Mehr Datenschutz durch Vollverschlüsselung?

Hallo zusammen,
ich bin gerade dabei mich mit den Themen Backup und Festplattenverschlüsselung auseinanderzusetzen.
Mir ist noch unklar, ob ich damit auch mehr Datenschutz erreichen kann und wie ein alltaugstaugliches Konzept aussehen könnte. Das bedeutet für mich, dass die Lösung halbwegs sicher ist, aber trotzdem nach einmaliger Einrichtung leicht zu bedienen ist. Konkret suche ich eine Lösung für Windows, aber hätte am liebsten auch eine Variante für Android (Punkt 4). Hier meine Ideen/Fragen dazu:

1. Zum Verständnis von Festplattenverschlüsselung: Mir ist grundsätzlich klar wieso die Verschlüsselung von Daten zur Sicherheit beiträgt. Ich hatte das so verstanden, dass die Daten dann nur im RAM unverschlüsselt vorliegen. Was bedeutet das für den Schutz vor Schadsoftware und den Datenschutz? Verhindert die Verschlüsselung, dass Apps auf fremde Daten zugreifen können und damit z.B. auch, dass Nutzerdaten abgesaugt werden können? Falls diese Vorteile nicht zutreffend sind, ergibt die Vollverschlüsselung eines Towers auch Sinn?

Bei der Nutzung schwebt mir ungefähr folgendes Szenario vor: Ich möchte soviel wie möglich verschlüsseln (am besten Vollverschlüsselung) ohne, dass es zu kompliziert wird. D.h. ein einmal aufgesetztes System sollte am besten auch von Bekannten nutzbar sein, die keine Ahnung haben und nur in der Lage sind, grafische Programme zu bedienen.
Als Software habe ich mir Veracrypt (https://veracrypt.io/en/Home.html) und FreeFileSync (https://freefilesync.org/) ausgesucht (da auf Windows), aber teilt gerne auch andere Vorschläge. Sind die beiden Programme zu empfehlen und hat die jemand auch in Kombination eingesetzt?

2. Nutzung: Ist es möglich, dass die Backups trotzdem unverschlüsselt sind und die Such-/Filterfunktionen des Backup-Programms funktionieren, obwohl die Daten auf der Quell-Festplatte verschlüsselt sind? Was ist noch zu beachten, um Datenverlust zu vermeiden?
3. Einrichtung: Bei Veracrypt steht, dass man die Vollverschlüsselung sogar durchführen könne während der Rechner läuft. Sollte ich trotzdem ein Komplett-Backup machen bevor ich den Prozess starte und falls ja, nur von den Nutzerdaten oder komplette Partition(en)? Macht es die Einrichtung leichter, wenn der Rechner neu ist?
4. Wie sieht es für Android aus? Ich habe diese Diskussion hier gefunden
   (Veracrypt Container im Android einhängen/Alternativen). Es stellen sich mir dieselben generellen Fragen wie für Windows (1.+2.+3.). Zusätzlich bin ich dankbar für Hinweise, welche Software/Strategien auf Android zu empfehlen sind. Im Gegensatz zur anderen Diskussion brauche ich keine Voll-Integration mit Windows/Linux, aber es wäre schön, wenn man die Backups vom Handy auf den Rechner kopieren kann.

Was meinst du damit. Soll der Bekannte in der Lage sein, deinen Rechner zu starten und ohne dich auf die entschlüsselten Daten zugreifen dürfen? Soll er das Passwort kennen?

Entschuldigung, das war unklar formuliert. Ich würde es für einen Bekannten aufsetzen, aber natürlich kennt derjenige seine Passwörter und darf auf seine Daten komplett zugreifen. Ich will nur verhindern, dass die Person im Alltag dann an ihre verschlüsselten Daten nicht herankommt/keine Backups machen kann/…
Also Nutzung ohne IT-Kenntnisse aber mit Zugangsdaten.

Die Festplattenverschlüsselung ist hauptsächlich für den Fall eines Geräte- oder Festplattenverlusts gedacht. Sie soll verhindern, dass Unbefugte auf die Daten zugreifen können, wenn z.B. ein Laptop gestohlen oder verloren wird. Bricht jedoch ein Angreifer in ein laufendes System ein, kann er auf alle Daten zugreifen, für die der Benutzeraccount, unter dem der Angreifer auf dem System agiert, berechtigt ist. In diesem Fall greift die Festplattenverschlüsselung nicht mehr, da die Daten bereits entschlüsselt wurden.

Hier legst du den Finger genau in die Wunde. Backups werden bei der Verschlüsselung häufig vergessen und stellen einen großen Schwachpunkt im Konzept der Datenverschlüsselung dar. Um deine Frage zu beantworten, gilt mein vorausgegangener Absatz. Wenn die Backup-Software ein laufendes System sichert, kann sie auf die Daten zugreifen wie jede andere Anwendung auch. Die Backup-Software sieht von der Verschlüsselung erst einmal nichts.

Eine Ausnahme sind hier Tools, die einzelne Ordner Ende-zu-Ende (E2EE) verschlüsseln. In diesem Fall muss der Benutzer den Ordner explizit entschlüsseln, um auf die Daten zugreifen zu können. Solche Daten werden von einer Backup-Software verschlüsselt gesichert, solange der Benutzer den Ordner nicht explizit entschlüsselt. Wenn man solche Tools nutzt, sollte man ein paar Tests durchführen, um das Verhalten zu studieren. Ich weiß nicht, wie die einzelnen Tools darauf reagieren. Beispiele für E2EE-Tools sind Cryptomator[1] oder CryFS[2].

[1] https://cryptomator.org/de/
[2] https://www.cryfs.org

HTH CD

Sowas hatte ich schon befürchet, aber danke für die Klarstellung! Hilft es denn, wenn ich einzelne Ordner z.B. mit Veracrypt verschlüssele d.h. sind diese gesichert solange ich sie nicht mounte und entschlüssele? Explizit für sensible Daten, die ich regelmäßig aber nicht ständig brauche wie Bankinformationen wäre das sinnvoll.
Das wäre ja eine Mehrfachverschlüsselung von einem verschlüsselter Ordner auf einer verschlüsselten Festplatte, ist das ein gangbarer Weg?

Solange du den Ordner nicht entschlüsselst und mountest, sieht das Betriebssystem ebenfalls nur verschlüsselte Daten. Das gilt auch für einen Angreifer.

Im Prinzip sind verschlüsselte Daten auch nur Daten. Ich praktiziere das schon lange. Bei meinem MacBook habe ich die Festplattenverschlüsselung aktiviert und einzelne Ordner mit Cryptomator verschlüsselt. Windows wird sich da nicht anders verhalten. Die meisten dieser Ordner liegen auf meinem Nextcloud-Server, aber ich habe auch einen lokalen Ordner, den ich mit Cryptomator verschlüsselt habe.

Frage: Warum muss es Veracrypt sein? Gibt es dafür einen bestimmten Grund? Ich habe damit gearbeitet, als ich eine externe Festplatte sowohl unter Windows als auch unter Linux genutzt habe. Veracrypt kann halt beides. Bei reinem Windows-Gebrauch würde ich tatsächlich BitLocker verwenden. Das ist sicher und in Windows integriert.

Und für was du dich auch entscheidest: Pass gut auf den Wiederherstellungsschlüssel auf. Er ist die Lebensversicherung für deine Daten.

Nein, muss es nicht. Aber ich nutze aktuell noch Windows und überlege auf Linux umzusteigen. Außerdem wurde es von anderen hier im Forum gelobt.
Und außerdem ist mein Rechner zwar angeblich Bitlocker-verschlüsselt, genauer gesagt nur meine „C:“-Partition, nicht die Boot-Partitionen und ich habe den Schlüssel seperat notiert, aber ich musste den Schlüssel noch nie eingeben. Gehört das so oder ist da was schiefgelaufen?

Nein, alles gut. Im Regelbetrieb gibst du mit deinem Benutzerpasswort den Schlüssel zum Entschlüsseln frei. Wenn du die Festplatte in einem anderen PC installierst, wirst du anschließend nach dem Wiederherstellungsschlüssel gefragt. Du kannst BitLocker auch so einstellen, dass beim Booten eine PIN abgefragt wird. Diese macht im Prinzip dasselbe wie dein Benutzerpasswort, nur kannst du damit auch die Bootpartition verschlüsseln.

BTW: Veracrypt wird vom BSI im laufenden Betrieb bei hohen Schutzklassen als nicht mehr ausreichend sicher eingestuft. Offline hingegen ist, soweit ich weiß, kein Problem, aber das betrifft nicht deinen Anwendungsfall:

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gab ein Sicherheits-Audit für VeraCrypt beim Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in Auftrag und veröffentlichte 2020 eine Zusammenfassung der Untersuchungsergebnisse.[11] Das BSI und das Fraunhofer SIT schlussfolgern darin, dass keine substantiellen Sicherheitsprobleme gefunden wurden, solange das verschlüsselte Volume nicht im Betriebssystem eingebunden ist. Ein eingebundenes Volume hingegen ermögliche Angriffsvektoren auf das Betriebssystem.

https://de.wikipedia.org/wiki/VeraCrypt

Kannst du machen, so wirklich sinnvoll ist das aber nicht. Verschlüsselung hilft -wie bereits geschrieben- bei Diebstahl der Hardware oder unbefugten lokalen Zugriff (Kinder, Behörden, etc.). Irgendwelche malware/keylogger wwerden dein System aber über einen längeren Zeitraum überwachen, wenn du da regelmäßig drauf zugreifst haben die also auch das Passwort.

Wobei das ein recht theoretisches Szenario ist, die meiste 08/15 malware scannt das System einmal nach logins/Crypto Wallets/whatever und macht sich nicht die mühe irgendwelche speziellen Daten zu entschlüsseln. Entgegen der allgemeinen Meinung sind deine Bankdaten für Kriminelle nicht sonderlich attraktiv, weil sie dank 2fa und anderer Schutzmaßnahmen da nicht viel mit anfangen können.

Fairer Punkt. Stimmt schon, eigentlich hilft die Verschlüsselung primär bei physischem Zugriff auf die Hardware - und gegen Erpressung/Veröffentlichung privater Daten durch Dritte. Aber bei Keyloggern+Ransomware nützt es nichts.
Schützt die Festplattenverschlüsselung vielleicht in irgendeiner Form bei Hackerangriffen oder ähnlichem?

Das erste was jeder halbwegs kompetente hacker machen wird ist sicherzustellen das er dauerhaften Zugang hat - also nein. Und aktiv „gehacked“ werden kannst du nur wenn dein Rechner läuft, deine Systemplatte ist dann also eh entschlüsselt.

Aber auch hier, sehr theoretisch - du musst schon sehr speziell sein damit sich ein Mensch aus fleisch und Blut damit beschäftigt in dein System einzudringen.

Eigentlich ist doch aus Sicherheitsgründen ein Preboot Authentifizierung sinnvoll, siehe auch der Artikel auf it-daily.net. Dort heißt es u.a.

Etwas plakativer formuliert: Jemand, der behauptet, die Pre-Boot-Authentifizierung wäre unnötig, behauptet, dass es sicherer ist, Daten vor der Authentifizierung offen zu legen oder zu entschlüsseln als danach.

Nun erinnere ich mich, dass es früher Standard war (Win 7 Ultimate), dass Bitlocker ohne Preboot Authentifizierung eingerichtet wird , und man nur umständlich eine Preboot PIN/Passwort einrichten konnte, wenn man das Feature haben wollte.
So war ich erstaunt , dass ich bei meiner letzten Win10 Einrichtung vor ein paar Jahren, standardmäßig eine PIN/Passwort abgefragt wurde. Zumindest bei einer Einrichtung ohne Microsoftkonto und mit der Win10 Pro Version.
War das bei dir nicht so?

diese Aussage stimmt bei Bitlocker idR nicht (nur bei kommerziellen Pre-Boot-Authentications).
Wahrscheinlich ist der Schlüssel im TPM, hilft dann aber nicht gegen Diebe die es wirklich auf Dich abgesehen haben.

ist m.W. nicht Standard, kann aber per GPO erzwungen werden.

Lässt sich nicht so gut automatisieren, geht aber so (ich mache das wöchentlich manuell): Cryptomator-Vault mounten, entschlüsseln und dann mit Duplicati per Knopfdruck auf eine externe Festplatte schreiben. Die Idee dahinter ist nicht nur, dass ich ein lokales Offline-Backup habe, sondern auch, dass ich eine unverschlüsselte Kopie habe, sollte die Entschlüsselung unter Cryptomator aus irgendwelchen (unwahrscheinlichen) Gründen dauerhaft versagen.

Liegen die Daten unverschlüsselt auf der Platte (das ist bei meinem Nextcloud-Client der Fall; Cryptomator nutze ich nur für OneDrive for Business), dann könnte ich mit Duplicati auch ein wahlweise verschlüsseltes Offsite-Backup auf eine andere Cloud ziehen. Das ließe sich auch gut automatisieren, wäre also u.U. DAU-tauglich.

Auf meinen Windows-Rechnern habe ich ansonsten überall Bitlocker drauf - bis auf eine alte Gurke von hp mit Win 10 von 2017 (kommt in den nächsten vier Monaten Linux drauf ). Wo Windows Home (neuere Installationen können das) keine Laufwerksverschlüsselung anbietet (sozusagen Bitlocker Lite, was es in der Vollversion nur für Win Pro und Enterprise gibt), da wäre dann wohl Veracrypt immer noch das Mittel der Wahl.

Vollverschlüsselung finde ich prima und nutze sie seit Jahren bei Windows mit Bitlocker und Preboot Authentifizierung und mit Luks unter Linux. Dabei ist wirklich jede Platte verschlüsselt, auch externe USB Platten. Im laufenden Betrieb bekommt man, außer der Passworteingabe beim Start, von der Verschlüsselung nichts mehr mit, da angeschlossene Platten automatisch entschlüsselt werden. Einmal eingerichtet ist es auch Großeltern tauglich.

Backups sind auch kein Problem. Zum einen werden Backups im laufenden Betrieb mit Hardlink Backup (Windows) und Vorta und Timeshift (Linux) auf die internen Backupplatten gemacht und mit BackInTime unter Linux zusätzlich auf externe USB Platten. Ab und zu gibt es noch mit Veeam sowohl unter Windows als auch Linux ein Imageabbild, wobei das Image selber verschlüsselt ist und nicht die Backupplatte.

Die Verschlüsselung sehe ich als Diebstahlschutz. Würde ich mir im laufenden Betrieb Sorgen machen, dass mir Hacker Daten vom Rechner klauen, würde ich den Rechner nicht mehr benutzen. Trotzdem sind richtig sensible Daten nochmal dateiverschlüsselt, wie die Keepassdateien.

Das klingt, als würde man lieber auf das Auto verzichten, wenn man sich Sorgen macht, damit zu verunglücken. Das kann schneller gehen, als man denkt. Viele Heim-PCs sind nicht ausreichend geschützt, beispielsweise aufgrund veralteter Antivirenlösungen oder nicht mehr unterstützter Betriebssysteme. Ein konsequentes Patch-Management findet selten statt. Software wie Office, PDF-Reader, Browser-Erweiterungen oder Medienplayer bleibt oft jahrelang unangepatcht, obwohl sie öffentlich bekannte Schwachstellen enthält. Kleine Tools werden für einen ganz bestimmten Zweck installiert und dann nie wieder benutzt.

Bereits der Besuch einer manipulierten Website reicht aus, um einen PC mit veralteter Software zu infizieren. Dafür muss man sich nicht einmal auf dubiosen Webseiten herumtreiben. Schon die Webseite des eigenen Vereins kann beispielsweise kompromittiert sein. Das sind keine Meteoriteneinschläge, die alle hundert Jahre vorkommen. Es ist eher ein beständiger Nieselregen, und wer sich nicht entsprechend anzieht, wird nass werden.

Zudem ist der klassische Heim-PC heute mit zahlreichen Geräten verbunden: Router, Smart-TVs, Tablets, Smartphones, WLAN-Drucker, NAS-Server, smarte Lautsprecher oder Thermostate. Jedes dieser Geräte kann als Einstiegspunkt dienen. Viele dieser Geräte sind dauerhaft online, verfügen über selten aktualisierte Firmware und bieten teilweise schlecht gesicherte Verwaltungsinterfaces (z. B. Web-Oberflächen mit Standardpasswörtern), die oft auch noch mit einem Cloud-Service verbunden sind. Ein Angreifer muss also nicht den PC direkt kompromittieren – ein verwundbarer IoT-Lichtschalter reicht aus, um ins Heimnetz einzudringen, das Netzwerk zu scannen und lateral auf den PC zuzugreifen.

Ich sehe diesen Angriffsvektor als weitaus größere Bedrohung als den Diebstahl eines Heim-PCs oder einer Backup-Festplatte. Außer man ist mit einem Laptop auch außerhalb der Wohnung unterwegs. Dann muss man sich natürlich auch darum kümmern, aber das ist on top und nicht stattdessen. Eine Festplattenverschlüsselung ist nur ein Teil einer Sicherheitsstrategie und adressiert nur ein ganz spezielles Szenario.

Dem immer öfter zu hörenden Argument „Ich bin doch nicht wichtig genug für einen Hacker” möchte ich auch noch etwas entgegensetzen. Das ist gefährlich naiv. Es beruht auf einem veralteten Bild von gezielten Angriffen durch Einzelpersonen mit klarer Motivation. In Wirklichkeit haben sich Angriffsstrategien längst industrialisiert und automatisiert. Man muss gar nicht das Ziel eines Angriffs sein, um Opfer zu werden – es reicht, zur falschen Zeit verwundbar online zu sein. In dieser Logik geht es nicht um die Relevanz des Einzelnen, sondern um Masse, Erreichbarkeit und Nachlässigkeit.

Nein, Upgrade auf Windows Pro ist sinnvoller.

Ich persönlich kenne mehr Menschen (nämlich 3), denen bei einem Einbruch der Rechner samt externer Festplatten geklaut wurde als Leute, deren Daten online entwendet oder kompromittert wurden, (hier sind es 0). Das ist natürlich kein repräsentativer Eindruck und ich will damit sagen, dass es schwierig ist, eine höhere Wahrscheinlichkeit für das eine oder andere Szenario zu prognostizieren.
Klar kann eine Vollverschlüsselung nur Teil einer Sicherheitsstrategie sein, in meinen Augen aber genau so wichtig wie Backup und das Uptodatehalten des Systems.
Da letzteres, wie du schon sagst, oft vernachlässigt wird, ist ein Backup und Verschlüsselung essentiell.
Da es hier um die Frage nach einer einfach zu handhabenden Strategie geht, finde ich gerade die Vollverschlüsselung als das, wovon der unbedarfte Anwender im laufenden Betrieb am wenigsten mit konfrontiert wird.

Apropos Backup, bei den oben erwähnten von mir bekannten Fällen, war nur in einem Fall ein vollständiges externes Backup außer Haus vorhanden, in einem zweiten Fall immerhin eine E2EE verschlüsselte Ablage der allerwichtigsten Daten in einer Cloud und im dritten Fall waren wirḱlich alle Daten weg.

Okay, das würde erklären, warum ich das Passwort nie eingeben musste. Für nicht IT-affine ist das aber vermutlich die beste Lösung, jedes Mal ein Passwort einzugeben ist eben lästig und führt meist nur dazu, dass schwache und kurze Passwörter gewählt werden.

Genau so habe ich mir das auch gedacht

Schon interessant und beängstigend wie vielfältig die Angriffsvektoren sind. Ich denke ein bisschen Verschlüsselung und konsequentere Backups sind für mich erstmal der Weg der Wahl. Für die anderen Bedrohungsszenarien wie smarte Haushaltsgeräte und veraltete Software muss ich mir zusätzlich einen Plan überlegen.

Damit der Threadopener was hilfreiches dazu hat:
https://ekiwi-blog.de/8363/bitlocker-pre-boot-bitlocker-pin-aktivieren/
Da ist die Aktivierung der Pre-Boot-Authentifizierung mit Bitlocker schön beschrieben.