Schlagwort-Archive: Veracrypt

Ich beim täglichen Bad in meinem Datenschatz

Zeit meines Lebens habe ich als selbsternannter Datenmessie beinahe schon leidenschaftlich Datenhamsterei betrieben, aber gleichzeitig nie ausreichend viele Gedanken an Backups verschwendet. Wenn man das weiß, erkennt man, dass ich in der großen Datenverlust-Lotterie unverschämt viel Glück gehabt habe. Schlimmer noch, die sogenannten Single Points of Failure sind mit den Jahren immer größer geworden, angesichts immer umfassenderer Datengräber, besonders in den letzten paar Jahren. Von meinen ersten 3,5 Zoll 720 Kbyte DD-Disketten in den 80er Jahren, über 700 MB CDRs in den 90ern, den 4,7 GB DVDRs in den 00er Jahren, bis zu den heutigen 16 TB HDDs, habe ich alle verfügbaren Datenträger immer sehr gerne mit meiner Sammlung vollgeschrieben. Sammlung deshalb, weil ich in weiser Voraussicht und in schöner Regelmäßigkeit die Inhalte auf den schwächelnden, alternden Datenträgern der vergangenen Generationen auf neuere übertragen habe, und die Datenmenge so kontinuierlich anstieg, die ich als meinen ganz eigenen Schatz betrachtet habe. Zuletzt lag der gesamte Krempel von unzähligen Disketten, einer vierstelligen Anzahl von CDs, einer dreistelligen Anzahl von DVDs, und einem ganzen Stapel älterer Festplatten auf nur noch drei zentralen Datenträgern. Also Daten aus über 30 Jahren Computernutzung – und für diese hatte ich keine (echten) Backups.

Selbstverständlich wusste ich als computeraffiner Mensch schon immer um die große Bedeutung von Backups. Früh brachte mein Vater mir bei, dass man von wichtigen Original-Disketten erst einmal (mindestens) eine Sicherheitskopie macht, und dann ausschließlich diese verwendet. Beim Verstehen half mir auch die Tatsache, dass Disketten oftmals relativ schnell die Grätsche machten. Datenverlust erlebte ich daher häufig, aber es war eben immer nur eine einzelne Diskette betroffen und nicht etwa ein gigantisches Archiv, das Jahrzehnte umfasste. Im Jahr 1995 unternahmen wir gemeinsam eine große Archivierungsaktion, bei der wir hunderte unserer Atari ST-Disketten in tagelanger Kleinarbeit auf DAT-Bändern sicherten. Die Aktion war ein voller Erfolg, die Backups benötigten wir jedoch nie. Bald darauf dominierte der PC unseren Alltag und der Siegeszug der optischen Datenträger begann. Selbstgebrannte CDs, selbstgebrannte DVDs, randvolle Festplatten, bald lag das Zeug kreuz und quer im Kinderzimmer herum. Die ISDN-Flatrate und die darauf folgende heimische DSL-Leitung machten es leicht, immer verrücktere, noch unnötigere Dinge herunterzuladen und “wegzubrennen”. Mit Hilfe von Tools wie GetRight, Go!Zilla oder FlashGet musste ich mir nicht einmal Mühe geben. Nur wenige Mausklicks und komplette Seitenarchive fanden auf mysteriöse Weise den Weg auf meine Festplatte – der Download lief dann über Nacht. Ob ich diese Dateien jemals anschauen würde? Wahrscheinlich nicht, aber das war zweitrangig.

Disketten wurden auf CDs übertragen, CDs auf DVDs, DVDs auf kleine Festplatten, und kleinere Festplatten auf immer größere Festplatten. Und heute sitze ich auf einem schätzungsweise 12 TB großen Berg an Daten, wie Dagobert in seinem Geldspeicher. Der Ausfall nur einer einzelnen meiner drei zentralen HDDs würde den Verlust von mindestens 15 Jahren an gesammelten Daten bedeuten. Für mich ein Katastrophenszenario, um das ich mich wirklich kümmern musste. Im Jahr 2012, als ich endlich die nötigen finanziellen Mittel besaß, besorgte ich mir einen 15 TB Netzwerkspeicher. Mit Hilfe von Robocopy und einem Batchskript synchronisierte ich sporadisch eine Auswahl der wichtigsten Ordner auf das verschlüsselte Netzwerkverzeichnis. Dies funktionierte gut, doch der Katastrophenfall trat auch in den folgenden Jahren nie ein, weshalb ich zu selbstsicher und faul wurde und meine Bemühungen reduzierte. Endlich im Jahr 2018 konnte ich mich dazu überwinden, alle meine Festplatten vollständig mit VeraCrypt zu verschlüsseln. Nun wurden Backups jedoch sogar noch viel wichtiger, denn wenn die Live-Entschlüsselung mit VeraCrypt plötzlich nicht mehr funktionierte, wäre das gleichbedeutend mit einem Festplattenausfall.

Doch die Technik gab mir erstaunlicherweise keinen Grund zur Sorge. Nach vier Jahren täglichen Gebrauchs arbeitet die Verschlüsselung immer noch einwandfrei. Im Jahr 2020 sattelte ich auf Linux um, und so lösten “rsync” und “Grsync” das bewährte Robocopy ab, und Ext4 löste NTFS ab. Erneut überraschte mich die ausgereifte Technik positiv, denn rsync konnte mühelos die mit Robocopy erstellten Backups aufgreifen und erneuern. Seit dem Sommer 2022 habe ich radikal damit begonnen, eine vernünftige Ordnung in meinem Archiv zu etablieren, habe dazu alte Strukturen aufgebrochen. Dies schuf erneut ungewohnte Herausforderungen, denn trotz meiner schlimmen Unordnung in meinem Dateisystem wusste ich bisher von den meisten Dingen nach all den Jahren wo sie lagen. Nun habe ich zwar Ordnung ins Chaos gebracht, doch muss ich paradoxerweise vieles nun tatsächlich erst suchen. Mit Hilfe von Grsync habe ich mir außerdem Jobs erstellt, die zwei komplette Festplatten auf das NAS spiegeln. Erstmals in meinem Leben bin ich nun in der Situation, dass meine wichtigsten Datengräber vollständig ausfallen könnten, ohne dass ich spürbaren Datenverlust befürchten müsste.

Nicht nur, dass auf meinem NAS vollständige Kopien der Festplatten vorliegen, auch bieten die Paritätsinformationen des RAIDs eine weitere Stufe der Redundanz, denn selbst wenn im NAS eine der Festplatten ausfällt, können die Daten noch verlustfrei wiederhergestellt werden. Und hier hört die Geschichte noch nicht auf: Mir wurde klar, dass meine Wohnung der letzte verbliebene Single Point of Failure darstellte. Ein Wohnungsbrand, Diebstahl oder ähnliches könnte weiterhin alle meine Daten auf einen Schlag vernichten. Die Lösung hierfür ist ein sogenanntes Off-Site-Backup, also eine weitere Kopie an einem weiter entfernten Ort. Und so sicherte ich den vollständigen Inhalt des Netzwerkspeichers auf einer verschlüsselten externen Festplatte und gab sie in vertrauenswürdige Hände zwecks Lagerung für den Katastrophentag X, der hoffentlich nie kommen möge.

Endlich habe ich ausreichende Ausfallsicherheit um mich wirklich sicher zu fühlen. Wenn morgen eine Festplatte quietscht und klackert und nur noch Fehlermeldungen ausspuckt, dann muss mich das nicht mehr beunruhigen: Alles ist noch da. Und ich bin dankbar, dass ich von Ausfällen verschont geblieben bin, als meine Infrastruktur noch ziemlich fahrlässigen “Mut zur Lücke” bewies. Es hätte nämlich auch ganz anders ausgehen können. Da das Thema Backups nun für mich geklärt wäre, kann ich den nächsten offenen Punkt angehen: Das Datenarchiv systematisch durchsuchen, aufräumen und objektiv nutzlosen Müll löschen. Aber Löschen bzw. Wegwerfen ist bekanntlich etwas, das jeden Messie an seine absoluten Schmerzgrenzen bringt.

Ein kleiner Schritt für einen Nerd, ein weiterer Meilenstein auf meinem Pfad in die eigene Datensouveränität: Alle meine Festplatten sind heute vollständig verschlüsselt. Ja, irgendwann habe ich es einfach gewagt, Veracrypt installiert und damit begonnen, einen Datenträger nach dem anderen zu verschlüsseln. Zunächst vorsichtshalber nur bei Festplatten, die komplett redundant gesichert sind, um es anzutesten. Nach den ersten Monaten ohne Schwierigkeiten dann schließlich durchgängig bei allen anderen Festplatten. Ich habe bei dem Thema zuvor lange mit mir gerungen, und den Grund dafür werde ich in den folgenden Absätzen gerne kurz anreißen, denn es sind Dinge, die man hierzu unbedingt wissen sollte.

Schon damals im Studium im Jahr 2007 habe ich mit dem Veracrypt-„Vorgänger“ Truecrypt ein wenig experimentiert. So erstellte ich mehrere verschlüsselte Datencontainer auf meiner Festplatte, mit einem sicheren Passwort versehen, und kopierte einige Dateien hinein. Die Container konnten schon damals relativ einfach immer bei Bedarf wie ein eigenes Laufwerk unter Windows gemountet werden, was mir grundsätzlich sehr gefiel. Erstellt habe ich sie in Größen von 1 bis 2 GB und mit allerlei Dateien gefüttert, hauptsächlich Spiele und anderen Kram, den ich ohnehin auslagern wollte. Nichts Wichtiges zum Glück. Das hat eine Weile nämlich ganz gut funktioniert. Bis der größte der Container ganz plötzlich von heute auf morgen das Passwort nicht mehr akzeptiert hat. Eine Internetsuche zu dem Problem brachte mich auf die Idee, das Headerbackup, das man zuvor angelegt hatte, wieder auf den Container einzuspielen. Das Einspielen gelang, aber das Passwort nahm Truecrypt im Anschluss trotzdem nicht an. Eine längere Internetsuche brachte keine weitere rettende Idee. Die Dateien waren natürlich alle noch da, aber ich kam nicht mehr dran, und so verabschiedete ich mich bald davon. Das Experiment war gescheitert. Heute, 12 lange Jahre später, kann ich auch nicht mehr mit hundertprozentiger Gewissheit sagen, ob ich mich vielleicht mit dem Passwort vertan hatte, oder ob der Container doch irgendwie beschädigt wurde. Aus Erfahrung weiß ich beispielsweise, dass Scandisk/Checkdisk von Windows bei mir auch gerne mal große Dateien kaputtrepariert hat. Wäre also nicht so abwegig gewesen.

Ich lernte damals, von Truecrypt doch besser Abstand zu nehmen, denn man kann sich leicht daran die Finger verbrennen. Auch heute, wenn man in Internetforen nach Problemen mit Truecrypt/Veracrypt sucht, wird man überhäuft von Meldungen über plötzlichen Datenverlust durch Fehlfunktionen und verschlüsselte Container, die sich nicht mehr öffnen lassen bzw. das Passwort einfach nicht mehr akzeptieren. Viele verzweifelte oder verärgerte Hilferufe von Nutzern, die kein Backup haben und jemanden suchen, der ihre Daten retten kann – zur Not sogar gegen viel Geld. Offenbar ist dieses Thema selbst heute noch mit großer Vorsicht zu genießen, denn wird der Container durch einen Schreibfehler beschädigt, kann es im ungünstigsten Fall passieren, dass die Gesamtheit der Dateien sich in Sekundenschnelle in unlesbaren Datenmüll verwandelt. Bei einer unverschlüsselten Festplatte hätte man hier zumindest noch die Chance, alle unbeschädigten Daten zu extrahieren. Eine Festplattenverschlüsselung bietet ein ausgezeichnetes Maß an Schutz der Daten vor fremdem Zugriff, aber macht die Datenrettung bei einem Festplattendefekt leider gleichzeitig extrem schwer, wenn nicht sogar unmöglich. Ein großer Vorteil also, der im Katastrophenfall zu einem großen Nachteil werden kann.

Festplattenverschlüsselung taugt also gar nicht für den Alltag? Viel zu unsicher? Ganz im Gegenteil! Jeder, der mit dem Gedanken spielt, seine Dateien zu verschlüsseln, sollte sich natürlich darüber im Klaren sein, dass es unverzichtbare und verzichtbare Daten gibt. Unverzichtbares wird bei mir redundant an zwei Orten gleichzeitig gelagert und verschlüsselt. Fällt ein Datenmedium aus, habe ich immer ein Backup. Wer es sich leisten kann, setzt sogar auf mehrfache Redundanz, im Idealfall räumlich getrennt. Verzichtbares kann ich logischerweise auch ohne Backup verschlüsseln. Fällt dieses Datenmedium aus, ist der Tag womöglich ruiniert, aber ich breche nicht gleich in Tränen aus. Pech gehabt, das Leben geht weiter. So handhabe ich das im Moment. Alles wird verschlüsselt, aber nur das Wichtigste wird als Backup vorgehalten. Ein bisschen Risiko ist immer im Spiel.

Wie sieht meine bisherige Erfahrung nach mehreren Monaten mit Festplattenverschlüsselung aus? Derzeit habe ich 16 vollständig verschlüsselte Festplatten im Einsatz. Davon 5 im NAS, 2 intern, und 9 extern. Das entspricht insgesamt 105 Brutto-Terabyte (rein nach Herstellerangaben). Bislang sind keine Ausfälle oder Fehler zu beklagen. Selbst das mehrfache harte „Ausstöpseln“ von USB-Datenträgern durch ein Versagen der Stromversorgung hat Veracrypt gut überstanden, obwohl es jedes Mal eine Warnmeldung ausgegeben hat. Eine Schrecksekunde gab es, als die größte Festplatte sich irgendwann nicht mehr mounten ließ. Traumatisierende Flashbacks an den großen Datenverlust von 2007 geisterten mir sofort im Kopf herum. Nach einem Neustart und einem doch noch erfolgreichen Einhängen der Platte dämmerte es mir, dass ich wohl versehentlich unter Veracrypt die falsche Partition auf dem richtigen Laufwerk mounten wollte. Es handelte sich offenbar um diese komische unzugängliche Recovery-Partition auf WD-Festplatten, die mir zur Auswahl angezeigt wurde.

Keine Probleme also bei mehr als einem Dutzend verschlüsselter Festplatten. Keine schlechte Leistung. Also alles gut? Nunja, ich rechne noch mit dem ersten Ausfall im Lauf der Zeit. Vermutlich früher als mir lieb ist. Und dann hoffe ich, dass es eine der Festplatten trifft, die von mir regelmäßig gespiegelt werden. Eine gute Datenpflege und -strategie ist dabei natürlich unerlässlich, wenn man mit sovielen Datenträgern hantiert. Veracrypt macht es mir leicht, indem es beim Anschließen einer Festplatte sofort ein Password-Prompt einblendet und unaufgefordert das Einhängen übernimmt. Bis jetzt bin ich wirklich beeindruckt wie gut es funktioniert, und es beruhigt mich sehr. Wenn ich bisher alte Festplatten entsorgen wollte, musste ich zuvor daran denken, alles komplett zu formatieren, oder falls nicht mehr möglich, die Festplatte mechanisch zu zerstören. Der Inhalt einer verschlüsselten Festplatte ist dagegen völlig unbrauchbar für andere Personen, sie enthält quasi nur unverständliches Rauschen. Ich könnte also jede meiner Festplatten einer wildfremden Person in die Hand drücken, und meine Daten wären trotzdem sicher. Viel zu wenige Menschen machen sich Gedanken über den Inhalt ihrer weggeworfenen Festplatten, und was man davon noch problemlos rekonstruieren könnte.

Aus meiner Sicht war es mittlerweile wirklich an der Zeit, künftig ausschließlich mit verschlüsselten Daten zu arbeiten. Festplattenverschlüsselung ist heute absolut kein Hexenwerk mehr, die Möglichkeiten besser als je zuvor, der Aufwand hält sich stark in Grenzen. Ja, man muss beim Booten mehr Passwörter eingeben (oder Keyfiles angeben), aber die Vorteile überwiegen die Nachteile bei weitem. Es ist fahrlässig, seine Daten offen herumliegen zu lassen. Davon wird mindestens jeder ein Lied singen können, dessen Laptop einmal gestohlen wurde, oder der bereits Opfer einer Hausdurchsuchung geworden ist. Besser kein Risiko eingehen. Aber kostet das Lesen und Schreiben auf eine verschlüsselte Festplatte denn nicht viel mehr Performance? Nein, überhaupt nicht, denn AES-Verschlüsselung wird hardwareseitig in Echtzeit unterstützt. Es macht keinen Unterschied. Und mit Veracrypt bekommt man eine leistungsfähige, sichere und offene Softwarelösung, die zudem auch nichts kostet.

Ich kann also jetzt endlich guten Gewissens einen weiteren Punkt auf meiner Datenschutz-Checkliste streichen und werde mich hoffentlich im kommenden Jahr schon um den nächsten kümmern.