USB-Sticks erfreuen sich größter Beliebtheit, denn sie ermöglichen den schnellen und bequemen Transport von größeren Datenmengen. Leider sind sie aber auch sehr leicht zu entwenden oder zu verlieren – wie schützen Sie also Ihre Daten vor den Augen Dritter?

Größere Datenmengen von A nach B zu übertragen, gestaltet sich je nach eingesetzter Technik immer noch zäh. Wenn Sie viele Gigabyte bewegen möchten, sind selbst in Zeiten von Gigabit-LAN und VDSL USB-Sticks meist die schnellere Alternative (zumal selbst USB-Sticks mit 16 oder 32 GByte Fassungsvermögen und USB-3-Anschluss wenig kosten). Ist ein Stick mit dem FAT32-Dateisystem formatiert, funktioniert er außerdem unabhängig vom genutzten Betriebssystem und quer über alle Herstellergrenzen hinweg. Also alles super im Speicherland? Nicht ganz.

Gerade wegen ihrer praktischen Vorzüge birgt der Einsatz von USB-Sticks auch Risiken: Sie sind schnell geklaut oder verloren. Der materielle Schaden ist dann nicht das eigentliche Problem, denn meistens sind die auf dem Stick gespeicherten Daten mehr wert als das Gerät selbst. Dabei ist es weder kompliziert noch besonders aufwendig, sich vorab gegen solche Fälle zu schützen. Mit der Verschlüsselungssoftware TrueCrypt lässt sich ein handelsüblicher USB-Stick in einen Datensafe verwandeln. Dieser ist dann zwar auf nahezu jedem System nutzbar, rückt aber seinen Inhalt erst nach Eingabe des richtigen Passworts heraus. TrueCrypt gibt es für Windows, Linux und für OS X.

Software-Spender

Grundsätzlich funktioniert TrueCrypt nach einem einfachen Prinzip: Ist die Software erst einmal auf einem Rechner installiert, lässt sich der Inhalt eines mit TrueCrypt verschlüsselten Sticks (oder einer verschlüsselten Datei – TrueCrypt beherrscht beides) auslesen. Allerdings können Sie nicht voraussetzen, dass Sie auf jedem System eine aktuelle Version von TrueCrypt vorfinden. Um für solche Fälle gerüstet zu sein, sollten Sie die aktuellen Versionen von TrueCrypt auf Ihrem USB-Stick immer dabei haben – natürlich unverschlüsselt. Mit TrueCrypt selbst ist das gar kein Problem, denn das Programm kann einen kompletten Stick oder einzelne Partitionen darauf verschlüsseln.

Das folgende Beispiel zeigt Ihnen, wie Sie jeden handelsüblichen USB-Stick so partitionieren, dass Sie eine unverschlüsselte Partition für TrueCrypt und eine verschlüsselte für Ihre Daten erhalten.

TrueCrypt installieren

Der erste Schritt ist, TrueCrypt zu installieren. Das ist weder bei Ubuntu noch bei OpenSuse ein Problem. Für OpenSuse gibt es RPM-Pakete im PackMan-Repository, die allerdings auf den Namen RealCrypt (statt TrueCrypt) hören. Haben Sie die PackMan-Paketquelle in YaST aktiviert, können Sie das Paket realcrypt über die Paketverwaltung installieren. (Eine Anleitung zum Aktivieren des Repositorys unter OpenSuse finden Sie im Screencast-Artikel ab Seite 52.) Danach müssen Sie noch sicherstellen, dass Ihr System beim Start das Kernel-Modul loop lädt:

1. Drücken Sie [Alt]+[F2] und geben Sie kdesu kate /etc/sysconfig/kernel ein.
2. Suchen Sie im Editor die Zeile MODULES_LOADED_ON_BOOT="" und tragen Siezwischen die Anführungszeichen loop ein, so dass hier MODULES_LOADED_ON_BOOT="loop" steht.
3. Speichern Sie die Datei und verlassen Sie den Editor. Die Änderungen werden erst nach einem Neustart wirksam. Alternativ können Sie in einem Konsolenfenster auch sudo modprobe loop eingeben, was die Änderungen schon für die laufende Sitzung aktiviert.

Etwas aufwendiger ist die Installation unter Ubuntu, denn hier fallen gleich mehrere Arbeitsschritte an:

1. Wenn Sie auf einem 32-Bit-System unterwegs sind, laden Sie das Paket von [1] herunter – auf 64-Bit-Systemen kommt hingegen [2] zum Einsatz.
2. Entpacken Sie das Paket mit dem Programm Ark oder einem anderen Archivwerkzeug Ihrer Wahl.
3. Öffnen Sie den Ordner mit dem entpackten Verzeichnis. Darin finden Sie eine Datei, die entweder truecrypt-7.1a-setup-x86 oder truecrypt-7.1a-setup-x64 heißt. (Die 64-Bit-Version dieser Datei finden Sie auch auf unserer Heft-DVD, so dass Sie sich die Schritte 1 und 2 ersparen können, wenn Sie die Datei von dort auf den Rechner kopieren.) Klicken Sie diese Datei an, um den TrueCrypt-Einrichtungsassistenten zu starten. Für die Installation benötigt TrueCrypt Root-Rechte. Es fordert Sie darum während des Vorgangs in einem Konsolenfenster auf, Ihr Passwort einzugeben, um darüber Root-Rechte zu erlangen.

Den USB-Stick formatieren

Sobald TrueCrypt installiert ist, geht es weiter mit der Vorbereitung des USB-Sticks. Am Ende soll der Stick ja eine verschlüsselte und eine unverschlüsselte Partition haben. Auf der verschlüsselten Partition liegen die zu schützenden Daten, auf der anderen die aktuellen Versionen von TrueCrypt für Windows, Linux und OS X. Verwenden Sie also das Partitionierungswerkzeug Ihrer Distribution, um auf dem angeschlossenen USB-Stick zwei Partitionen anzulegen – eine kleine, die nicht mehr als 512 MByte Platz benötigt, sowie eine große, auf der im Anschluss die zu schützenden Daten landen. Unter KDE funktioniert das zum Beispiel so:

1. Schließen Sie einen leeren USB-Stick an Ihren Computer an. Alle noch darauf gespeicherten Daten gehen in den folgenden Schritten verloren! Öffnen Sie das Startmenü und geben Sie in das Suchfeld Partition ein. Wählen Sie unter den Treffern die KDE-Partitionsverwaltung (Partitionierer) aus.
2. Wählen Sie aus der Liste der Geräte links den USB-Stick aus. Es handelt sich im Beispiel um einen Stick mit 16 GByte. Achten Sie darauf, nicht versehentlich eine Festplatte zu partitionieren! Löschen Sie eine eventuell auf dem Stick vorhandene Partition (die den ganzen Datenträger belegt) und legen Sie dann zwei Partitionen an, indem Sie jeweils auf Neu klicken.
3. Als Partitionstyp geben Sie in beiden Fällen Primär an – das Dateisystem ist jeweils FAT32. Klicken Sie abschließend auf Anwenden.

Die KDE-Partitionsverwaltung legt die Dateisysteme automatisch wie ausgewählt an (Abbildung 1). Sobald dies abgeschlossen ist, klicken Sie den Dialog mit OK weg – auf dem Stick finden sich nun zwei Partitionen (Abbildung 2). Auf die erste Partition können Sie die aktuellen Programmpakete kopieren, die Sie auf der TrueCrypt-Download-Seite [3] für die gängigen Betriebssysteme finden. Die zweite Partition ist für Ihre Nutzdaten reserviert und wird jetzt verschlüsselt.

Abbildung 1: Alle Arbeiten erledigt – der KDE-Partitionsmanager hat den Stick für den Einsatz mit TrueCrypt vorbereitet.

Abbildung 2: Am Anfang des Sticks liegt eine kleine unverschlüsselte Partition, die nur die TrueCrypt-Software enthält.

1. Starten Sie TrueCrypt, indem Sie [Alt]+[F2] drücken und truecrypt in das Eingabefeld tippen (unter OpenSuse lautet der Befehl realcrypt).
2. Klicken Sie auf Create Volume (dt.: Datenträger erzeugen; leider ist TrueCrypt nicht durchgängig übersetzt, so dass Sie eine englische Oberfläche bedienen müssen). Wählen Sie im nächsten Dialog Create a volume within a partition / drive (dt.: Erzeuge Datenträger auf einer Partition/Platte) aus.
3. TrueCrypt unterstützt Standard-Volumes und versteckte Volumes. Der Unterschied ist, dass Standard-Volumes von außen als verschlüsselt zu erkennen sind, während versteckte Volumes wie zufällige Bits aussehen. Versteckte Volumes sollen Anwendern helfen, wenn diese unter Androhung von Gewalt gezwungen werden, das Passwort für ein verschlüsseltes Volume herauszugeben. Der äußere Datenträger (outer volume) lässt sich mit einem erpressten Passwort öffnen, aber der darin versteckte Datenträger (inner volume) bleibt vor den Blicken Dritter verborgen. Unser Beispiel begnügt sich mit einem Standard-Volume.
4. Nun folgt die Auswahl des Geräts. Klicken Sie auf Select Device und wählen Sie die große Partition auf dem USB-Stick aus, die Sie eben angelegt haben.
5. Bestätigen Sie die dann angezeigte Warnmeldung per Klick auf Ja, geben Sie Ihr Passwort für den Systemzugriff ein und klicken Sie im nächsten Dialog wiederum auf Next. (Es geht hier um die Auswahl des Algorithmus für die Verschlüsselung, die Vorgabe passt.)
6. Nun legen Sie das Passwort fest (Abbildung 3). Die üblichen Regeln für Passwörter gelten hier ohne Einschränkung (Groß- und Kleinbuchstaben, Sonderzeichen, keine einfach zu erratenden Einträge).

Abbildung 3: Hier geben Sie das Passwort ein, das Sie benötigen, um auf den verschlüsselten Datenträger zuzugreifen.

1. Wählen Sie im Dialog Large Files den ersten Eintrag (I will not store files larger than 4 GB on the volume, dt.: Ich werde keine Dateien erzeugen, die größer als 4 GByte sind) aus und übernehmen Sie im nächsten Dialog (Format Options) die Vorgabe, FAT als Dateisystem zu verwenden.
2. Bewegen Sie Ihren Mauszeiger einige Zeit in dem Dialog Volume Format hin und her, um Zufallszahlen zu erzeugen. Diese sind nötig, damit TrueCrypt die Partition sicher verschlüsseln kann. Klicken Sie am Ende auf Format.
3. Das Formatieren dauert ein paar Minuten, je nach Leistung des Rechners und Größe des verwendeten Sticks. Sobald der Vorgang abgeschlossen ist, steht der verschlüsselte Stick zur Verfügung.

Den Stick nutzen

Wollen Sie den Stick auf einem System mit installiertem TrueCrypt nutzen, gehen Sie wie folgt vor:

1. Klicken Sie im TrueCrypt-Fenster auf Select Device und wählen Sie die große Partition auf dem USB-Stick aus (Abbildung 4).
2. Klicken Sie auf Mount. Geben Sie das Passwort ein, mit dem Sie die Partition verschlüsselt haben.

Abbildung 4: Wählen Sie die Partition auf dem Stick aus, die Sie verschlüsseln möchten (hier die zweite, große Partition auf dem 16-GByte-Stick).

Nun können Sie die verschlüsselte Partition verwenden. Noch ein Tipp in Sachen Sicherheit: Obige Anleitung ist dazu gedacht, Ihre Daten vor Dritten zu schützen, falls der Stick gestohlen wird oder verloren geht. TrueCrypt schützt Sie aber nicht, wenn Sie den Stick an nicht vetrauenswürdigen Rechnern betreiben (etwa an öffentlich zugänglichen PCs). Einerseits könnten darauf Keylogger laufen, die Ihr Passwort mitschreiben. Andererseits sind die Daten auf Ihrem Stick sowieso “Freiwild”, sobald Sie das Passwort einmal korrekt eingegeben haben und der Stick für den PC lesbar ist. Denkbar wäre etwa, dass das System im Hintergrund eine komplette Kopie der Daten anfertigt. Trotz Verschlüsselung auf dem Stick ist also Vorsicht beim Einsatz nötig.