AB 02 — Datei- und Festplattenverschlüsselung
1. Datenträger (Disks)
Abschnitt betitelt „1. Datenträger (Disks)“Ein Datenträger (oder Speichermedium) ist die physische Hardware, die zur Speicherung von Daten verwendet wird.
Beispiele:
HDDs (Hard Disk Drives)
SSDs (Solid State Drives)
NVMe-Laufwerke
USB-Speicher
Eigenschaften:
Datenträger sind physische Geräte.
Sie besitzen eine bestimmte Kapazität (z. B. 512 GB, 2 TB).
Betriebssysteme greifen auf sie auf der untersten Hardware-Ebene zu.
In der Betriebssystem-Terminologie werden sie oft als Blockgeräte bezeichnet.
Beispiele:
Windows: Disk 0, Disk 1
Linux: /dev/sda, /dev/nvme0n1
2. Partitionen
Abschnitt betitelt „2. Partitionen“Eine Partition ist eine logische Unterteilung eines physischen Datenträgers.
Warum es Partitionen gibt:
Um Systemdateien von Benutzerdaten zu trennen
Um mehrere Betriebssysteme zu installieren
Um verschiedene Teile eines Datenträgers mit unterschiedlichen Dateisystemen zu formatieren
Um Fehler zu isolieren oder Sicherheitsgrenzen zu schaffen
Beispiele:
Windows hat üblicherweise Partitionen wie:
EFI-Systempartition
Recovery-Partition
C: – Betriebssystempartition
Linux verwendet typischerweise:
/boot
Swap-Partition
Root-Partition /
Ein physischer Datenträger kann mehrere Partitionen enthalten, die jeweils wie ein separates logisches Gerät funktionieren.
3. Volumes
Abschnitt betitelt „3. Volumes“Ein Volume ist eine Speichereinheit, die das Betriebssystem zum Speichern und Organisieren von Dateien verwenden kann.
Volumes können stammen von:
Einer einzelnen Partition
Mehreren kombinierten Partitionen (z. B. LVM, RAID)
Einer virtuellen Festplatte (VHD/VHDX)
Einem Netzwerkspeicher (NAS/iSCSI)
Ein Volume ist also ein benutzbarer Speicherbereich, der dem OS zur Verfügung gestellt wird – unabhängig davon, wie komplex die zugrunde liegende Struktur ist.
Beispiele:
Windows-Volume: das Laufwerk C:
Linux-Volume: /home in einem LVM-Logical Volume
macOS: Volume-Gruppen über APFS
4. Dateisysteme
Abschnitt betitelt „4. Dateisysteme“Ein Dateisystem definiert, wie Dateien, Ordner, Berechtigungen und Metadaten auf einem Volume gespeichert werden.
Es organisiert:
Dateinamen
Ordnerhierarchien
Berechtigungen
Zeitstempel
Journaling (Schutz vor Datenkorruption)
Speicherzuweisung
Gängige Dateisysteme:
| Betriebssystem | Dateisysteme |
|---|---|
| Windows | NTFS, ReFS, FAT32, exFAT |
| Linux | ext4, XFS, Btrfs, ZFS |
| macOS | APFS, HFS+ |
Jedes Dateisystem hat Stärken (z. B. NTFS-Berechtigungen, ZFS-Snapshots, APFS-Cloning).
Ein Datenträger oder eine Partition muss mit einem Dateisystem formatiert werden, bevor er/sie nutzbar ist.
5. Einhängepunkte (Mount Points)
Abschnitt betitelt „5. Einhängepunkte (Mount Points)“Ein Mountpoint ist der Ort, an dem ein Volume im Dateisystemhierarchiebaum zugänglich gemacht wird.
Windows
Volumes werden als Laufwerksbuchstaben eingehängt:
C:\
D:\
Windows unterstützt auch ordnerbasierte Einbindungspunkte (NTFS Junction Points).
Linux / macOS
Volumes werden in den einheitlichen Verzeichnisbaum eingehängt.
Beispiele:
mount /dev/sda1 /mnt/data
Typische Standard-Mountpunkte:
/ (Root)
/home
/var
/mnt oder /media
Das Einhängen macht das Volume für Nutzer, Anwendungen und das Betriebssystem zugänglich.
6. Encrypting Filesystem (EFS) in Windows
Abschnitt betitelt „6. Encrypting Filesystem (EFS) in Windows“EFS (Encrypting File System) ist eine dateibasierte Verschlüsselung in Windows NTFS-Dateisystemen. Es ermöglicht, einzelne Dateien oder Ordner durch asymmetrische Kryptografie zu schützen.
EFS schützt:
private Dokumente
Konfigurationsdateien
Ordner mit sensiblen Daten
EFS schützt NICHT:
ganze Laufwerke
Systemdateien
Daten auf FAT / exFAT
Dateien auf USB-Sticks (ohne NTFS)
Wie funktioniert EFS?
EFS nutzt eine Kombination aus:
AES (symmetrische Verschlüsselung) → Jede Datei bekommt einen eigenen FEK (File Encryption Key).
Zertifikate + RSA (asymmetrische Verschlüsselung) → Der FEK wird im verschlüsselten Dateikopf abgelegt. → Nur der private Schlüssel des Benutzers kann ihn entschlüsseln.
Ablauf:
Datei wird erstellt.
Windows erzeugt einen zufälligen FEK für die Datei.
Datei wird mit FEK verschlüsselt.
FEK wird mit dem öffentlichen Benutzer-Schlüssel verschlüsselt.
Datei ist nur mit dem privaten Schlüssel des Benutzerkontos lesbar.
Quiz: Encrypting File System (EFS)
Teil A – Multiple Choice
- Welche Voraussetzung ist für EFS zwingend notwendig?
a) FAT32 b) NTFS c) exFAT d) ReFS
- Was verschlüsselt EFS?
a) Komplettes Laufwerk b) Nur Systemdateien c) Einzelne Dateien und Ordner d) BIOS-Konfiguration
- Woraus besteht die EFS-Verschlüsselung intern?
a) Nur AES b) AES + RSA (symmetrisch + asymmetrisch) c) TPM-Chip d) SSL-Zertifikate
- Was passiert, wenn der private Schlüssel verloren geht?
a) Datei bleibt zugänglich b) Datei wird automatisch wieder entschlüsselt c) Datei ist dauerhaft verloren d) Windows stellt den Schlüssel wieder her
- Woran erkennt man eine EFS-verschlüsselte Datei?
a) Sie ist rot markiert b) Sie hat ein Schloss-Symbol oder grüne Schrift c) Sie wird im Explorer ausgeblendet d) Sie wird 2× gespeichert
7. Bitlocker
Abschnitt betitelt „7. Bitlocker“Was ist BitLocker?
BitLocker ist eine integrierte Festplattenverschlüsselungstechnologie von Microsoft Windows (Pro, Enterprise, Education).
Sie schützt Daten auf:
Systemlaufwerken
Schutz bei Geräteverlust oder Diebstahl
Schutz vor unbefugtem Zugriff
Einhaltung von Sicherheitsrichtlinien (z. B. DSGVO)
TPM (Trusted Platform Module)
Ein TPM ist ein Hardwarechip, der Schlüssel sicher speichert.
Vorteile:
Hohe Sicherheit
Automatisches Entsperren während des Bootvorgangs
Schutz vor Manipulation
Windows nutzt TPM, wenn verfügbar.
Authentifizierungsmethoden
TPM only
TPM + PIN
Passwort
USB-Schlüssel
Wiederherstellungsschlüssel
Verschlüsselungsalgorithmen
Typisch: AES-128 oder AES-256, jeweils im XTS-Modus.
BitLocker benötigt bestimmte Partitionen
Ein Windows-System hat normalerweise:
EFI-Systempartition (FAT32)
Microsoft Reserved Partition (MSR)
C: Systemvolume
Recovery Partition
BitLocker verschlüsselt nur das Systemvolume, nicht die EFI- oder Recovery-Partition.
8. Veracrypt
Abschnitt betitelt „8. Veracrypt“Was ist VeraCrypt?
VeraCrypt ist ein Festplatten- und Dateiverschlüsselungsprogramm, mit dem du:
ganze Festplatten,
einzelne Partitionen,
USB-Sticks,
oder verschlüsselte Datei-Container
schützen kannst.
Alle Daten werden dabei mit starken kryptografischen Algorithmen wie AES-256, Serpent oder Twofish geschützt.
Was kann VeraCrypt?
✔ 1. Datei-Container erstellen
Du kannst eine einzelne große Datei erstellen (z. B. „geheim.vc“), die wie ein virtuelles, verschlüsseltes Laufwerk funktioniert.
✔ 2. Ganze Datenträger verschlüsseln
Systemlaufwerke (z. B. Windows C:)
Externe Festplatten
USB-Sticks
✔ 3. Versteckte Volumes
Ein einzigartiges Feature:
Ein Outer Volume (äußeres Volume)
Darin ein Hidden Volume (verstecktes Volume)
Das ermöglicht plausible Abstreitbarkeit, da niemand nachweisen kann, dass die versteckte Ebene existiert.
✔ 4. On-the-fly-Verschlüsselung
Daten werden automatisch entschlüsselt, sobald das Volume eingehängt ist, und sofort wieder verschlüsselt, wenn du speicherst.
Du merkst im Alltag kaum etwas davon.
Wie sicher ist VeraCrypt?
VeraCrypt gilt als sehr sicher:
Es behebt bekannte Schwächen von TrueCrypt.
Die Header-Struktur ist verbessert.
Die PBKDF2-Schlüsselableitung ist gegenüber Brute-Force-Angriffen stark gehärtet.
VeraCrypt wird weltweit in Unternehmen, Behörden und Bildungseinrichtungen verwendet.
Wofür benutzt man VeraCrypt typischerweise?
Schutz sensibler Daten auf Laptops
Sichere Speicherung auf USB-Sticks
Schutz persönlicher Dokumente
Verschlüsselung für Cloud-Dateien (über Container)
Schutz vor Datendiebstahl bei Geräteverlust
In VeraCrypt ist es absichtlich nicht möglich, versteckte Volumes zuverlässig zu erkennen – weder für normale Nutzer noch für forensische Analyse. Das ist ein Kernmerkmal der Funktion Plausible Deniability.
Warum kann man versteckte Volumes nicht erkennen?
Ein verstecktes Volume befindet sich im „freien Bereich“ eines äußeren VeraCrypt-Volumes. Dieser Bereich:
sieht aus wie zufällige, unstrukturierte Daten,
hat keine Header-Signaturen,
enthält keine erkennbaren Muster,
unterscheidet sich nicht von normalem Zufallsrauschen.
Dadurch kann niemand beweisen, dass ein verstecktes Volume existiert – auch nicht, wenn das äußere (Outer Volume) entschlüsselt wurde.
Laborübung
Abschnitt betitelt „Laborübung“Verwenden Sie eine Windows 11 VM. Erklären Sie Ihre Lösungen in einem sauber formatierten Dokument. Nutzen Sie Screenshots, wo angebracht.
Erstellen Sie eine Textdatei mit beliebigem Inhalt.
Verschlüsseln Sie die Datei mit EFS.
Melden Sie sich als anderer Benutzer an und analysieren Sie die Datei mit einem Hex-Editor. Können Sie Teile des Dateiinhalts erkennen?
Warum ist es wichtig, den Schlüssel zu schützen?
Woran erkennt man eine verschlüsselte Datei?
Kann ein anderer Benutzer die Datei öffnen? Warum oder warum nicht?
Welches Dateisystem wird für diese Verschlüsselungsmethode benötigt?
BitLocker
Abschnitt betitelt „BitLocker“Erstellen Sie eine 100-MB-Partition durch Verkleinern des C:-Volumes.
Aktivieren Sie BitLocker mit einem Passwort.
Speichern Sie den Wiederherstellungsschlüssel auf dem Desktop.
Erstellen Sie eine beliebige Textdatei in diesem geschützten Volume und stellen Sie sicher, dass Sie sie öffnen können.
Starten Sie das System neu und öffnen Sie Ihre Textdatei erneut.
Prüfen Sie den BitLocker-Status per PowerShell.
VeraCrypt
Abschnitt betitelt „VeraCrypt“Installieren Sie VeraCrypt.
Erstellen Sie eine verschlüsselte Datei-Container mit einem versteckten VeraCrypt-Volume. Hängen Sie das versteckte Volume ein und speichern Sie einige pseudo-geheime Dateien darin. Wie greifen Sie auf alle Ihre Dateien zu? Warum ist es wichtig, eine stärkere Verschlüsselungsmethode zu wählen?
Cryptomator
Abschnitt betitelt „Cryptomator“Erstellen Sie ein Cryptomator-Konto unter https://cryptomator.org/de/.
Erstellen Sie eine Datei in Ihrem bevorzugten Cloud-Speicher (Dropbox, OneDrive, Google Drive usw.) und verschlüsseln Sie sie mit Cryptomator.
Melden Sie sich über den Browser in Ihrer Cloud-Dienst an. Können Sie den Inhalt der Datei lesen?
Vergleich
Abschnitt betitelt „Vergleich“Wo sehen Sie die Vor- und Nachteile dieser verschiedenen Dateiverschlüsselungstools?
Punkteverteilung
| No | Textdatei erstellen | Punkte | |
|---|---|---|---|
| EFS | 1 | Textdatei erstellen | 1 |
| EFS | 2 | Datei mit EFS verschlüsseln | 5 |
| EFS | 3 | Analyse mit Hex-Editor durch anderen Benutzer (Access denied) | 5 |
| EFS | 4 | Warum Schlüssel schützen? | 3 |
| EFS | 5 | Woran erkennt man eine verschlüsselte Datei? (Schloss-Symbol) | 3 |
| EFS | 6 | Kann anderer Benutzer öffnen? Warum? (privater Schlüssel erforderlich) | 3 |
| EFS | 7 | Welches Dateisystem wird benutzt | 3 |
| Bitlocker | 1 | 100-MB-Partition erstellen | 2 |
| Bitlocker | 2 | Volume mit BitLocker verschlüsseln | 8 |
| Bitlocker | 3 | Wiederherstellungschlüssel speichern | 2 |
| Bitlocker | 4 | Datei im geschützten Volume öffnen | 2 |
| Bitlocker | 5 | Neustart und erneutes Öffnen (fragt nach Passwort) | 2 |
| 6 | BitLocker-Status überprüfen per PowerShell | 2 | |
| VeraCrypt | 1 | Installiere VeraCrypt. | 3 |
| VeraCrypt | 2 | Erstellen Sie eine verschlüsselte Datei-Container mit einem versteckten VeraCrypt-Volume. Speichern Sie einige pseudo-geheime Dateien im Container und eine geheime Datei im versteckten Volume. Wie greifen Sie auf alle Ihre Dateien zu? | 3 |
| Cryptomator | 1 | Erstellen Sie ein Cryptomator-Konto unter https://cryptomator.org/de/ | 4 |
| Cryptomator | 2 | Erstellen Sie eine Datei in Ihrer bevorzugten Cloud-Speicher (Dropbox, OneDrive, Google Drive usw.) und verschlüsseln Sie sie mit Cryptomator. | 4 |
| Cryptomator | 3 | Melden Sie sich über den Browser in Ihrem Cloud-Konto an und prüfen Sie, ob Sie den Inhalt Ihrer Datei lesen können. | 4 |
| 1 | Wo sehen Sie die Vor- und Nachteile dieser verschiedenen Dateiverschlüsselungstools? | 1 |
Kompetenzen
| Abk. | Kompetenz | Punkte |
|---|---|---|
| K1 | Der Auszubildende ist in der Lage eine der Situation angepasste Verschlüsselungstechnik anzuwenden und Daten gesichert zu übertragen. | 6/18 |
| K2 | Der Auszubildende ist in der Lage Gegenmaßnahmen für Malware einzusetzen. | |
| K3 | Der Auszubildende ist in der Lage die Integrität der Daten und die Authentizität von Personen und Servern zu überprüfen. | |
| K4 | Der Auszubildende ist in der Lage die Grundsätze des Urheberrechts zu beschreiben. | |
| K5 | Der Auszubildende ist in der Lage die Regeln und Verhaltensweisen im Umgang mit personenbezogenen Daten zusammenzustellen. | |
| K6 | Der Auszubildende ist in der Lage und bereit, selbstständig und in einer Gemeinschaft, verantwortlich und zielführend zu handeln und sich weiterzuentwickeln. |
