Anleitung: Festplattenvollverschlüsselung mit VeraCrypt unter Windows 10

Unsere Anleitung für die Vollverschlüsselung mit VeraCrypt unter Windows 10

Das Verschlüsselungsprogramm VeraCrypt (Download hier: https://www.veracrypt.fr/en/Downloads.html) erfreut sich großer Beliebtheit. Dies ist unter anderem darauf zurückzuführen, dass das kostenlose Programm einfach zu bedienen ist und einen guten Schutz bietet. So ist bis zum jetzigen Zeitpunkt nicht bekannt, dass unbefugte Dritte sich ohne Kenntnis der Passphrase Zugang zu mit VeraCrypt verschlüsselten Daten verschaffen konnten. Leider treten gerade unter Windows 10 immer wieder Probleme bei einer Vollverschlüsselung der Festplatte auf. Diese Anleitung soll Dir helfen, Deinen Rechner sicher und problemlos zu verschlüsseln.

Gerade für Nutzer der weit verbreiteten Microsoft Betriebssysteme ist VeraCrypt die beste Lösung, die Systemfestplatte und externe Datenträger zu verschlüsseln. Das bei den Professional-Versionen des Microsoft-Betriebssystems Windows 10 mit enthaltene Verschlüsselungsprogramm „Bitlocker“, gilt gegenüber VeraCrypt als unsicher und ist nicht zu empfehlen. Da bei einer Verschlüsselung einige Punkte zu beachten sind und es immer wieder zu Problemen kommt, wollen wir hier mit einer Anleitung eine Hilfestellung bieten.

Inhaltsverzeichnis



Probleme der Systemfestplattenverschlüsselung (VeraCrypt) unter Windows 10

14.03.2020

Stellte die Verschlüsselung der Systemfestplatte unter dem Betriebssystem Windows 7 im Grunde kein Problem dar, so häufen sich Fehlermeldungen und Klagen bei den Versuchen, Systemfestplatten mit dem Betriebssystem Windows 10 zu verschlüsseln. Dies liegt vor allem daran, dass bei Geräten, bei denen ein Upgrade von Windows 7 auf Windows 10 durchgeführt wurde, oftmals die dadurch etwas chaotische Partitionierung der Festplatte der Vollverschlüsselung mit VeraCrypt im Wege steht. Dies ist auch oft bei Geräten zu beobachten, die schon mit dem Betriebssystem Windows 10 gekauft wurden.

Doch auch wenn der Verschlüsselungsvorgang problemlos durchlaufen wurde, sind Maßnahmen notwendig, um seinen Computer vor automatischen „Reparaturen“ durch Windows 10 zu schützen. Diese führen nicht selten dazu, dass der sogenannte „VeraCrypt-Bootloader“, welcher den Rechner erst nach der Eingabe der korrekten Passphrase startet, beschädigt wird. Der Rechner müsste so entweder aufwendig repariert werden, oder die darauf gespeicherten Daten ganz abgeschrieben werden, da eine Entschlüsselung nicht mehr möglich ist.



Richtige Partitionierung vor der Vollverschlüsselung

14.03.2020

Bevor die Vollverschlüsselung Eures Windows 10-Computers mit VeraCrypt beginnen kann, muss die Partitionierung der Festplatte überprüft werden. Hierzu musst Du die Datenträgerverwaltung öffnen. Dies könnt ihr über verschiedene Wege tun:

  • Über den Explorer ("Windows-Taste" + E), mit einem Rechtsklick auf den Punkt „Dieser PC“ und der Auswahl des Punktes „Verwalten“ im Drop-Down-Menü.
  • Alternativ kann auch über das Ausführen-Feld (Win-Taste + R) der Befehl compmgmt.msc eingegeben werden.

Wichtig ist, dass ihr diesen Befehl mit Admin-Rechten ausführt, sonst könnt ihr die Partitionierung Eurer Systemfestplatte nicht einsehen. Wenn ihr mit einem normalen Nutzerkonto angemeldet seid, könnt ihr auch einfach in das Startmenü compmgmt.msc eingeben und nach einem Rechtsklick auf „Als Administrator ausführen“ die Computerverwaltung als Admin starten.

Anleitung VeraCrypt Vollverschlüsselung unter Windows 10

In der „Computerverwaltung“ wechselt ihr zu dem Punkt „Datenträgerverwaltung“ (unter „Datenspeicher“). Wichtig ist hierbei die Reihenfolge, diese muss von links nach rechts wie folgt aussehen:

  1. Wiederherstellung NTFS, OEM-Partition
  2. EFI-Systempartition
  3. C: NTFS

Anleitung VeraCrypt Vollverschlüsselung unter Windows 10

Wenn die Partitionierung in der gleichen Reihenfolge wie auf unserem Screenshot ist (die Speichergrößen sind natürlich unerheblich und können abweichen), könnt ihr direkt mit der Vollverschlüsslung beginnen und ihr könnt gleich mit dem nächsten Punkt „Vollverschlüsslung des Systemlaufwerks“ weitermachen. Wenn bei Euch jedoch die Partitionierung anders ist, dann müsst ihr diese umstellen. Hierzu sind keine Expertenkenntnisse notwendig. Ihr müsst jedoch zuvor Eure Daten auf einer externen Festplatte sichern. Dann lest weiter bei Partitionen löschen, Windows 10 neu installieren.



Vollverschlüsslung des Systemlaufwerks (Anfänger)

14.03.2020

Zur Vollverschlüsslung benötigt ihr das kostenlose Programm VeraCrypt und einen USB-Stick mit mindestens 10 MB-Speicher, der nach dem System FAT32 formatiert ist. Dies ist eigentlich der Standard. Auf dem Stick darf nichts anderes gespeichert sein!

Bevor ihr mit der Vollverschlüsslung beginnt, empfehlen wir, dass ihr alle Daten die Euch wichtig sind und die sich auf der Systemfestplatte befinden, zur Sicherheit zu kopieren (Backup).

Nach der Installation des Programms VeraCrypt öffnet ihr das Programm und wählt unter System den Punkt „System Partition/Laufwerk verschlüsseln“ aus. Die Sprache könnt ihr unter dem Menüpunkt „Settings“ -> „Language“ auf Deutsch umstellen.

Anleitung VeraCrypt Vollverschlüsselung unter Windows 10

Der Assistent zur Vollverschlüsselung startet. Ihr wählt die Option „Normal“ aus und klickt auf „Weiter“:

Anleitung VeraCrypt Vollverschlüsselung unter Windows 10

Im nächsten Fenster habt ihr nur die Möglichkeit den Punkt „Die Windows System-Partition verschlüsseln“ auszuwählen. Auch deshalb raten wir dazu, nur eine Partition auf der Systemfestplatte zu verwenden. Nach der Auswahl klickt ihr auf „Weiter“.

Anleitung VeraCrypt Vollverschlüsselung unter Windows 10

Wenn Windows 10 euer einziges Betriebssystem auf der Festplatte ist, dann wählt ihr das im nächstem Fenster entsprechend aus und klickt auf weiter.

Anleitung VeraCrypt Vollverschlüsselung unter Windows 10

Als Verschlüsselungsmethode könnt ihr die Voreinstellung lassen oder einen anderen Algorithmus auswählen.

Anleitung VeraCrypt Vollverschlüsselung unter Windows 10

Nun müsst ihr Euer Kennwort eingeben. Beachtet die Hinweise in diesem Feld zur Wahl des Kennwortes. Wir empfehlen ein Kennwort mit mindestens 40 Zeichen - bestehend aus Buchstaben, Zahlen, Sonderzeichen und Groß- und Kleinschreibung. Vor jedem Start des Computers ist dieses Kennwort einzugeben. Aus Erfahrung können wir aber versichern, dass auch sichere Kennwörter in einer derartigen Länge aufgrund der regelmäßig nötigen Eingabe schnell eingeprägt sind.

Über die Funktion „Passwort anzeigen“ seht ihr, wie Euer Kennwort im Klartext aussieht, dies ist wichtig, da sowohl im VeraCrypt Boot-Manager als auch hier bei der Eingabe das englisch-amerikanische Tastaturlayout zugrunde gelegt wird. Die Anzeige weicht also unter Umständen von euren Eingaben ab.

Anleitung VeraCrypt Vollverschlüsselung unter Windows 10

Bei dem nächsten Feld müsst ihr einfach eure Maus solange bewegen, bis der Balken am unteren Ende des Fensters am rechten Ende angelangt ist. Hierbei wird ein Zufallscode generiert, der die Grundlage für Euren Schlüssel ist.

Anleitung VeraCrypt Vollverschlüsselung unter Windows 10

Das nächste Fenster könnt ihr mit „Weiter“ bestätigen:

Anleitung VeraCrypt Vollverschlüsselung unter Windows 10

Nun kommt Euer USB-Stick zum Einsatz. Es muss ein Rettungsdatenträger erstellt werden, mit dem ihr Eure Festplatte bei einem schwerwiegenden Fehler wieder entschlüsseln könnt. Speichert hierzu die Datei „VeraCrypt Rescue Disk.zip“ in Eurem Dokumente-Ordner oder einem anderen Ort mittels einem Klick auf „Weiter“.

Anleitung VeraCrypt Vollverschlüsselung unter Windows 10

Wechselt sodann in das eben erstellte Zip-Archiv und entpackt den darin liegenden Ordner „EFI“ direkt auf euren Stick. Wenn ihr das erledigt habt, wird der so erstellte Rettungsdatenträger nach einem Klick auf „Weiter“ von VeraCrypt überprüft.

Anleitung VeraCrypt Vollverschlüsselung unter Windows 10

So sollte Euer USB-Stick sodann aussehen:

Anleitung VeraCrypt Vollverschlüsselung unter Windows 10

Den Stick müsst ihr gut aufbewahren. Beachtet jedoch, dass dieser möglichen unbefugten Dritten das Entschlüsseln Eurer Festplatte erleichtern kann, daher solltet ihr den Stick gut verstecken. Natürlich könnt ihr den Ordner EFI auch auf einen externen Datenträger verschlüsselt speichern und nur im Bedarfsfall unverschlüsselt auf einen USB-Stick als Rettungsdatenträger kopieren.

Wenn ihr den USB-Stick richtig erstellt habt, so erhaltet ihr folgende Meldung:

Anleitung VeraCrypt Vollverschlüsselung unter Windows 10

Als nächstes werdet ihr nach dem Löschmodus gefragt. Habt ihr den Computer erst neu gekauft und zuvor nichts darauf gespeichert, so könnt ihr Euch das Löschen sparen. Hattet ihr den Computer zuvor unverschlüsselt in Verwendung, so empfehlen wir einen der Löschmodi auszuwählen. Über die Wirksamkeit kann man zwar, gerade bei der Verwendung von SSD-Festplatten streiten, aber abgesehen von dem längeren Zeitbedarf kann dieses Verfahren auch nicht schaden.

Anleitung VeraCrypt Vollverschlüsselung unter Windows 10

Danach wird ein Test durchgeführt. Der Computer wird hierzu neu gestartet und ihr müsst erstmals Euer Kennwort in den VeraCrypt Bootloader eingeben, bevor Windows startet.

Anleitung VeraCrypt Vollverschlüsselung unter Windows 10

Konnte der Test erfolgreich durchgeführt werden, wird nach der erneuten Anmeldung in Windows folgendes Fenster angezeigt:

Anleitung VeraCrypt Vollverschlüsselung unter Windows 10

Nach dem Klick auf „Verschlüsseln“ beginnt der Vorgang, der auch pausiert werden kann. Den Fortlauf und die Restdauer könnt ihr dort ablesen.

Anleitung VeraCrypt Vollverschlüsselung unter Windows 10

Über das erfolgreiche Ende informiert Euch ein kleines Mitteilungs-Feld:

Anleitung VeraCrypt Vollverschlüsselung unter Windows 10



Partitionen löschen, Windows 10 neu installieren (Fortgeschrittene)

14.03.2020

Wenn nach der Partition C: noch eine Partition D: kommt, die auf derselben Festplatte wie Partition C: liegt, sollte diese gelöscht werden (vorher Daten sichern), da die Systemvollverschlüsslung nur in der oben genannten Partitionsreihenfolge in unseren Tests gut funktionierte. Wenn eure Partitionierung von dem Screenshot abweicht, dann empfehlen wir alle Partitionen zu löschen und Windows 10 neu zu installieren.

Dabei gehen die auf Eurem Rechner gespeicherten Daten natürlich verloren. Ihr solltet diese also unbedingt im Vorfeld sichern. Ohnehin ist es zu empfehlen, vor der Vollverschlüsslung ein Backup zu erstellen, wenn ihr wichtige Daten auf der Systemfestplatte gespeichert habt.

Um die Partitionen zu löschen und Windows 10 neu aufzuspielen, müsst ihr Euch einen bootfähigen USB-Stick mit einer Windows 10 Instanz erstellen. Hierbei hilft Euch das sogenannte „Media-Creation-Tool“ von Microsoft. Wir empfehlen zudem, vorher die Partitionen über das Programm GParted zu löschen.

Anleitungen für die Erstellung eines bootfähigen USB-Sticks für das Media Creation Tool von Microsoft findet ihr unter anderem hier: https://www.microsoft.com/de-de/software-download/windows10 oder bei Heise unter https://www.heise.de/newsticker/meldung/Windows-10-Installations-Stick-erstellen-4129071.html

Zwar könnt ihr am Anfang der Installation von Windows 10 auch die vorhandenen Partitionen löschen, aber wir haben hierbei auch schon beobachtet, dass dies oftmals nicht funktioniert. Daher empfehlen wir, alle Partitionen mit dem Programm GParted zu löschen. GParted könnt ihr hier herunterladen: https://gparted.org/download.php eine Anleitung zum Erstellen eines bootfähigen GParted-USB-Sticks findet ihr unter anderem hier: https://gparted.org/liveusb.php. In dem Partitionsmanager der automatisch startet, löscht ihr einfach alle vorhandenen Partitionen und erstellt eine neue, die den gesamten verfügbaren Speicherplatz belegt und klickt auf „Apply“.

Bei einigen Notebooks haben wir auch festgestellt, dass bei der oben gezeigten Partitionierung ...

  1. Wiederherstellung NTFS, OEM-Partition
  2. EFI-Systempartition
  3. C: NTFS

... weiter Probleme auftraten. Diese äußerten sich darin, dass der Testdurchlauf der VeraCrypt-Verschlüsselung nicht startete und stattdessen vier verschiedene Fehlermeldungen ausgegeben wurden.

Anleitung VeraCrypt Vollverschlüsselung unter Windows 10

Dieser Fehler konnte in unserem Fall nur behoben werden, indem über Gparted wieder alle Partitionen gelöscht und Windows 10 über das Media Creation Tool neu installiert wurde.

Anleitung VeraCrypt Vollverschlüsselung unter Windows 10

Mit dieser Partitionierung klappte die Verschlüsselung nicht. Probleme verursachte hier die Partition sda3 welche vor der EFI-System-Partition liegt. Die Partitionierung bei der Windows 10 Installation zeigte diese Partition nicht an und konnte sie demnach auch nicht entfernen.  Über Gpartet wurde die Patition sda3 gelöscht und eine Windows 10 Neuinstallation, mit Neupartitionierung, löste schließlich die Problematik.

Danach klappte die Vollverschlüsslung problemlos. Das Partitionsbild sah dann folgendermaßen aus:

Anleitung VeraCrypt Vollverschlüsselung unter Windows 10

Eine EFI-Partition ist nicht mehr vorhanden. Da die Partition sda2 schon mit VeraCrypt verschlüsselt ist, wird das Dateisystem in Gparted nicht angezeigt. Trotz des Fehlens der EFI-Partition klappte das booten des Rechners über den bekannten VeraCrypt-Bootloader problemlos. Auch das Einspielen von Creators Fall Updates verursachte keine Probleme.

Anleitungen zu GParted gibt es zur Genüge in Text- und Videoform (zum Beispiel hier: https://www.giga.de/downloads/gparted-live/tipps/gparted-anleitung-so-partitionierst-du-deine-festplatte/ ). (sollten die Links nicht mehr funktionieren einfach „Googeln“)

Nach der Neuinstallation von Windows 10 sollte die Partitionierung wie auf unserem obigen Screenshots aussehen, somit ist Eure Systemfestplatte für die Vollverschlüsselung bereit.



Passwortschutz für UEFI nach Vollverschlüsselung

14.03.2020

Nach der erfolgreichen Verschlüsslung müsst ihr noch unbedingt Eure UEFI mittels eines Passwortes schützen. Dies soll die automatische „Reparatur“ im Rahmen von Windows-Updates verhindern, welche dazu führt, dass Euer Rechner unbrauchbar wird. Gerade bei den in der Regel halbjährlich erscheinenden sogenannten „Creator Falls Updates“ besteht diese Gefahr. Das Entwicklerteam von VeraCrypt hat hier zwar mit einem Softwareupdate auf die Version 1.24-Update2 im Dezember 2019 nachgebessert, wir empfehlen trotzdem die folgenden Anpassungen im UEFI vorzunehmen.

Hierzu müsst ihr nach der Verschlüsselung in Euer UEFI/BIOS wechseln. Dies ist je nach Modell über das Drücken der Taste F2, F8, F12 oder „Entf“ direkt nach dem Anschalten möglich. Die UEFI-Oberflächen sehen bei jedem Rechner, je nach Hersteller, anders aus. Ihr müsst ein Administrator-Passwort setzen und die Option „Secure Boot“ aktivieren. Bei dem Screenshot handelt es sich um einen Dell-Laptop. Unter „Secure Boot“ ist die Option „Enable“ zu wählen. Unter Umständen muss zuvor unter „Advances Boot Options“ (weiter oben) der Boot-Modus auf UEFI umgestellt werden.

Anleitung VeraCrypt Vollverschlüsselung unter Windows 10

Ein Admin-Passwort könnt ihr unter „Security“ -> „Admin Password“ setzen. Dieses muss kein langes, unbedingt sicheres Passwort sein, es geht hier nur darum, dass eines gesetzt wurde. Dieses Passwort benötigt ihr unter Umständen wieder, wenn ihr Reparaturen am System durchführen wollt.

Anleitung VeraCrypt Vollverschlüsselung unter Windows 10

Zudem müsst ihr unter dem Punkt „Admin Setup Lockout“ ein Häkchen bei „Enable Admin Setup Lockout“ setzen. Dies ist Dell-spezifisch. Bei anderen Herstellern muss dagegen noch ein „User-Password“ festgelegt werden.

Anleitung VeraCrypt Vollverschlüsselung unter Windows 10

Habt ihr die Einstellungen vorgenommen, klickt auf „Exit“ und speichert Eure Anpassungen.

Die Einstellungen im UEFI/BIOS müsst ihr mit größter Sorgfalt vornehmen. Wenn ihr Euch in dieser Sektion nicht auskennt oder überfordert seid, dann fragt lieber einen Freund oder Bekannten, der hier das nötige Know-How mitbringt. Auch ratsam ist es, alle Einstellungen die man vornimmt auf ein Blatt Papier zu schreiben, so kann man diese wieder rückgängig machen, wenn der PC unmittelbar danach nicht funktioniert.



Generelles zu VeraCrypt und Windows 10

14.03.2020

Auch nach den zusätzlichen Einstellungen solltet ihr vor den großen „Creator Falls Updates“ von Windows 10 ein Backup eurer Festplatte anfertigen, bzw. Eure Daten sichern. Vereinzelt wird sogar empfohlen, die Festplatte zuvor zu entschlüsseln, das Update durchzuführen und die Platte danach wieder zu verschlüsseln. Dies ist ebenfalls ein gangbarer, jedoch auch aufwendiger Weg. Ein ordentliches Backup Eurer Arbeitsdaten ist demnach trotzdem notwendig. Als gangbarer Weg hat es sich jedoch erwiesen, die wichtigen Daten auf einem externen Datenträger zu speichern. Dieser muss natürlich ebenfalls mit VeraCrypt verschlüsselt werden.

Sicherheit geht immer einher mit gewissen Komforteinbußen. Wenn ihr jedoch wollt, dass Eure Daten keinen unbefugten Dritten offenbart werden, ist es notwendig, diese Einbußen in Kauf zu nehmen. Im Falle der Festplattenvollverschlüsslung mit VeraCrypt halten sich diese – nach der ordnungsgemäßen Konfiguration jedoch auch unter Windows 10 in Grenzen.

Anleitung für VeraCrypt Verschlüsselung unter Windows 10




  • Ich habe eine externe Festplatte mit VeraCrypt verschlüsselt da sind virtuelle Maschinen drauf mit Windows 10 und perfect-privacy als VPN

    Linux gibt es keinen anständigen Client für VPN “DNS leak”

    Sebastian 14.03.2020
    • Wenn ich es richtig gelesen habe, bietet ProtonVPN auf basis von OpenVPN, den DNS Leak Modus unter Linux an: https://protonvpn.com/support/linux-vpn-setup/
      Unter Windose ist er mit nur einem Mausklick zu aktivieren (leider).

      T. 13.04.2020
  • Danke für den Beitrag. Werde ich mal an meinem Rechner testen.

    Gruß von einem Riesen lll Weg Fan aus Gera

    Jörg G.

    Jörg Glaubitz 14.03.2020
  • Alternative: ein freies Betriebssystem wie Linux oder BSD. Da gibt es mehrere gute Methoden zur Auswahl. Zu empfehlen ist auch Sparsamkeit, denn wo nichts ist, braucht auch nichts verschlüsselt zu werden. Es gibt brauchbare Betriebssystemzusammenstellungen, die nur im flüchtigen Arbeitsspeicher laufen und mit dem Ausschalten alles vergessen.

    Roger 14.03.2020
    • Genau! Als Einstieg ist immer der Klassiker Ubuntu oder Mint zu empfehlen. Tails auf einem Stick für kritische Sachen 😉

      T. 13.04.2020
      • Ja, Mint ist sehr fein und für Windows-Umsteiger auch einfach zu handeln. Ich bin selber jedoch beim Haupt-Rechner noch nicht von Windows weggekommen, zuviele Programme laufen einfach nur dort, gerade wichtige Sachen wie Photoshop und Lightroom sind unter den anderen Systemen wenn überhaupt nur mit viel Bastelei zu betreiben.

        Andy 25.04.2020
×

Schneller und einfacher Kontakt über WhatsApp - Einfach auf den unteren Button klicken!

 

Kontakt über Threema unter der ID:
ZYSHY9EH

×
Jetzt beim Rundbrief vom III. Weg anmelden

Hast Du Dich schon eingetragen?

✔️Anonym ✔️Kostenlos ✔️Exklusiv