VeraCrypt Anleitung – Daten sicher verschlüsseln

André Bartsch

VeraCrypt ist eine Open-Source-Software, mit der Sie Ihre Daten effektiv und sicher vor allzu neugierigen Augen schützen. Dabei können Sie nicht nur einzelne Dateien, sondern auch ganze Laufwerke und sogar die System-Partition verschlüsseln. In diesem Artikel zeigen wir Ihnen, was VeraCrypt leistet und wie Sie vorgehen, wenn auch Sie Ihre Daten verschlüsseln wollen. Wenn Sie sich fragen sollten, wozu das überhaupt notwendig ist, dann empfehlen wir Ihnen unseren Artikel Festplatte verschlüsseln – Windows, Mac & externe Festplatten.

Welche Verschlüsselungsmöglichkeiten bietet VeraCrypt?

VeraCrypt bietet Ihnen drei Möglichkeiten zur Verschlüsselung Ihrer Daten:

  • Datei-Container: Hiermit legen Sie einen „Daten-Tresor” an, in dem Sie einzelne sensible Dateien sicher speichern. Diese Container können Sie sowohl off- als auch online anlegen – auf Festplatten, Wechseldatenträgern wie USB-Sticks, Netzlaufwerken und auch in der Cloud.
  • Partitionen verschlüsseln: Wenn die Festplatte oder SSD (Solid State Drive) Ihres Rechners in Partitionen unterteilt ist, dann können Sie diese als Ganzes verschlüsseln. Das gilt auch für Wechseldatenträger wie USB-Sticks, Speicherkarten & Co.
  • System-Partition: Auch die Partition, auf der Ihr Betriebssystem läuft, können Sie mit VeraCrypt verschlüsseln.

Um starten zu können, laden Sie sich die aktuelle VeraCrypt-Version vom Hersteller herunter. Sie entscheiden, ob Sie das Programm installieren oder doch lieber die portable Version nutzen wollen. VeraCrypt läuft auf Windows, Mac, Linux, Raspberry Pi und FreeBSD. In diesem Artikel stellen wir die Windows-Version vor.

Dateien mit VeraCrypt verschlüsseln

Im Folgenden erklären wir Schritt für Schritt, wie Sie mit VeraCrypt Ihre sensiblen Daten verschlüsseln können. Zunächst starten Sie das Programm und klicken auf Volume erstellen.

Belassen Sie die Vorauswahl bei Eine verschlüsselte Containerdatei erstellen und klicken Sie auf Weiter.

Im nächsten Schritt erstellen Sie ein Standard VeraCrypt-Volume. Das ist programmseitig voreingestellt. Alternativ können Sie auch ein Verstecktes VeraCrypt-Volume anlegen. Niemand außer Ihnen weiß dann, dass es existiert. So kann Sie im Zweifelsfall auch niemand erpressen, das Passwort zu verraten.

Bestätigen Sie mit Weiter.

Klicken Sie auf den Datei-Button und legen Sie den Namen und den Volume-Speicherort auf Ihrem Speichermedium fest. Speichern Sie abschließend.

Achtung: Eine vorhandene Datei sollten Sie nicht auswählen, da diese gelöscht und durch die Containerdatei ersetzt wird.

Das vormals leere Feld Volume-Speicherort ist jetzt gefüllt. Mit dem Weiter-Button kommen Sie zu den Verschlüsselungseinstellungen.

Wählen Sie den Verschlüsselungsalgorithmus und den Hash-Algorithmus aus. Die Voreinstellungen AES und SHA-512 gelten als besonders sicher und müssen daher nicht geändert werden. 

Klicken Sie auf Weiter und bestimmen Sie die Größe Ihrer Containerdatei, die von 292 Kilobyte (je nach Dateisystem auch mehr) aufwärts bis hin zu mehreren Terabyte reichen kann.

Die Obergrenze hängt von der Größe des jeweiligen Speichermediums ab. Dynamische, also anwachsende Größen sind auch möglich, was aber gewisse Nachteile hat. Die Performance leidet und was noch wichtiger ist: die Sicherheit auch.

Bestätigen Sie Ihre Angaben mit Weiter.

Im nächsten Schritt vergeben Sie ein sicheres Passwort für Ihr Standard VeraCrypt-Volume. Achten Sie unbedingt darauf, dass das Passwort lang genug ist und aus zufälligen Kombinationen von Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen besteht (hier geht es zum großen Passwort Manager Test). VeraCrypt empfiehlt eine Mindestlänge von 20 Zeichen.

Wenn Ihr Passwort zu kurz ist, werden Sie explizit darauf hingewiesen:

Nach der Festlegung Ihres Kennworts bestimmen Sie das Dateisystem Ihrer Containerdatei: FAT, exFAT oder NTFS. Anschließend bewegen Sie Ihre Maus für mindestens 30 Sekunden zufällig hin und her, um möglichst viel Entropie – Unordnung – zu erzeugen. So wird die Verschlüsselung besser. Wenn der Balken unter Durch Mausbewegungen gesammelte Entropie grün wird, dann reicht die Entropie aus.

Mit Formatieren schließen Sie die Erstellung Ihres VeraCrypt-Volumes ab. Wenn Sie kein weiteres Volume anlegen wollen, dann Beenden Sie den Vorgang.

Öffnen Sie anschließend das Hauptfenster von VeraCrypt. Dort werden die freien Laufwerksbuchstaben angezeigt. Wählen Sie einen aus, wie zum Beispiel K. Über den Datei-Button suchen Sie den Ordner, in dem Sie Ihren VeraCrypt-Container gespeichert haben. 

Wählen Sie die Datei aus, klicken Sie abschließend auf Einbinden und geben Sie im Pop-up-Fenster Ihr Passwort ein. Bestätigen Sie mit OK.

Dieser Prozess kann unter Umständen länger dauern – haben Sie daher ein wenig Geduld.

Nach der Einbindung steht Ihnen der Container unter Windows wie ein reguläres Laufwerk zur Verfügung. Falls Sie Ihren Daten-Tresor vorübergehend nicht mehr benötigen, dann hängen Sie ihn aus Sicherheitsgründen aus. So kann niemand unerlaubt darauf zugreifen. Wählen Sie dazu das Volume aus und klicken Sie auf Trennen. Mehrere VeraCrypt Container hängen Sie mit dem Button Alle trennen aus.

Festplatten und USB-Sticks mit VeraCrypt verschlüssen

Um eine Festplatte oder ein anderes Speichermedium zu verschlüsseln, wählen Sie im VeraCrypt Hauptfenster Eine Partition/ein Laufwerk verschlüsseln aus und bestätigen Sie Ihre Auswahl mit Weiter. Ein Pop-up öffnet sich und Windows bittet um Administratorrechte. Bestätigen Sie die Anfrage mit Ja.

Belassen Sie die Auswahl bei Standard VeraCrypt-Volume und klicken Sie auf Weiter.

Klicken Sie den Datenträger-Button. Es öffnet sich ein Pop-up. Wählen Sie jetzt das Laufwerk aus, das Sie verschlüsseln wollen und bestätigen Sie anschließend mit OK. Wenn sich das Pop-up schließt, klicken Sie auf Weiter.

Jetzt haben Sie die Wahl zwischen den Optionen Verschlüsseltes Volume erstellen und formatieren oder Partition „in-place“ verschlüsseln

Wählen Sie Option 2, wenn Sie ein ganzes Laufwerk und die darin enthaltenen Dateien verschlüsseln wollen. Laufwerke müssen aber zwingend mit dem NTFS-Dateisystem arbeiten. Falls Ihr Laufwerk ein anderes Dateisystem verwendet, dann müssen Sie leider einen etwas umständlichen Weg gehen. Wie der aussieht, das beschreibt der VeraCrypt-Assistent in seiner Warnmeldung.

Mit Option 1 Verschlüsseltes Volume erstellen und formatierenVerschlüsseltes Volume erstellen und formatierengeht es an dieser Stelle weiter. Bei dem Vorgang werden alle vorhandenen Daten gelöscht – also Vorsicht! Falls das Laufwerk wichtige Dateien enthält, sichern Sie diese jetzt auf einem anderen Datenträger.

Wenn der zu verschlüsselnde Datenträger einsatzbereit ist, dann klicken Sie auf Weiter. Sie kommen zu den Verschlüsselungseinstellungen. Die voreingestellten Werte für den Verschlüsselungsalgorithmus und den Hash-Algorithmus (AES und SHA-512) sind sicher und können so belassen werden.

Mit Weiter gelangen Sie zum nächsten Schritt, wo die Größe des Volumes angezeigt wird.

Nach einem Klick auf Weiter geben Sie im nächsten Schritt Ihr Passwort ein und bestätigen es mit einer erneuten Eingabe. Denken Sie daran, dass das Passwort möglichst sicher sein sollte.

Klicken Sie wiederum auf Weiter und bestimmen Sie das Dateisystem des Datenträgers (NTFS, FAT, exFAT, ReFS). Alternativ belassen Sie einfach den voreingestellten Wert. Nun erzeugen Sie durch chaotische Mausbewegungen genug Entropie, um eine gute Verschlüsselung Ihres Datenträgers zu erreichen. 

Wenn der Balken grün wird, dann klicken Sie auf Formatieren. Es öffnet sich ein Pop-up mit einer Warnmeldung, die die Folgen der Formatierung beschreibt. Wenn Sie den Prozess starten wollen, dann klicken Sie auf Ja.

Je nach Größe und Schnelligkeit des Laufwerks könnte die Formatierung und Verschlüsselung ein wenig dauern. Sie sollten daher etwas Geduld mitbringen. Wenn der Vorgang abgeschlossen ist, erhalten Sie noch den Hinweis, dass der Datenträger nicht mit demselben Laufwerksbuchstaben wie zuvor eingebunden werden kann.

Bestätigen Sie den Hinweis mit OK und das Pop-up schließt sich. Sofern Sie kein weiteres Laufwerk verschlüsseln wollen, schließen Sie den Vorgang mit Beenden ab.

Öffnen Sie jetzt das Hauptfenster von VeraCrypt. Wählen Sie einen der freien Laufwerksbuchstaben (z. B. “J”) und klicken Sie auf den Datenträger-Button. Im Pop-up wählen Sie den verschlüsselten Datenträger aus, indem Sie auf dessen interne Laufwerksbezeichnung klicken (z. B. \Device\Harddisk3\Partition1 LW I:). 

Mit dem Button Einbinden hängen Sie nach korrekter Passworteingabe Ihr verschlüsseltes Laufwerk ein. Sie finden es im Windows Explorer unter dem Laufwerksbuchstaben, den Sie zuvor ausgewählt haben.

Der neue Daten-Tresor ist jetzt einsatzbereit. Wenn Sie das Laufwerk einmal nicht mehr brauchen, dann trennen Sie es im VeraCrypt Hauptfenster.

Systempartition mit VeraCrypt verschlüsseln

Wenn Sie eine Systempartition verschlüsseln wollen, dann wählen Sie im VeraCrypt Hauptfenster Volume erstellenaus und anschließend Eine System-Partition bzw. ein System-Laufwerk verschlüsseln.

Klicken Sie auf Weiter und gewähren Sie VeraCrypt Administratorrechte. Bestätigen Sie anschließend die voreingestellte Art der System-Verschlüsselung, Normal, mit Weiter.

Auch die Einstellung Die Windows System-Partition verschlüsseln ist korrekt. Fahren Sie mit Weiter fort.

Wählen Sie jetzt den Punkt Ein Betriebssystem aus und klicken auf Weiter, sofern Sie nicht gleich mehrere Betriebssysteme verschlüsseln wollen.

Im nächsten Schritt können Sie sowohl den Verschlüsselungsalgorithmus als auch den Hash-Algorithmus so belassen wie sie sind (AES und SHA-512). Drücken Sie den Weiter-Button.

Jetzt vergeben Sie ein sicheres Passwort für Ihre System-Partition und geben es zur Bestätigung noch ein zweites Mal ein. Beachten Sie dabei, dass VeraCrypt vorübergehend das US-Tastaturlayout einstellt, da in der Prä-Boot-Umgebung (also direkt nach dem Start Ihres Rechners) kein anderes Layout verfügbar ist. Mit Weiter gelangen Sie zum nächsten Schritt.

VeraCrypt hat das Tastaturlayout wieder auf den Standardwert zurückgesetzt. Bewegen Sie jetzt die Maus in zufälligen Bewegungen hin und her, bis VeraCrypt daraus eine gute Verschlüsselung generiert hat. Wenn der Balken grün wird, dann klicken Sie auf Weiter.

VeraCrypt informiert Sie, dass der Schlüssel generiert wurde. Drücken Sie erneut auf den Weiter-Button.

Sie werden jetzt dazu aufgefordert, einen VeraCrypt-Rettungsdatenträger zu erstellen. Das ist beispielsweise wichtig, falls kritische VeraCrypt-Daten auf Ihrem Rechner beschädigt werden oder bei Windows-Startproblemen.

Sie können den voreingestellten Pfad so belassen oder einen eigenen wählen. Wenn Sie auf Weiter klicken, dann wird eine ZIP-Datei erstellt. Sie enthält die nötigen Daten für den Rettungsdatenträger.

Den Inhalt dieser Datei kopieren Sie in das Wurzelverzeichnis (die oberste Ordnerebene) eines USB-Sticks, der mit FAT oder FAT32 formatiert wurde.

Wechseln Sie wieder zurück zu VeraCrypt und klicken Sie auf Weiter. Das Programm überprüft, ob der Rettungsdatenträger erfolgreich erstellt wurde. Wenn ja, dann werfen Sie ihn unter Windows aus und entfernen ihn anschließend aus Ihrem Rechner. Klicken Sie auf Weiter.

Nun können Sie überschriebene Daten auf der System-Partition sicher löschen, ohne dass dabei vorhandene Daten verloren gehen. Falls dies nicht notwendig ist, fahren Sie ohne Löschmodus mit einem Klick auf Weiter fort.

Bevor die System-Partition verschlüsselt wird, führt VeraCrypt einen Test aus, ob alles korrekt funktioniert. Nach einem Klick auf den Test-Button öffnet sich ein Pop-up mit einem Warnhinweis, den Sie aufmerksam lesen sollten. Bestätigen Sie ihn anschließend mit Ja.

Lesen Sie auch den nächsten Sicherheitshinweis und klicken Sie auf OK. Anschließend bestätigen Sie auch die Nachfrage von Windows, ob Sie den Rechner tatsächlich neu starten wollen. Windows bootet anschließend neu. Nun geben Sie Ihr Passwort ein, lassen das PIM (Leave empty for default)-Feld leer und bestätigen mit der Enter-Taste. 

Wenn es ein Problem bei der Passworteingabe gibt und Sie sich nicht anmelden können, dann drücken Sie einfach die ESC-Taste auf Ihrer Tastatur. 

Windows startet dann ganz normal. Anschließend fragt Sie der VeraCrypt-Assistent, ob Sie den Test erneut durchführen wollen oder ob die Prä-Boot-Authentifikationskomponente deinstalliert werden soll.

Wenn die Anmeldung geklappt hat, dann bootet Windows wie gewohnt. Sobald Ihr Rechner hochgefahren ist, startet auch VeraCrypt mit der Meldung, dass der Vortest erfolgreich abgeschlossen wurde.

Klicken Sie auf Verschlüsseln und gewähren Sie VeraCrypt anschließend Administratorrechte. Der Verschlüsselungsvorgang, der eine Weile dauert, aber jederzeit unterbrochen werden kann, startet. Eine Erfolgsmeldung des VeraCrypt Assistenten informiert Sie, wenn der Prozess abgeschlossen ist. Nun müssen Sie nur noch auf Fertigstellen klicken.

Sie können die Verschlüsselung der System-Partition jederzeit wieder rückgängig machen. Klicken Sie dazu im VeraCrypt-Menü auf System und dann auf System-Partition/Laufwerk dauerhaft entschlüsseln.

Fazit

VeraCrypt ist sehr gut dazu geeignet, Daten und ganze Laufwerke zu verschlüsseln. Die Anwendung ist weitestgehend benutzerfreundlich und man findet sich schnell zurecht. 

Allerdings ist die Verschlüsselung recht langsam. Gerade bei gut gefüllten, größeren Laufwerken mit mehreren Terabyte Speicher kann sie schon einmal mehrere Tage dauern. Viel schneller geht es, wenn man ein leeres Laufwerk verschlüsselt und erst anschließend Dateien darauf speichert.

Ein wichtiger Punkt pro VeraCrypt ist der quelloffene Code, der von jedem eingesehen werden kann. Das ebenfalls populäre Windows Bord-Tool Bitlocker von Microsoft hat beispielsweise keinen einsehbaren Quellcode. Man muss Microsoft also vertrauen, was die Sicherheit der eigenen Daten angeht – und das dürfte nicht jeder. VeraCrypt verdient sich dieses Vertrauen gerade durch seine Quelloffenheit.

Häufige Fragen & Antworten

Wie sicher ist VeraCrypt?
Laut einer Studie des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) kann VeraCrypt für private Zwecke bedenkenlos eingesetzt werden. Fraunhofer hat nur kleinere Mängel festgestellt. Das Institut hat den VeraCrypt-Entwicklern daher Verbesserungsvorschläge für den Programmcode gegeben, die teilweise schon in die neueste Version mit eingeflossen sein sollen.

Wer steckt hinter VeraCrypt?
VeraCrypt wird von dem französischen Unternehmen IDRIX1 entwickelt. IDRIX1 bietet noch weitere Verschlüsselungstools zum kostenlosen Download an.

Was ist der Unterschied zwischen VeraCrypt und BitLocker?
VeraCrypt ist eine nicht-kommerzielle Open-Source-Software, deren Quellcode von jedem eingesehen werden kann. Bitlocker gehört zu den Windows Bordmitteln, aber nur bei den Deluxe-Versionen (Pro und Enterprise bei Windows 10)

Wie lange braucht VeraCrypt zum Verschlüsseln?
Das kann sehr lange dauern: Je größer das Laufwerk ist und je mehr Daten darauf liegen, desto länger dauert der Verschlüsselungsvorgang. Viel schneller geht es, wenn Sie ein leeres Laufwerk verschlüsseln und erst anschließend die sensiblen Dateien hineinkopieren.

Für welche Betriebssysteme gibt es VeraCrypt?
VeraCrypt läuft auf allen Windows-Versionen seit XP. Sie können das Tool auch unter Mac OS, Linux (Ubuntu und Debian) sowie Raspberry Pi und FreeBSD nutzen.

Autor: André Bartsch