Festplatte - Offic.io

Direkt zum Seiteninhalt
Festplatte

Datenverteilungs- und verschlüsselungsstrategie
Im Kern sollten Sie mit einer verschlüsselten Festplatte arbeiten und eine verschlüsselte Kopie der Festplatte an einem anderen Ort aufbewahren, damit Hochwasser, Diebstahl, Brand usw. Sie nicht aller Daten entledigt, die jemals gespeichert haben. Das regelmäßig Synchronisieren der Kopien sollte nicht vernachlässigt werden.
In der Praxis empfiehlt es sich eine Arbeitsfestplatte und zwei Festplattenkopien zu haben. Eine Arbeitsfestplatte und eine Festplattenkopie haben Sie vor Ort und eine Festplattenkopie an einem anderen sicheren Ort. Wenn Sie die Arbeitsfestplatte mit einer der Festplattenkopien synchronisiert haben, können Sie die synchronisierte Festplattenkopie an den sicheren Ort geben und sich sich die andere Festplatte nach Hause holen. So kann Ihnen höhere Gewalt nicht die Daten vernichten.
Sie können auch die regelmäßig die Daten zwischen einer der Festplattenkopien und der Arbeitsfestplatten synchronisieren und und die Festplattenkopien in größeren Abständen tauschen. Dann erleiden Sie zwar im Falle höherer Gewalt (Diebstahl usw.) Datenverluste. Diese sind jedoch nicht so schlimm, als hätten niemals eine Festplattenkopie an einen anderen Ort hinterlegt.

Synchronisation
Synchronisationen führe ich mit PurSync durch. Es kann aber auch jedes andere Synchronisationsprogramm benutzt werden.
Zu diesem Thema schreibe ich hier in Kürze mehr.

Verschlüsselung
Es gibt mehrere Verschlüsselungsprogramme auf dem Markt. Zu den etablierten und kostenfreien zählen TrueCrypt und VeraCrypt.
True Crypt soll nicht mehr gepflegt werden. Die Letzte sichere und zuverlässige Version soll die Version 7.1a sein. Es gibt Gerüchte, dass TrueCrypt nicht mehr ganz so sicher sein soll. Ob dem so ist, weiß ich nicht. Ich habe noch nicht gehört, dass mit TrueCrypt verschlüsselte Festplatten bei ausreichender Passwortqualität entschlüsselt worden sein soll.
VeraCrypt soll gepflegt werden und soll heutzutage das Mittel der Wahl sein. Es gibt Gerüchte, dass es Ausfälle gab und es einigen Personen nicht mehr gelungen sein soll, die Festplatte zu entschlüsseln. Mir ist das noch nie passiert, wenn es passieren sollte, habe ich immer noch die Festplattenkopien. Wenn es an VeraCrypt als solchen gelegen haben soll, dann kann es immer noch neu installiert werden.
Wie eine Festplatte verschlüsselt wird, dazu in Kürze mehr.

Entschlüsselung
Sie können sich die Mühe machen, ewig und drei Tage die Entschlüssselungscodes für die Festplatte einzugeben oder Sie automatisieren das Ganze. Ich habe mich für das Automatisieren entschieden, indem ich einen USB-Stick in den Rechner stecke und ein Icon zum Entschlüsseln der Datenfestplatte klicke.
Wie funktioniert der Zauber. Unter Windows kann man Scripts schreiben, die dann einige Dinge automatisch ausführen. Der letzte Schrei ist PowerShell. Das hat Windows gleich mit an Bord. Wenn Sie auf der Arbeit sind und Sie sehen schwarze Fenster, die kurz aufploppen und wieder verschwinden  - das ist so etwas.
Nun zur technischen Seite. Wenn Sie einen USB-Stick oder eine Festplatte verschlüsseln, dann versucht Windows dem Speichermedium einen Laufwerksbuchstaben zuzuordnen. Windows kann aufgrund der Verschlüsselung mit dem Speichermedium aber nichts anfangen. Mit anderen Worten: Jedes Mal, wenn Sie einen verschlüsselten USB-Stick oder eine verschlüsselte Festplatte anschließen, macht es Ding-Dong und Windows knallt Ihnen eine Fehlermeldung vor den Kopf.
Zuweisung Laufwerksbuchstabe aufheben
Um das zu vermeiden heben Sie die Zuordnung des Laufwerksbuchstabens auf und um es gleich zu sagen, die nachfolgenden Schritte haben bei meinem Rechner zum automatischen Entschlüsseln der Festplatten geführt. Wenn Sie die nachfolgenden Schritte selbst an Ihrem Rechner ausführen, übernehme ich für das Ergebnis keine Haftung. Sie handeln auf eigene Gefahr.
Öffnen Sie dazu die Computerverwaltung, indem Sie die Windows-Taste drücken und "Compu" schreiben. Das reicht aus, damit Ihnen rechts das Programm "Computerverwaltung" angeboten wird. Klicken Sie auf "Als Administrator ausführen" damit Sie auch alle Rechts haben.



Jetzt klicken Sie auf Datenträgerverwaltung. Da es sich um eine verschlüsselte Festplatte handelt, ist es möglich, dass Windows Amok läuft und Sie zur Datenträgerinitialisierung auffordert werden. Klicken Sie einfach auf "Abbrechen".



Nun müssen Sie sich das Speichermedium herausuchen, welches Sie verschlüsselt haben und welchem Windows noch einen Laufwerksbuchstaben zuordnet. In meinem Beispiel ist es Laufwerk C. Klicken Sie mit Rechtsklick auf das entsprechende Laufwerk, und klicken Sie dann auf "Laufwerksbuchstaben und -pfad ändern ...".



Klicken Sie jetzt auf "Entfernen" und "OK". Jetzt haben Sie den Laufwerksbuchstaben entfern und Sie bekommen zukünftig beim Einstecken der verschlüsselten Festplatte oder des verschlüsselten USB-Sticks keine Fehlermeldung mehr.



Allerdings müssen Sie jetzt, wie oben zu sehen, das Speichermedium mit  der Datenträgernummer und der Partitionsnummer entschlüsslen. Windows hat hier die Eigenart, dass es je nach Lust und Laune den Datenträgern Laufwerksnummern zuordnet, Das heißt, wenn Sie sich zur Automatisierung ein Script schreiben mit der Datenträgernummer 2, dann kann es das nächste Mal die Nummer 3 sein und das Script funktioniert nicht. Um diese Willkür zu umgehen wird in unserem Script die Datenträgernummer über die Seriennummer des Datenträgers abgefragt.

Datenträgernummer ermitteln
Dazu benötigen wir zunächst die Serienummer des Datenträger. Öffnen Sie hierzu PowerShell, indem Sie die Windows-Taste drücken und "Po" schreiben. Das soll genügen, dass Ihnen PowerShell zur Auswahl angeboten wird.



Kopieren Sie folgendes Script in PowerShell hinein:



# Eingabeaufforderung für die PHYSICALDRIVE Nummer
$driveNumber = Read-Host "Geben Sie die PHYSICALDRIVE Nummer ein"

# Festplatteninformationen abrufen
$diskInfo = Get-WmiObject -Class Win32_DiskDrive | Where-Object {$_.DeviceID -eq "\\.\PHYSICALDRIVE$driveNumber"}

# Seriennummer aus den Festplatteninformationen extrahieren
$seriennummer = $diskInfo.SerialNumber

# Seriennummer ausgeben
Write-Host "Seriennummer der Festplatte: $seriennummer"


Ignorieren Sie die eventuelle Warnungen und klicken Sie auf "Trotzdem einfügen".



Jetzt müssen Sie die Nummer der des Datenträgers eingeben und danach "Enter" drücken (im Beispiel 2).


Wenn Sie jetzt ein zweites Mal "Enter" drücken, dann erscheint die Nummer des Datenrägers.



Diese können Sie mit der Maus markieren und mit   Strg + C   in die   Zwischenablage   kopieren.

Scripteinstellungen
PowerShell-Dateien können in unterschiedlichen PowerShell-Varianten abgearbeitet werden. Es gibt einmal "PowerShell" und einmal PowerShell ISE". Wir benötigen PowerShell. Um PowerShell zur Standardanwendung für PS1-Dateien zu machen bzw., um zu überprüfen, ob PowerShell bereits als Standarsprogramm eingestellt ist, drücken Sie die Windows-Taste und i. Es erscheinen die Windowseinstellungen. Schreiben Sie "standard-app" und drücke Sie "Enter".
Jetzt schreiben Sie oben in das Feld "Einen Standard für einene Datentyp oder einen Linktyp festlegen" den Dateityp "ps1" hinein und drücken "Enter".



Jetzt können Sie sehen, ob PowerShell als Standard eingetragen ist. Sollte das nicht so sein, können Sie PowerShell als Standard-App festlegen. Bitte beachten Sie, dass Sie hier Systemveränderungen vornehmen, für die ich keine Haftung übernehmen. Bei mir im privaten Bereich werden hierdurch keine wesentlichen Änderungen vorgenommen, die das System beeinträchtigen.
Danach werden PowerShell-Dateien (PS1-Dateien) standarmäßig abgearbeitet. Sollten Sie PowerShell ISE einstellen, erscheint zunächst eine Bearbeitungsprogramm, welches auf weitere Instruktionen wartet. Das wird mit unserer PowerShell-Variante umgangen, indem das Script sofort abgearbeitet wird. Nun fehlen Ihnen nur noch die Scripte für die beiden PS1-Dateien, die den USB-Stick und unsere Festplatte entschlüsseln.

Script für den USB-Stick
Das nachfolgende Script ist für mit VeraCrypt verschlüsselte Datenträger geschrieben worden. Es werden nur Passwörter und keine Keyfiledateien verwendet.
Sofern die VeraCrypt.exe-Datei bei Ihnen in einem anderen Verzeichnis gespeichert ist, korrigieren Sie das Verzeichnis im nachfolgenden Script entsprechend.
Öffenen Sie den Windows-Editor oder ein anderes Programm wie Notepad++. Erstellen Sie eine neue Datei und kopieren Sie den nachfolgenden Code in die Datei:


# Seriennummer der Festplatte
$serialNumber = "1234567890123456789"

# Festplatte mit der entsprechenden Seriennummer finden
$disk = Get-WmiObject Win32_DiskDrive | Where-Object {$_.SerialNumber -eq $serialNumber}

# Disknummer der Festplatte ermitteln
$diskNumber = $disk.DeviceID.Split(" ")[-1]

# Festplatte ohne zugewiesenen Laufwerksbuchstaben
$diskPath = "\\.\PhysicalDrive$diskNumber"

# Die Nummer aus dem Disk-Pfad extrahieren
$diskNumberOnly = [regex]::Match($diskPath, '\d+$').Value

# USB-Stick entschluesseln
Start-Process -FilePath "C:\Program Files\VeraCrypt\VeraCrypt.exe" -ArgumentList "/v `"\Device\Harddisk$diskNumberOnly\Partition1`" /l A /a /p PASSWORT /q"

# Pause von 20 Sekunden
Start-Sleep -Seconds 20

# Entschlüssln der Hauptfestplatte mittels Aufruf einer PowerShell-Datei auf dem eben entschlüsselten USB-Stick
Invoke-Expression -Command "A:\Festplatteentschluessel.ps1"



Am Anfang tragen Sie die Seriennummer Ihres USB-Sticks ein. Die Seriennummer meines Laufwerkes C wurde am Ende mit einem Punkt "." angegeben. Hier müssen Sie ggf. probieren, ob die Seriennummer im Script mit einem Punkt angegeben werden muss oder nicht. Normalerweise erscheint hier kein Punkt.
Unter Partition tragen Sie die Nummer der Partition ein, die entschlüsselt werden soll. Weist der Datenträger keine Partitionen auf, geben Sie hier 0 an.
Geben Sie hinter l den Laufwerksbuchstaben an, unter dem der Datenträger angezeigt werden soll (im Beispiel A).
Geben Sie das Passwort an. Dieses wird nicht in Anführungszeichen geschrieben.
Geben Sie an, wie lange gewartet werden soll, bevor auf den nunmehr entschlüselten USB-Stick zugegriffen wird und über die dort gespeicherte PS1-Datei die Hauptfestplatte automatisch entschlüsselt wird. Um ein sicheres Funktionieren sicherzustellen, ist die Zeit mit 20 Sekunden eingestellt. Sie können die Zeit geringer einstellen. Bei mir funktioniert es mit 9 Sekunden.
Am Ende des Scripts geben Sie den Dateipfad der PS1-Datei auf dem USB-Stick an, mit der die Hauptfestplatte entschlüssel werden soll.
Zum Schluss speichern Sie die Datei mit der Dateiendung ".ps1" ab.

Script für die Festplatte
Hier gilt das zuvor Geschriebene, reduziert und angewendet auf die Datenfestplatte. Im nachfolgenden Script enthält die Datenfestplatte keine Partitionen und wird unter dem Laufwerksbuchstaben B angezeigt. Die PS1-Datei mit dem Script speichern Sie diesmal auf dem USB-Stick unter dem im vorherigen Script angegebenen Dateipfad (im Beispiel "A:\Festplatteentschluessel.ps1").

# Seriennummer der Festplatte
$serialNumber = "1234567890123456789"

# Festplatte mit der entsprechenden Seriennummer finden
$disk = Get-WmiObject Win32_DiskDrive | Where-Object {$_.SerialNumber -eq $serialNumber}

# Disknummer der Festplatte ermitteln
$diskNumber = $disk.DeviceID.Split(" ")[-1]

# Festplatte ohne zugewiesenen Laufwerksbuchstaben
$diskPath = "\\.\PhysicalDrive$diskNumber"

# Die Nummer aus dem Disk-Pfad extrahieren
$diskNumberOnly = [regex]::Match($diskPath, '\d+$').Value

# Festplatte entschlüsseln
Start-Process -FilePath "C:\Program Files\VeraCrypt\VeraCrypt.exe" -ArgumentList "/v `"\Device\Harddisk$diskNumberOnly\Partition0`" /l B /a /p PASSWORT /q"


Ergebnis
Im Ergebnis liegt bei mir zu Hause eine hochverschlüsselte Festplatte, mit der niemand etwas anfangen kann. Bevor ich den Computer starte, stecke ich einen USB-Stick hinein, der ebenfalls verschlüsselt ist und und die Datei mit dem Script zum Entschlüsseln der Datenfestplatte enthält. Auf dem Rechner liegt das Script zum Entschlüsseln des USB-Sticks. Damit könnte zwar in meiner Abweseneheit der Rechner gehackt und das Passwort für den USB-Stick ausgelesen werden. Das nützt dem Angreifer aber nichts, solange er nicht den USB-Stick hat.
Wenn ich meinen Rechner gestartet und und den USB-Stick eingesteckt habe, klicke ich nur noch das Icon (bei mir mit der Bezeichnung "LW_A"), welches das Script für den USB-Stick aufruft. Nach neun Sekunden startet die Entschlüsselung der Datenfestplatt automatisch und ein paar Sekunden später kann auf die Datenfestplatt zugegriffen werden.



Wenn Sie nun davon ausgehen, dass mit Zahlen, Groß- und Kleinschreibung sowie Sonderzeichen ein Zeichen etwa 83 verschiedene Werte annehmen kann und bei etwas über 50 Zeichen mehr Möglichkeiten existieren als Atome im Universum, dann wünsche ich einem Angreifer viel Spaß. Mit einem völlig chaotischen Passwort auf dem USB Stick sind die Daten sicher und die Festplatte mit Einstecken und Klick im Handumdrehen zugänglich.





Zurück zum Seiteninhalt