Um Daten sicher auf einem USB-Stick zu transportieren, sollte man diese verschlüsseln.
So kann niemand ohne Weiteres - falls der Stick mal verloren gehen sollte oder in die falschen Hände gerät - die Daten lesen und missbrauchen.

Damit die Daten verschlüsselt werden können, ist i.d.R. ein zusätzliches Tool nötig. Eines dieser Tools ist Truecrypt.

Ziel/Problemstellung

Ich möchte an dieser Stelle kein Tutorial für Truecrypt schreiben.
Es geht lediglich darum, wie man mit Truecrypt verschlüsselte Daten auf dem USB-Stick möglichst komfortabel unter Windows einbinden kann - ohne sich jedesmal durch die GUI von Truecrypt oder die Kommandozeilen-Parameter zu kämpfen.

Ziel soll sein, dass

• die verschlüsselten Daten automatisch oder über einen Klick eingebunden werden,
• das Verschlüsselungstool (in diesem Fall Truecrypt) nicht zwangsweise auf dem Rechner, an dem der USB-Stick angeschlossen wird, installiert sein muss,
• das Verschlüsselungs-Tool auf dem Stick mittransportiert werden kann,
• nicht der komplette USB-Stick verschlüsselt ist,
• der Laufwerks-Buchstabe, unter dem der Stick eingebunden wird, nicht relevant ist
• und auf dem USB-Stick noch Platz ist, um unverschlüsselte Daten zu speichern/transportieren, falls es dann mal doch nicht mit Truecrypt klappt.

Was ist Truecrypt?

Mit diesem Tool (hier kostenlos erhältlich) lassen sich komplette Festplatten-Partitionen verschlüsseln und mit einem Passwort sichern, aber auch einfach nur eine einzelne Truecrypt-Container-Datei erstellen.

Eine Truecrypt-Container-Datei

• läßt sich als ganz normales Laufwerk in Windows einbinden,
• die darin enthaltenen Daten sind verschlüsselt und mit Passwort gesichert,
• läßt sich auf einem USB-Stick leicht von PC zu PC transportieren
• und ist auf verschiedensten Systemen (Windows, Linux, Mac OS) verwendbar.

Installation von Truecrypt

Truecrypt muss nicht auf jedem Rechner installiert sein, an dem die verschlüsselten Daten verwendet werden sollen. Da wir jedoch Truecrypt auf dem USB-Stick mitnehmen wollen, muss es zumindest auf einem Rechner installiert sein, um an die ausführbaren Dateien zu kommen.

Erstellen der Truecrypt-Container-Datei

Als nächstes muß eine Truecrypt-Container-Datei erzeugt werden.
Dazu gibt es in Truecrypt einen Wizard, der die Erstellung von verschlüsselten Datenträger erleichtert.
An dieser Stelle wird nicht der komplette Wizard beschrieben, sondern lediglich die relevanten Einstellungen.

Der Wizard kann in Truecrypt über den Button Create Volume gestartet werden:

• Volume Type: “Standard Truecrypt Volume”
• Volume Location:
  • wo der Container erstellt wird ist egal, da die Datei anschließend auf dem USB-Stick kopiert wird
  • der Dateiname sollte DataSafe.tc sein, damit die verwendeten Scripte einfach übernommen werden können
• Volume Size:
  • Abhängig von der Größe des USB-Sticks und wieviel unverschlüsselter Speicherplatz noch frei sein soll
  • da Truecrypt auch auf dem Stick transportiert werden muss, ca. 4 MB freien Speicher dafür berücksichtigen
  • Beispiel: 4GB USB-Stick
    - 3GB für Truecrypt-Container (einzutragende Volume Size)
    - 1GB freier, unverschlüsselter Speicher auf dem USB-Stick (abzüglich ca. 4MB für Truecrypt)
• …

Erstellen der Verzeichnis/Datei-Struktur auf dem USB-Stick

Damit das Einbinden der verschlüsselten Daten möglichst komfortabel ist, müssen eine paar Scripte erstellt werden.
Keine Angst, in dieser Anleitung vorhanden und Anpassungen sind i.d.R. nicht nötig!
Damit die Script ohne Anpassung funktionieren, ist es jedoch wichtig, dass die Verzeichnis-Struktur auf dem
USB-Stick entsprechend dieser Anleitung erstellt wird und die Container-Datei “DataSafe.tc” genannt wurde.

Zu erstellende Verzeichnis-Struktur auf dem USB-Stick:

• [USB-Stick-Laufwerk]
  • DataSafe
  • Truecrypt
    • Executable

Die Struktur sollte dann wie auf diesem Screenshot aussehen (USB-Stick ist im Bild das Laufwerk H:):

In das Verzeichnis DataSafe muss der erstellte Truecrypt-Container (DataSafe.tc) kopiert werden.

In das Verzeichnis Truecrypt\Executeable müssen die ausführbaren Dateien von Truecrypt kopiert werden. Dazu alle Dateien aus dem Verzeichnis, das bei der Installation von Truecrypt ausgewählt wurde, kopieren.

Erstellen der Scripte

Die folgenden Scripte/Dateien müssen alle auf dem USB-Stick abgelegt werden.

Dateiname: AUTORUN.INF
Speicherort: direkt auf dem USB-Stick im obersten Verzeichnis (nicht in einem Unterverzeichnis des Sticks)

Inhalt der Datei:

[AutoRun]
action=Mount DataSafe
OPEN=DataSafe\mount_safe.cmd
ICON=Truecrypt\Executable\TrueCrypt.exe

Shell=0
Shell\0=Unmount DataSafe
Shell\0\command=DataSafe\unmount_safe.cmd

Shell=1
Shell\1=Mount DataSafe
Shell\1\command=DataSafe\mount_safe.cmd

Dateiname: mount_safe.cmd
Speicherort: im Unterverzeichnis DataSafe des USB-Sticks

Inhalt der Datei:

@ECHO OFF

REM %~d0 stellt das aktuelle Laufwerk (auf dem sich die Batch-Datei befindet) dar

start %~d0\truecrypt\executable\truecrypt.exe /history n /quit background /explore /volume %~d0\DataSafe\DataSafe.tc

Dateiname: unmount_safe.cmd
Speicherort: im Unterverzeichnis DataSafe des USB-Sticks

Inhalt der Datei:

@ECHO OFF

start %~d0\truecrypt\executable\truecrypt.exe /dismount /quit /history n

Und wie kann man das ganze jetzt verwenden?

Unterstützt das System (Windows Vista, Windows XP ServicePack 2) die Autostart-Funktion von USB-Geräten und ist die Autostart-Funktion des Systems aktiviert, sollte die bekannte Box

beim Einstecken des USB-Sticks aufgehen und einen Punkt Mount DataSafe enthalten. Diesen Punkt anklicken und die Passwort-Eingabe von Truecrypt für die Container-Datei sollte erscheinen.

Anschließend wird automatisch ein neues Laufwerk verbunden und der Explorer öffnet sich - angezeigt wird der Inhalt der verschlüsselten Container-Datei.

Sollte die Autostart-Funktion von Windows nicht angezeigt werden, dann im Kontext-Menü - Rechtsklick auf den Laufwerks-Buchstaben des USB-Sticks - Mount DataSafe auswählen.

Um das verschlüsselte Laufwerk wieder zu deaktivieren, einfach im Kontext-Menü des USB-Sticks (Nicht des verschlüsselten Laufwerks!!!) den Punkt Unmount DataSafe auswählen.

Anschließend kann der USB-Stick wieder vom Rechner entfernt werden.

Und das soll funktionieren?

Getestet wurde diese Konfiguration des USB-Sticks bisher auf:

• Windows XP SP 2
• Windows Vista Ultimate 64bit

FAQ

• Truecrypt startet auf bestimmten Rechnern nicht!
  Um Truecrypt verwenden zu können, muss man Administrator-Rechte haben. Sollte das nicht der Fall sein, dann muss Truecrypt durch einen Administrator installiert werden - anschließend können auch “Nicht-Administratoren” die Funktionalität nutzen.

Hoffe das hilft ein bisschen, die (Daten)Welt sicherer zu machen!

Sollte ich etwas vergessen haben oder unklar sein, einfach melden.