. Das gilt in der Masse für USB-Medien, im Prinzip aber auch für SD-Karten oder SATA-Laufwerke, die mobil transportiert werden. Für sichere Verschlüsselung gibt es bewährte Methoden, die nachfolgend erklärt werden. Der Vollständigkeit halber erwähnen wir vorab auch kommerzielle Hardwarelösungen wie etwa die Ironkey-Serie von Kingston, die man mit circa 160 Euro für eine Beispielkapazität von 64 GB allerdings teuer bezahlt. Auch für Cold Wallets von Kryptowährungen gibt es USB-Spezialtresore wie Ledger Nano (ab circa 80 Euro).
Luks-Verschlüsselung für USB
Die native Linux-Verschlüsselung mit Luks (Linux Unified Key Setup) ist das Pendant zum Windows-Bitlocker (nur Windows Pro) und eine einbruchssichere Methode für schützenswerte USB-Daten. Ohne Zugangskennwort gestatten die Datenträger keinerlei Einblick in die Verzeichnisstruktur und in die Daten. Luks-verschlüsselte Medien können aber nur unter Linux gelesen und beschrieben werden.
Luks ist komfortabel über grafische Systemwerkzeuge erreichbar. Die KDE-Umgebung bietet den „KDE Partition Manager“ (Partitionmanager), die Gnome-affinen Desktops (Gnome, Mate, Cinnamon, XFCE …) das Tool „Laufwerke“ (Gnome-Disks). Beachten Sie aber, dass Luks nicht „on the fly“ bereits vorhandene Daten verschlüsselt: Der Datenträger wird für die Verschlüsselung komplett neu formatiert, daher müssen eventuelle Daten vorübergehend auf ein anderes Laufwerk kopiert werden.
Wir beschreiben die wenigen Klicks zur Luks-Verschlüsselung eines USB-Sticks am Beispiel von Gnome-Disks: Nach Anschließen des USB-Sticks hängen Sie das Laufwerk zunächst mit dem kleinen schwarzen Symbol links unterhalb der Partitionsanzeige aus. Löschen Sie mit der Minus-Schaltfläche alle bestehenden Partitionen. Klicken Sie dann auf das Plus-Symbol („Partition erstellen“) und auf „Weiter“. Unter „Partition formatieren“ ist der Eintrag „Datenträgername“ nicht zwingend erforderlich, macht aber den Namen des späteren Mountpunkts sprechender. Als „Typ“ wählen Sie „Andere“ und dann rechts unten die Option „Passwortgeschützter Datenträger (Luks)“. Das links markierte Dateisystem spielt dabei keine Rolle. Nach „Weiter“ geben Sie zweimal das Passwort ein. Es sollte komplex sein, aber zumutbar bleiben, denn es ist künftig bei jeder Nutzung des Datenträgers erforderlich.
Sie können den Datenträger nach der Formatierung sofort mit Gnome-Disks einhängen und nutzen, indem Sie auf den unteren Balken der symbolischen Anzeige klicken und die Partition mit dem Pfeilsymbol links einhängen. Für den künftigen Alltag genügen aber die Linux-Dateimanager. Sobald Sie das USB-Medium anschließen, erscheint automatisch der Dialog „Anmeldung erforderlich“. Nach Eingabe des Kennworts ist das Medium entsperrt und im Dateimanager unter „Geräte“ normal benutzbar. Auf Wunsch kann das Kennwort im Schlüsselbund des Systems gespeichert werden (unsicherer). Der Dateimanager kann den Luks-Datenträger später auch wieder trennen („Laufwerk sicher entfernen“).
Partitionierungstipp: Luks muss nicht für den kompletten USB-Datenträger gelten. Auf größeren USB-Festplatten können Sie den geschützten Bereich durch Partitionierung so klein oder groß definieren, wie Sie möchten. Wenn Sie etwa eine 4-TB-USB-Festplatte mit einer Luks-Partition mit 1000 GB einrichten, eine zweite unverschlüsselte Partition mit den restlichen 3 TB, dann verhält sich die unverschlüsselte Partition unter Linux wie Windows standardmäßig: Beim Anstecken des Datenträgers wird die Partition im Dateimanager geladen. Die Luks-Partition sieht hingegen nur Linux und fragt nach dessen Kennwort. Bei korrekter Eingabe lädt Linux dann auch diese Partition. Die Reihenfolge der Partitionen – Luks-Partition am Anfang oder am Ende – spielt keine Rolle.
Veracrypt: Daten für Windows und Linux
Bei Luks-Verschlüsselung bleiben andere Systeme außen vor. Sollen auch Windows und Mac-OS Zugriff haben, brauchen Sie eine plattformübergreifende Lösung. Wir empfehlen die Open-Source-Software Veracrypt, die unter https://veracrypt.fr/ und dort unter „Downloads“ für Windows, Mac-OS und alle relevanten Linux-Distributionen verfügbar ist. Veracrypt ist nicht so intuitiv wie Luks-Verschlüsselung, aber die wenigen Handgriffe sind schnell eingeübt.
Veracrypt kann verschlüsselte Containerdateien beliebiger Größe anlegen. Wir besprechen hier aber nur den einfacheren Fall der Vollverschlüsselung eines USB-Mediums. Dazu muss das Medium vorher mit einem Tool wie Gnome-Disks komplett gelöscht werden. Entfernen Sie eventuelle Partitionen und formatieren Sie den gesamten Speicherplatz. Danach starten Sie Veracrypt.
1. Wählen Sie im Hauptfenster „Volume –› Neues Volume erstellen“ und im damit gestarteten Folgedialog die untere Option „Partition bzw. Laufwerk verschlüsseln“, danach „Standard-Veracrypt-Volume“. Nach „Weiter“ werden Sie nach dem „Speicherort“ gefragt und klicken rechts oben auf „Datenträger“. Wählen Sie mit Sorgfalt das richtige Laufwerk, das sich nach obiger Vorbereitung als Gerätename wie „/dev/sdb“ ohne weitere Partitionen präsentieren sollte.
2. Nach „OK“ und „Weiter“ übernehmen Sie die „Verschlüsselungseinstellungen“ unverändert und im Folgedialog „Volume-Passwort“ vergeben Sie ein sicheres, aber praktikables Passwort und ignorieren die weiteren Optionen.
3. Beantworten Sie die Frage nach „Großen Dateien“ mit „Ja“, damit der Datenträger nicht mit limitierendem FAT32 formatiert wird. Eine konkrete Dateisystemauswahl müssen Sie im Folgedialog aber dennoch treffen: Wählen Sie zwecks Windows-Kompatibilität in der Auswahlbox „NTFS“ und „Schnellformatierung“.
4. Nach der Abfrage „Ich werde das Volume plattformübergreifend nutzen“ und „Weiter“ wird auf Basis des Kennworts der Schlüssel erstellt, was der Nutzer durch zufällige Mausbewegungen unterstützen soll. Im abschließenden Dialog „Volume erstellt“ klicken Sie auf „Beenden“.
Der USB-Speicher ist jetzt verschlüsselt, enthält aber noch keine Daten. Zur Nutzung muss Veracrypt das Medium mounten. Das geschieht im Hauptfenster am einfachsten dadurch, dass Sie auf einer freien Zeile („1“, „2“ etc., unter Windows Laufwerksbuchstaben „A:“, „B:“ et cetera) rechts klicken und die Option „Laufwerk auswählen und einhängen“ verwenden. Nach Abfrage des Kennworts entsperrt Veracrypt den Datenträger. Linux-Dateimanager laden den USB-Speicher nach „/media/veracrypt[n]“ und nun kann er beliebig bearbeitet werden. Ein Rechtsklick im Veracrypt-Hauptfenster auf das gemountete Medium und „Trennen“ schließt den Tresor wieder ab. Jede künftige Nutzung erfolgt genauso: in Veracrypt mounten – im System nutzen – in Veracrypt trennen.
Sudo-Recht erforderlich: Beachten Sie, dass Sie beim Mountvorgang unter Linux nach dem Systemkennwort (sudo) gefragt werden, das mit dem Veracrypt-Passwort nichts zu tun hat. Die Tatsache kann an sich verwirren, ist aber unter Umständen auch ein Limit: Auf einem Linux-System, wo Sie kein Konto mit sudo-Recht besitzen (Büro-Rechner?), sind Veracrypt-Container nicht zugänglich.