Mit Software wie TrueCrypt verschlüsseln und verstecken Sie Daten, Bilder und mehr

Was ich nicht weiß, macht mich nicht heiß. Das gilt auch am PC, wenn mehrere Anwender am selben Windows arbeiten. Verschlüsselte Dateien sind angreifbar, aber nur dann, wenn man sie sieht. Dateien zu verstecken, erhöht das Sicherheitsniveau. Zuvor sollten Sie die Daten dennoch verschlüsseln, denn Spione spüren letztendlich auch versteckte Daten auf.

Windows-Bordmittel

Für mehrere Anwender am gleichen PC gibt es in Windows das Konzept der verschiedenen Anmeldekonten, so dass jeder mit seinem eigenen Profil, seinen Einstellungen und Dokumenten arbeitet. Allerdings können Benutzer mit Administratorrechten problemlos auf die Daten anderer Anwender zugreifen. Wenn Sie Dateien auf externen Datenträgern oder außerhalb des geschützten Bereiches Ihres Benutzerprofils speichern, kann diese ohnehin jeder öffnen. Ein wichtiger Schutz besteht zuerst darin, dass jeder Anwender sich mit seinem eigenen Benutzerkonto anmeldet und nur ein Anwender Administratorrechte erhält. Ein erster Trick, eine Datei zu verstecken, ist, ihr einen unverdächtigen Namen zu geben. Ändern Sie noch die Dateiendung ab, ist auch das Icon verschleiert.

Berechtigungen für Dateien

In Windows können Sie Dateien und Verzeichnisse zudem unsichtbar machen, indem Sie die Eigenschaften des Objektes aufrufen und auf der Registerkarte Allgemein die Option Versteckt auswählen. Anschließend blendet Windows das Objekt aus. Allerdings können andere Anwender in den Optionen aktivieren, dass Windows versteckte Dateien dennoch anzeigen soll. Zuverlässiger ist aber die Verwaltung der Berechtigungen in Windows. Sie können in den Eigenschaften von Dateien und Verzeichnissen Berechtigungen so setzen, dass nur ein bestimmter Anwender auf die Objekte zugreifen kann. Das geht aber nur, wenn Sie am PC auch mit verschiedenen Benutzernamen arbeiten. Dazu rufen Sie die Eigenschaften des Verzeichnisses auf und wechseln auf die Registerkarte Sicherheit. Hier können Sie die Einträge bearbeiten und festlegen, welcher Benutzer welche Rechte auf das Verzeichnis oder die Datei hat. Ein nicht autorisierter Anwender kann ein solches Verzeichnis nicht öffnen, die darin liegenden Dateien sind nicht sichtbar. Diesen Schutz können Sie auch außerhalb des Benutzerprofils und auf externen Datenträgern einstellen, allerdings nur, wenn diese mit NTFS formatiert wurden.

Alternative Datenströme

Eine weitere Eigenschaft von NTFS sind Alternate Data Streams (ADS). In ADS legt NTFS erweiterte Dateiinformationen ab, beispielsweise Metadaten und Sicherheitseinstellungen. Diese ADS sind unsichtbar und jeder Anwender kann darin beliebige Daten, auch ganze Dateien, verstecken. Sie sind im Explorer nicht sichtbar. AD-Ströme lassen sich mit DOS-Befehlen steuern. Einfacher ist das ADS Tool 1.5, das eine grafische Oberfläche bietet. Wählen Sie die Trägerdatei und die, die Sie verstecken wollen. Anschließend löschen Sie das Original. ADS sind auch ein Einfallstor für Viren. Es gibt ein einfaches Tool, um alle ADS aus Dateien zu löschen - und es kommt von Microsoft selbst: Streams. Der Befehl streams -d <Dateiname> löscht eventuell vorhandene Streams und schaltet Schädlinge aus, die Option -s durchsucht auch eventuell vorhandene Unterverzeichnisse.

Verstecken mit Steganographie

Der Klassiker im Verstecken heißt Steganographie. Dabei versteckt man Dateien in einer anderen Datei, am besten in einer Mediendatei, also einem Bild oder Musikstück. Der Grund: Medien haben einen hohen Anteil an "Rauschen", in dem man Daten implementieren kann, ohne dass es auffällt. Zum Beispiel lassen sich einfach gesagt Grauwerte mit einem Algorithmus leicht abändern. Tools wie Stegano.Net oder OpenPuff können schnell und einfach Daten in Bildern verstecken. Wollen Sie mit letzterem ein Bild verstecken, so klicken Sie auf Hide. Nun können Sie bis zu drei Passwörter angeben. Anschließend wählen Sie mit der Taste Add die Trägerdatei aus, also das Bild, in dem Sie die Daten verstecken wollen. Je größer diese Datei ist, desto mehr können Sie darin platzieren. Das Programm zeigt nun in der Spalte Bytes an, wie viel Sie im Bild unterkriegen. Sie können die Menge vergrößern, indem Sie auf der rechten Seite des Fensters bei der entsprechenden Dateiendung den Haken bei der Option Maximum setzen. Verstecken Sie zu viele Daten in der Trägerdatei, sieht man dem Bild an, dass etwas stört (z.B. Fehlpixel oder -farben).

Danach wählen Sie über die Schaltfläche Browse im Bereich Target die Datei aus, die Sie verstecken wollen. Mit Add Decoy! verstecken Sie eine weitere Datei in der Trägerdatei. Diese wird aber offensichtlicher platziert, sodass Analyse-Tools nur diese "Lockvogeldatei" finden. Mit Hide Data! schließen Sie den Vorgang ab. Mit Unhide öffnen Sie das Versteck wieder. Forensiker können immer erkennen, ob eine Mediendatei versteckte Daten enthält, denn zum Beispiel verläuft die Verschiebung der Farbtöne in einem steganographierten Bild nach einem Muster. Das ist zwar für das Auge nicht sichtbar (es sei denn man hat zuviel versteckt), aber für ein Computerprogramm errechenbar. Der Schutz ist also begrenzt und Sie sollten die Daten zusätzlich zuvor verschlüsseln.

Verschlüsselt versteckt

TrueCrypt ist das Standardprogramm zum Verschlüsseln von Dateien. Es legt sichere Laufwerke an, die in verschlüsselten Dateien, so genannten Containern, liegen. Sobald Sie Daten im Windows Explorer in dieses Laufwerk kopieren, werden Sie verschlüsselt. Wenn Sie dann mit TrueCrypt den Container schließen, so verschwindet der Laufwerksbuchstabe und die Dateien sind im Container versteckt. Erstellen Sie einen neuen Container, verwenden Sie keine verräterische Dateiendung wie .tc, sondern einen unauffälligen Namen. TrueCrypt kennt aber noch weitere Verstecke: Sie können auch eine nicht formatierte Partition als Container verwenden. Das ist noch unauffälliger. Außerdem können Sie innerhalb eines Containers einen weiteres Hidden Volume anlegen. Dieses bleibt auch nach der Entschlüsselung des Containers versteckt.

Der Inhalt sieht aus, wie mit Zufallsdaten gefüllt. Selbst wenn Sie dazu gezwungen würden, einen Container zu entschlüsseln, lässt sich der Inhalt des Hidden Volumes nicht auslesen. Um ein Hidden Volume anzulegen, erstellen Sie zuerst ganz normal einen Container. Dann legen Sie einen zweiten an, wählen im Assistenten die Option Hidden TrueCrypt Volume. Danach wählen Sie  Direct Mode aus, da Sie bereits einen TrueCrypt-Container vorliegen haben. Wählen Sie diesen aus. Dann geben Sie das Kennwort für den bereits erstellten Container an. Nun legen Sie das versteckte wie ein Standard-Volumen an. Achten Sie aber darauf, ein anderes Passwort zu vergeben. Das versteckte befindet sich jetzt innerhalb des bereits erstellten Volumes. Wollen Sie es öffnen, wählen Sie in TrueCrypt ganz gewohnt die Container-Datei aus. Nun hängt es vom Passwort ab, welches Volumen Sie mounten: das sichtbare oder das unsichtbare, das drinnen steckt. TrueCrypt erkennt das am Passwort automatisch.

Verstecken in der Cloud

Der einfachste Weg, Dateien auf einem PC zu verstecken, ist es, die Dateien schlichtweg nicht auf dem PC zu speichern. Dazu nutzen Sie zum Beispiel einen kostenlosen Cloud-Dienst wie Google Drive, SkyDrive, iCloud oder Dropbox. Wollen Sie Daten noch sicherer speichern, können Sie die Dateien verschlüsseln. Das erledigt die Software BoxCryptor für Dropbox, Google Drive oder SkyDrive. Die Verwendung ist einfach: Sobald Anwender Daten in das von BoxCryptor verschlüsselte Laufwerk im Windows-Explorer ablegen, kopiert die Software die Daten codiert in den jeweiligen Dienst. Für das Tool gibt es auch eine App für iPhones. Hoch verschlüsselt arbeitet ferner der Cloud-Dienst Wuala.

Fazit

Als Grundschutz eignen sich verschiedene Windows-Benutzerkonten. Eine einfache Form, Daten zu verstecken, ist, sie an ungewöhnlichen Orten in Windows abzulegen oder gleich in die Cloud auszulagern. Bessere Verstecke bieten TrueCrypt oder Tools für die Steganographie. Auch versteckte Daten sollten nie unverschlüsselt sein.