Schlagwort-Archive: Festplattenverschlüsselung

Ein kleiner Schritt für einen Nerd, ein weiterer Meilenstein auf meinem Pfad in die eigene Datensouveränität: Alle meine Festplatten sind heute vollständig verschlüsselt. Ja, irgendwann habe ich es einfach gewagt, Veracrypt installiert und damit begonnen, einen Datenträger nach dem anderen zu verschlüsseln. Zunächst vorsichtshalber nur bei Festplatten, die komplett redundant gesichert sind, um es anzutesten. Nach den ersten Monaten ohne Schwierigkeiten dann schließlich durchgängig bei allen anderen Festplatten. Ich habe bei dem Thema zuvor lange mit mir gerungen, und den Grund dafür werde ich in den folgenden Absätzen gerne kurz anreißen, denn es sind Dinge, die man hierzu unbedingt wissen sollte.

Schon damals im Studium im Jahr 2007 habe ich mit dem Veracrypt-„Vorgänger“ Truecrypt ein wenig experimentiert. So erstellte ich mehrere verschlüsselte Datencontainer auf meiner Festplatte, mit einem sicheren Passwort versehen, und kopierte einige Dateien hinein. Die Container konnten schon damals relativ einfach immer bei Bedarf wie ein eigenes Laufwerk unter Windows gemountet werden, was mir grundsätzlich sehr gefiel. Erstellt habe ich sie in Größen von 1 bis 2 GB und mit allerlei Dateien gefüttert, hauptsächlich Spiele und anderen Kram, den ich ohnehin auslagern wollte. Nichts Wichtiges zum Glück. Das hat eine Weile nämlich ganz gut funktioniert. Bis der größte der Container ganz plötzlich von heute auf morgen das Passwort nicht mehr akzeptiert hat. Eine Internetsuche zu dem Problem brachte mich auf die Idee, das Headerbackup, das man zuvor angelegt hatte, wieder auf den Container einzuspielen. Das Einspielen gelang, aber das Passwort nahm Truecrypt im Anschluss trotzdem nicht an. Eine längere Internetsuche brachte keine weitere rettende Idee. Die Dateien waren natürlich alle noch da, aber ich kam nicht mehr dran, und so verabschiedete ich mich bald davon. Das Experiment war gescheitert. Heute, 12 lange Jahre später, kann ich auch nicht mehr mit hundertprozentiger Gewissheit sagen, ob ich mich vielleicht mit dem Passwort vertan hatte, oder ob der Container doch irgendwie beschädigt wurde. Aus Erfahrung weiß ich beispielsweise, dass Scandisk/Checkdisk von Windows bei mir auch gerne mal große Dateien kaputtrepariert hat. Wäre also nicht so abwegig gewesen.

Ich lernte damals, von Truecrypt doch besser Abstand zu nehmen, denn man kann sich leicht daran die Finger verbrennen. Auch heute, wenn man in Internetforen nach Problemen mit Truecrypt/Veracrypt sucht, wird man überhäuft von Meldungen über plötzlichen Datenverlust durch Fehlfunktionen und verschlüsselte Container, die sich nicht mehr öffnen lassen bzw. das Passwort einfach nicht mehr akzeptieren. Viele verzweifelte oder verärgerte Hilferufe von Nutzern, die kein Backup haben und jemanden suchen, der ihre Daten retten kann – zur Not sogar gegen viel Geld. Offenbar ist dieses Thema selbst heute noch mit großer Vorsicht zu genießen, denn wird der Container durch einen Schreibfehler beschädigt, kann es im ungünstigsten Fall passieren, dass die Gesamtheit der Dateien sich in Sekundenschnelle in unlesbaren Datenmüll verwandelt. Bei einer unverschlüsselten Festplatte hätte man hier zumindest noch die Chance, alle unbeschädigten Daten zu extrahieren. Eine Festplattenverschlüsselung bietet ein ausgezeichnetes Maß an Schutz der Daten vor fremdem Zugriff, aber macht die Datenrettung bei einem Festplattendefekt leider gleichzeitig extrem schwer, wenn nicht sogar unmöglich. Ein großer Vorteil also, der im Katastrophenfall zu einem großen Nachteil werden kann.

Festplattenverschlüsselung taugt also gar nicht für den Alltag? Viel zu unsicher? Ganz im Gegenteil! Jeder, der mit dem Gedanken spielt, seine Dateien zu verschlüsseln, sollte sich natürlich darüber im Klaren sein, dass es unverzichtbare und verzichtbare Daten gibt. Unverzichtbares wird bei mir redundant an zwei Orten gleichzeitig gelagert und verschlüsselt. Fällt ein Datenmedium aus, habe ich immer ein Backup. Wer es sich leisten kann, setzt sogar auf mehrfache Redundanz, im Idealfall räumlich getrennt. Verzichtbares kann ich logischerweise auch ohne Backup verschlüsseln. Fällt dieses Datenmedium aus, ist der Tag womöglich ruiniert, aber ich breche nicht gleich in Tränen aus. Pech gehabt, das Leben geht weiter. So handhabe ich das im Moment. Alles wird verschlüsselt, aber nur das Wichtigste wird als Backup vorgehalten. Ein bisschen Risiko ist immer im Spiel.

Wie sieht meine bisherige Erfahrung nach mehreren Monaten mit Festplattenverschlüsselung aus? Derzeit habe ich 16 vollständig verschlüsselte Festplatten im Einsatz. Davon 5 im NAS, 2 intern, und 9 extern. Das entspricht insgesamt 105 Brutto-Terabyte (rein nach Herstellerangaben). Bislang sind keine Ausfälle oder Fehler zu beklagen. Selbst das mehrfache harte „Ausstöpseln“ von USB-Datenträgern durch ein Versagen der Stromversorgung hat Veracrypt gut überstanden, obwohl es jedes Mal eine Warnmeldung ausgegeben hat. Eine Schrecksekunde gab es, als die größte Festplatte sich irgendwann nicht mehr mounten ließ. Traumatisierende Flashbacks an den großen Datenverlust von 2007 geisterten mir sofort im Kopf herum. Nach einem Neustart und einem doch noch erfolgreichen Einhängen der Platte dämmerte es mir, dass ich wohl versehentlich unter Veracrypt die falsche Partition auf dem richtigen Laufwerk mounten wollte. Es handelte sich offenbar um diese komische unzugängliche Recovery-Partition auf WD-Festplatten, die mir zur Auswahl angezeigt wurde.

Keine Probleme also bei mehr als einem Dutzend verschlüsselter Festplatten. Keine schlechte Leistung. Also alles gut? Nunja, ich rechne noch mit dem ersten Ausfall im Lauf der Zeit. Vermutlich früher als mir lieb ist. Und dann hoffe ich, dass es eine der Festplatten trifft, die von mir regelmäßig gespiegelt werden. Eine gute Datenpflege und -strategie ist dabei natürlich unerlässlich, wenn man mit sovielen Datenträgern hantiert. Veracrypt macht es mir leicht, indem es beim Anschließen einer Festplatte sofort ein Password-Prompt einblendet und unaufgefordert das Einhängen übernimmt. Bis jetzt bin ich wirklich beeindruckt wie gut es funktioniert, und es beruhigt mich sehr. Wenn ich bisher alte Festplatten entsorgen wollte, musste ich zuvor daran denken, alles komplett zu formatieren, oder falls nicht mehr möglich, die Festplatte mechanisch zu zerstören. Der Inhalt einer verschlüsselten Festplatte ist dagegen völlig unbrauchbar für andere Personen, sie enthält quasi nur unverständliches Rauschen. Ich könnte also jede meiner Festplatten einer wildfremden Person in die Hand drücken, und meine Daten wären trotzdem sicher. Viel zu wenige Menschen machen sich Gedanken über den Inhalt ihrer weggeworfenen Festplatten, und was man davon noch problemlos rekonstruieren könnte.

Aus meiner Sicht war es mittlerweile wirklich an der Zeit, künftig ausschließlich mit verschlüsselten Daten zu arbeiten. Festplattenverschlüsselung ist heute absolut kein Hexenwerk mehr, die Möglichkeiten besser als je zuvor, der Aufwand hält sich stark in Grenzen. Ja, man muss beim Booten mehr Passwörter eingeben (oder Keyfiles angeben), aber die Vorteile überwiegen die Nachteile bei weitem. Es ist fahrlässig, seine Daten offen herumliegen zu lassen. Davon wird mindestens jeder ein Lied singen können, dessen Laptop einmal gestohlen wurde, oder der bereits Opfer einer Hausdurchsuchung geworden ist. Besser kein Risiko eingehen. Aber kostet das Lesen und Schreiben auf eine verschlüsselte Festplatte denn nicht viel mehr Performance? Nein, überhaupt nicht, denn AES-Verschlüsselung wird hardwareseitig in Echtzeit unterstützt. Es macht keinen Unterschied. Und mit Veracrypt bekommt man eine leistungsfähige, sichere und offene Softwarelösung, die zudem auch nichts kostet.

Ich kann also jetzt endlich guten Gewissens einen weiteren Punkt auf meiner Datenschutz-Checkliste streichen und werde mich hoffentlich im kommenden Jahr schon um den nächsten kümmern.

Die zurückliegende Woche war eine, die mich nachdenklich gemacht hat. Der geschätzte Mit-Atarianer und Blogbesucher Frank hat mit Hilfe unserer spannenden E-Mail-Korrespondenz dafür gesorgt, dass ich mich erneut eindringlich mit Linux beschäftigt habe. Schließlich ließ mich das Thema dann tatsächlich nicht mehr los. Sollte ich wirklich die kommenden fünf Jahre auf dem alternden Windows 7 aussitzen und mich erst dann ratlos nach Alternativen umsehen? Ich entschied mich, den Sprung ins kalte Wasser sofort zu wagen. Keine Test-VMs mehr, keine halben Sachen, einfach installieren und los. Und so kaufte ich spontan eine kleine SSD, warf Windows kurzerhand raus und dafür die DVD für Linux Mint 18.1 ein.

So kann ich nun stolz verkünden, dass ich inzwischen windowsfrei bin. Bis jetzt ist mir der Umstieg relativ leicht gelungen, ein paar Stunden Arbeit waren es zwar schon, aber die meisten neuen Tools habe ich mir jetzt zu Eigen gemacht, den Rest kannte man schon lange aus der Windowswelt. Sogar echte Festplattenverschlüsselung verwende ich jetzt. Ein paar Kleinigkeiten fehlen mir hier, aber im Großen und Ganzen bin ich sehr zufrieden. Ich möchte in diesem Beitrag auf meine positiven und auch negativen Erfahrungen bisher eingehen.

Zunächst muss ich anmerken, dass die Installation für meinen Geschmack doch noch etwas einfacher sein könnte: So musste ich zunächst entscheiden, ob ich „/dev/sdb“ vor der Installation aushängen will, weil das irgendwelche Nachteile haben könnte. Bitte was? Keine Ahnung, was heißt das? Der unbedarfte Anwender kapituliert hier sofort. Und dann diese UEFI-Warnung, weil Linux erkannt haben will, dass zuvor ein Betriebssystem im alten BIOS-Modus installiert wurde. Auch hier: Keine Ahnung, was mache ich denn kaputt, wenn ich mich falsch entscheide? Ratloses Recherchieren im Internet, das mich am Ende nicht weiterbringt. Dann eben doch der Leap of Faith. Kein Anwender würde hier guten Gewissens weitermachen ohne einen Linux-Profi zu fragen. Und das bei Linux Mint. Das muss nicht sein.

Dann die ersten positiven Überraschungen. Mint bringt ein dickes Softwarepaket als Starthilfe mit: u.a. Firefox, Thunderbird, Pidgin, diverse Medienspieler (z.B. VLC-Player) und Codecs, Libreoffice, GIMP, sogar den BitTorrent-Client Transmission. Mint hat ungefähr einhundert Bildschirmschoner. Sound funktioniert auf Anhieb, Internetzugriff funktioniert auf Anhieb. Nicht so toll: Obwohl Linux meine Grafikkarte korrekt erkennt und scheinbar auch einen freien Treiber dafür hat, startet er im lahmen Software-Renderer-Modus. Der Wechsel auf den Nvidia-Treiber gelingt kinderleicht mit wenigen Mausklicks, und sofort gibt es 2D- und 3D-Grafikbeschleunigung. Super!

Dazwischen stürzt mir Linux das erste Mal ab: Direkt nach der Installation des Nvidia-Treibers fährt Linux nicht mehr hoch – die Eingabe des Entschlüsselungskennworts klappt nicht, der Rechner reagiert gar nicht. Nach einem Hard Reset gehts dann aber zum Glück doch wieder. Und dann der erste kleine Härtetest: 1080p-Videos laufen im VLC-Player absolut problemlos und flüssig. Im alternativen „Xplayer“ dagegen stockt die Wiedergabe leicht, ist also eher nicht zu gebrauchen.

Der nächste Test war deutlich witziger: Mint hat meine beiden anderen NTFS-Festplatten auf Anhieb erkannt und als Datenträger eingehängt. Ich klickte mich so durch die Verzeichnisse und fand einige meiner Windows-Spiele. Die EXE-Dateien werden freundlicherweise mit einem Windows-Symbol dargestellt. Ein Rechtsklick offenbart die Option „Mit Wine starten“. Kurzerhand doppelklickte ich Amnesia – The Dark Descent und das Spiel startete zu meiner gigantischen Überraschung sofort. Ich stellte die Auflösung 2560×1440 ein und spielte einige Minuten. Und ja, ich weiß dass es eine Linux-Version von Amnesia gibt, aber sogar die Windows-Version läuft ohne Schwierigkeiten. Es ist erfreulich und befremdlich zugleich, zu sehen, dass ich Windows-Programme unter Linux starten kann, so als wär das was ganz normales. Wine scheint doch deutlich leistungsfähiger zu sein als ich das vermutet hätte. Ein Blick in die AppDB von Wine offenbart, dass tatsächlich nicht wenige (ganz moderne wie auch sehr alte) Windows-Spiele perfekt (oder nahezu perfekt) mit Wine laufen.

Der Vorteil beim Umgang mit NTFS-Festplatten ist auch, dass mir die fehlenden Dateiberechtigungen nie auf die Nerven fallen. Das ist keinem Anfänger zuzumuten, dass er sich immer erstmal mit der Meldung „Keine Berechtigung“ herumschlagen muss, und für jedes gottverdammte Verzeichnis entscheiden soll, wer darauf Lesen und Schreiben darf. Ich kenne Informatiker, die in solchen Fällen irgendwann keinen Bock mehr haben und einfach flächendeckend „777“ einstellen – also quasi alle Rechte für jeden. Und ich kann sie gut verstehen. Wie oft habe ich stundenlang herumgerätselt, wieso ein bestimmtes Programm nicht startet. Und was war es am Ende? Keine Leserechte für ein popeliges Verzeichnis. Das muss nicht sein.

Der Anwender in mir stört sich nach wie vor sehr an dem unnötig kryptischen Linux-Dateisystem (/mnt/ (Maintenance?), /proc/ (Processor?), /srv/ (Server?), /sbin/ (Super Binaries?) ???), da ist Windows mit seinen sprechenden Namen doch noch weiter, so ungern das die Linuxer hören. Ich hab keine Ahnung was /opt/ (Options?) bedeutet und was da reinkommt. Ich hab Eclipse dort entpackt (und vorher die Berechtigungen anpassen müssen, duh!). Wahrscheinlich war das falsch, keine Ahnung. Es ist nicht intuitiv. Nein, absolut nicht. Man kann sich daran gewöhnen und man kann es auswendig lernen, aber intuitiv wird das nie sein.

Die Anwendungsverwaltung ist der nächste Hit: Die Linux-Fans bringen sie gern als das Top-Argument gegen Windows, wo immer erstmal ein Installer heruntergeladen werden muss. Mit der Anwendungsverwaltung entfällt das händische Updaten der vielen Programme auf dem Rechner, denn die kümmert sich automatisch darum. Dumm nur, dass die Anwendungsverwaltung eben nicht alle Programme kennt, und man dann in Einzelfällen doch wieder im Internet nach Installationsdateien suchen darf – wie unter Windows. Außerdem kam mein Linux Mint mit einer älteren Version von Libreoffice daher (5.1.x), und die Anwendungsverwaltung wollte nicht auf 5.2.5 aktualisieren. Und schlimmer: Sie hat mir Version 3.8 von Eclipse installiert – diese ist fünf Jahre alt! Version 4.6 musste ich also doch wieder von Hand installieren. Das ist einfach schlecht gemacht. So wirklich gut kann das mit den automatischen Updates also nicht funktionieren, wenn fünf Jahre alte Programmversionen als „aktuell“ durchgehen.

Die Konsole ist super. Und zwar nicht, weil ich damit so extrem effizient und schnell arbeiten kann, sondern weil ich sie bisher noch nicht gebraucht habe. Es geht nichts über Konsolenbefehle, damit der Profi sein Ziel in Rekordzeit erreichen kann, sofern er alle Befehle und die Parameterreihenfolge auswendig kann. Aber wenn ein Anfänger, der überhaupt keinen Bezug zu Konsolenfenstern hat, plötzlich gezwungen ist, damit zu arbeiten, weil es keinen Mausklickweg zu einer bestimmten Funktion oder Einstellung gibt, dann ist das einfach nur Mist. Im Jahr 2017 muss es zumindest möglich sein, alles irgendwie mit der Maus zu erreichen. Ja, das ist langsamer, aber es liegt Anfängern näher. Profis werden mir jetzt vehement und wüst schimpfend widersprechen. „Linux muss so sein, das ist auch gut so! Wenn’s nach mir ginge, gäbe es gar keine grafische Oberfläche mehr, bla blub…“.

Anstelle von Firefox versuche ich es jetzt einmal mit dem Vivaldi-Browser. Das ist der geistige Nachfolger des alten Opera-Browsers, der noch auf Funktionsvielfalt und nicht auf hirnlosen Minimalismus gesetzt hat. Ich bin bis jetzt äußerst begeistert davon, da er einige Features mitbringt, die ich sonst meist per Addon nachrüsten muss (Mausgesten, Tabgruppen, Tab-Hibernation, Schnellwahl, Tab-Preview etc.). Ich denke, ich bleibe erstmal dabei.

Wie ist mein Fazit bisher? Linux wirklich als Desktop-Betriebssystem? Als Windows-Ersatz, sogar für Linux-Neulinge? Ja, grundsätzlich schon – wenn es denn auf Anhieb funktioniert. Leider ist das nicht immer der Fall. Fehlender Sound, fehlende Grafikbeschleunigung, Linux fährt direkt nach der Installation nicht mehr hoch, Probleme mit Dateiberechtigungen … alles schon erlebt, und schon muss man wieder ins Linux-Forum und darf die doofe Konsole aufmachen. Die Liste potentieller Probleme ist lang. Mit Standard-Hardware hat man es zum Glück leichter. Ein einmal eingerichtetes Linux ist dagegen eine echte Erleichterung und Freude, umgewöhnt hat man sich schnell. Man muss sich zwangsläufig ein paar neue Tools suchen, und auch bei den Spielen muss man natürlich einige Abstriche machen, aber Wine federt das ganze schon deutlich ab. Alles andere funktioniert wie man es kennt: Surfen im Internet, E-Mails abrufen, Musik hören, Filme schauen, ein bisschen Grafikbearbeitung und Softwareentwicklung, das alles ist kein Problem.

Bis jetzt bin ich wirklich zufrieden und auch überrascht davon, wie gut es funktioniert. So kann es meinetwegen bleiben. Ich werde in ein paar Wochen einen weiteren, etwas fundierteren Erfahrungsbericht abliefern. Sicherlich werden mir noch mehr Probleme auffallen, über die es dann zu berichten gilt.