Ein verlorener Laptop, ein gestohlener USB-Stick oder eine ausgemusterte Festplatte: In all diesen Fällen entscheidet eine einzige Frage darüber, ob Ihre Daten in fremde Hände geraten. Sind sie verschlüsselt oder nicht? VeraCrypt beantwortet diese Frage seit über einem Jahrzehnt mit kostenloser, quelloffener Software. Diese Anleitung zeigt Ihnen in 10 nachvollziehbaren Schritten, wie Sie mit VeraCrypt eine Festplatte verschlüsseln, von der Installation über den ersten Container bis zur kompletten Systemverschlüsselung.
Wir arbeiten mit der aktuellen stabilen Version 1.26.24, veröffentlicht am 30. Mai 2025. Sie funktioniert auf Windows 11, macOS und Linux. Am Ende des Tutorials betreiben Sie einen funktionierenden verschlüsselten Datentresor, verstehen die Algorithmen dahinter und kennen die häufigsten Fallstricke. Planen Sie etwa 30 Minuten für einen einfachen Container und mehrere Stunden, falls Sie eine ganze Systempartition verschlüsseln.
Warum Sie Ihre Festplatte 2026 verschlüsseln sollten
Ein Passwort beim Windows-Login schützt Ihre Daten nicht. Wer eine Festplatte ausbaut und an einen anderen Rechner hängt, liest jede Datei im Klartext. Genau hier setzt Festplattenverschlüsselung an: Sie wandelt den gesamten Inhalt in einen unlesbaren Datenstrom um, den nur Ihr Passwort wieder entsperrt.
Drei Szenarien machen das konkret. Erstens der Diebstahl: Geht ein Notebook verloren, verhindert Verschlüsselung den Zugriff auf E-Mails, Steuerunterlagen und Passwörter. Zweitens die Entsorgung: Eine alte Festplatte landet beim Recycling, doch gelöschte Dateien lassen sich mit kostenlosen Tools oft wiederherstellen. Verschlüsselte Daten bleiben dagegen wertloser Datenmüll. Drittens der Reisekontext: An Grenzen und auf Konferenzen geraten Datenträger leicht außer Sichtweite.
Auch rechtlich spielt Verschlüsselung eine Rolle. Die DSGVO verlangt in Artikel 32 angemessene technische Maßnahmen zum Schutz personenbezogener Daten. Geht ein verschlüsseltes Gerät verloren, sinkt das Risiko einer meldepflichtigen Datenpanne erheblich, weil die Daten für Dritte unzugänglich bleiben. Für Selbstständige und kleine Unternehmen ist das ein handfester Vorteil. Wer regelmäßig mit der Funktionsweise von Datenlecks zu tun hat, weiß, dass die meisten Vorfälle durch simple Vorsorge vermeidbar gewesen wären.
Windows bringt mit BitLocker bereits eine Verschlüsselung mit, doch sie steckt in den Pro- und Enterprise-Editionen, nicht in Windows Home. Außerdem ist BitLocker proprietär und an Microsoft gebunden. VeraCrypt ist plattformübergreifend, quelloffen und unabhängig auditiert. Genau diese Eigenschaften machen es zur ersten Wahl, wenn Sie volle Kontrolle behalten wollen.
Was ist VeraCrypt? Der TrueCrypt-Nachfolger seit 2013
VeraCrypt ist freie Open-Source-Software für die Festplattenverschlüsselung, entwickelt von der französischen Firma IDRIX. Sie basiert auf dem Quellcode von TrueCrypt 7.1a, dem lange Zeit beliebtesten Verschlüsselungswerkzeug der Welt. Als das anonyme TrueCrypt-Team sein Projekt im Mai 2014 abrupt einstellte und kryptisch vor angeblichen Sicherheitslücken warnte, war VeraCrypt bereits seit Juni 2013 verfügbar. Es entstand also nicht erst als Reaktion auf das Aus, sondern lief parallel und übernahm danach die Rolle des Nachfolgers.
Der entscheidende Unterschied zu TrueCrypt liegt im Header-Schutz. VeraCrypt erhöhte die Zahl der PBKDF2-Iterationen drastisch, was Angriffe per Brute-Force deutlich verteuert. Wo TrueCrypt einige Tausend Runden nutzte, rechnet VeraCrypt für Standard-Container laut Dokumentation mit bis zu 655.331 Iterationen und für die Systemverschlüsselung mit bis zu 327.661 Iterationen. Jede zusätzliche Runde verlangsamt das Ausprobieren von Passwörtern.
2016 ließ die Open Source Technology Improvement Fund (OSTIF) den Code von der Sicherheitsfirma QuarksLab prüfen. Das Audit deckte mehrere Schwachstellen auf, die das Projekt zeitnah behob, unter anderem in Version 1.19. Dieser offene Prüfprozess unterscheidet VeraCrypt von geschlossenen Lösungen: Jeder kann den Quellcode lesen und die Ergebnisse nachvollziehen. Die Software steht unter der Apache-Lizenz 2.0 sowie der ursprünglichen TrueCrypt-Lizenz.
Die Version 1.26.24 brachte mehrere Neuerungen. Sie führte BLAKE2s als zusätzlichen PRF-Algorithmus ein, entfernte die veralteten Verfahren RIPEMD-160 und GOST89 vollständig und strich die TrueCrypt-Kompatibilität. Wer noch alte TrueCrypt-Volumes mounten oder konvertieren muss, kann dafür die ältere Version 1.25.9 verwenden. Zudem optimierte das Team die AES-Hardwarebeschleunigung für Windows ARM64 und macOS auf Apple Silicon.
VeraCrypt vs. BitLocker vs. LUKS im Vergleich
Bevor Sie loslegen, lohnt ein Blick auf die Alternativen. BitLocker ist die hauseigene Lösung von Windows, LUKS der Standard unter Linux. Jedes Werkzeug hat seine Stärken. Die folgende Tabelle stellt die wichtigsten Eigenschaften gegenüber.
| Eigenschaft | VeraCrypt | BitLocker | LUKS |
|---|---|---|---|
| Lizenz | Open Source (Apache 2.0) | Proprietär (Microsoft) | Open Source (GPL) |
| Plattformen | Windows, macOS, Linux | Windows Pro/Enterprise | Linux |
| Kosten | Kostenlos | In Windows Pro enthalten | Kostenlos |
| Versteckte Volumes | Ja | Nein | Nein |
| Container-Dateien | Ja | Nein (nur VHD-Umweg) | Teilweise (Loopback) |
| Unabhängiges Audit | Ja (QuarksLab 2016) | Nicht öffentlich | Ja (Community) |
| Algorithmen | 5 (AES, Serpent u.a.) | AES (XTS) | AES, Serpent, Twofish |
Der größte Vorteil von VeraCrypt liegt in der Plattformunabhängigkeit und den versteckten Volumes. Sie erstellen einen Container unter Windows und öffnen ihn später auf einem Linux-Rechner. BitLocker punktet mit nahtloser Windows-Integration und TPM-Unterstützung, bindet Sie aber an Microsoft. LUKS ist die robuste Wahl für reine Linux-Umgebungen. Für maximale Flexibilität über Betriebssysteme hinweg führt an VeraCrypt kaum ein Weg vorbei.
Ein Detail unterscheidet die Ansätze grundlegend. BitLocker und LUKS verschlüsseln Partitionen oder ganze Laufwerke. VeraCrypt kann zusätzlich Container-Dateien erstellen, also eine einzelne große Datei, die sich wie ein virtuelles Laufwerk einbinden lässt. Dieser Container reist per E-Mail-Anhang, Cloud-Sync oder USB-Stick mit, ohne dass Sie eine ganze Partition mitnehmen müssen.
Voraussetzungen: Versionen und Vorbereitung
Bevor Sie mit der Verschlüsselung beginnen, prüfen Sie die folgenden Voraussetzungen. Sie gelten für alle drei großen Betriebssysteme und ersparen Ihnen später Fehlersuche.
- VeraCrypt 1.26.24 (Stand 30. Mai 2025) oder neuer, ausschließlich von veracrypt.fr.
- Betriebssystem: Windows 11 oder Windows 10, macOS 12 (Monterey) oder neuer, oder eine aktuelle Linux-Distribution wie Ubuntu 24.04 LTS bzw. Debian 12.
- macOS zusätzlich: macFUSE 4.x, da VeraCrypt unter macOS darauf aufbaut.
- Administratorrechte auf dem System, da VeraCrypt Gerätetreiber lädt.
- Freier Speicher: rund 30 MB für das Programm plus Platz für den Container.
- Ein starkes Passwort mit mindestens 20 Zeichen, idealerweise eine Passphrase aus mehreren zufälligen Wörtern.
- Ein Backup aller wichtigen Daten, bevor Sie eine Systempartition verschlüsseln.
Der Punkt Passwort verdient Aufmerksamkeit. Verschlüsselung ist nur so stark wie die Passphrase, die sie schützt. Ein achtstelliges Passwort fällt selbst bei hohen Iterationszahlen irgendwann. Eine zufällige Wortkette wie tafel-orbit-kupfer-segel-77 bietet dagegen enorme Sicherheit bei guter Merkbarkeit. Mehr dazu lesen Sie in unserem Leitfaden zur Passwortsicherheit.
Wichtig: VeraCrypt kennt keine Passwort-Wiederherstellung. Vergessen Sie die Passphrase, sind die Daten unwiederbringlich verloren. Das ist kein Mangel, sondern der Kern des Konzepts. Notieren Sie die Passphrase daher an einem sicheren Ort, etwa in einem Passwortmanager oder auf Papier im Tresor.
So funktioniert die Verschlüsselung: AES, PBKDF2 und PIM
VeraCrypt verschlüsselt Daten im Hintergrund, ohne dass Sie etwas davon merken. Sobald ein Volume eingebunden ist, ver- und entschlüsselt die Software jeden Lese- und Schreibvorgang in Echtzeit. Diese Technik heißt On-the-fly-Verschlüsselung. Die Daten liegen niemals unverschlüsselt auf dem Datenträger, sondern nur kurzzeitig im Arbeitsspeicher.
Den Kern bildet ein symmetrischer Algorithmus. Standard ist AES im XTS-Modus mit 256 Bit Schlüssellänge, derselbe Standard, den auch Behörden und Banken nutzen. Wer höhere Paranoia hat, kombiniert mehrere Verfahren in Kaskade, etwa AES-Twofish-Serpent. Dann müsste ein Angreifer drei unabhängige Algorithmen gleichzeitig brechen. Eine Übersicht der verfügbaren Optionen:
| Verschlüsselungsalgorithmus | Schlüssellänge | Hash-Funktionen (PRF) | Empfehlung |
|---|---|---|---|
| AES | 256 Bit | SHA-512, SHA-256, BLAKE2s, Whirlpool, Streebog | Standard, schnell mit AES-NI |
| Serpent | 256 Bit | SHA-512, SHA-256, BLAKE2s | Konservativ, sehr sicher |
| Twofish | 256 Bit | SHA-512, SHA-256, BLAKE2s | Solide Alternative |
| Camellia | 256 Bit | SHA-512, Whirlpool | Japanischer Standard |
| Kuznyechik | 256 Bit | Streebog | Russischer GOST-Standard |
| AES-Twofish-Serpent | 3x 256 Bit | SHA-512, BLAKE2s | Maximale Sicherheit, langsamer |
Aus Ihrem Passwort leitet VeraCrypt den eigentlichen Schlüssel ab. Dafür sorgt PBKDF2, eine Schlüsselableitungsfunktion, die das Passwort hunderttausende Male durch eine Hash-Funktion jagt. Dieses Schlüsselstrecken macht Brute-Force-Angriffe teuer, weil jeder Rateversuch dieselbe aufwendige Berechnung durchlaufen muss. Wer tiefer in die Mathematik dahinter einsteigen will, findet bei uns eine Erklärung zu SHA-256.
Was der PIM-Wert bewirkt
Der Personal Iterations Multiplier (PIM) ist eine Besonderheit von VeraCrypt. Er bestimmt, wie viele Iterationen PBKDF2 durchläuft. Ein höherer PIM bedeutet mehr Runden, also mehr Schutz gegen Brute-Force, aber auch eine längere Wartezeit beim Einbinden des Volumes. Lassen Sie das Feld leer, nutzt VeraCrypt einen sicheren Standardwert. Ein eigener PIM lohnt nur, wenn Sie die Sicherheit bewusst erhöhen oder bei sehr langen Passwörtern den Mount beschleunigen wollen.
Schritt 1 bis 3: VeraCrypt herunterladen, prüfen und installieren
Schritt 1: Download von der offiziellen Quelle. Laden Sie VeraCrypt ausschließlich von veracrypt.fr herunter. Gefälschte Installer aus Drittquellen sind ein klassischer Angriffsweg. Wählen Sie das passende Paket für Ihr Betriebssystem, also den Windows-Installer, das macOS-Disk-Image oder das Linux-Paket.
Schritt 2: Signatur und Prüfsumme verifizieren. Auf der Download-Seite veröffentlicht IDRIX zu jeder Datei eine SHA-256-Prüfsumme und eine PGP-Signatur. Berechnen Sie die Prüfsumme Ihrer heruntergeladenen Datei und vergleichen Sie sie mit dem Wert auf der Website. Unter Windows nutzen Sie dafür CertUtil:
# Windows: SHA-256-Pruefsumme der Installationsdatei berechnen
CertUtil -hashfile "VeraCrypt Setup 1.26.24.exe" SHA256
# Ausgabe (Beispiel):
# SHA256-Hash von VeraCrypt Setup 1.26.24.exe:
# a1b2c3d4... (mit dem Wert auf veracrypt.fr vergleichen)
# CertUtil: -hashfile-Befehl wurde erfolgreich ausgefuehrt.Stimmt der berechnete Hash exakt mit dem veröffentlichten Wert überein, ist die Datei unverändert. Weicht auch nur ein Zeichen ab, brechen Sie ab und laden Sie erneut. Diese Prüfung dauert zehn Sekunden und verhindert, dass Sie manipulierte Software installieren. Wie Prüfsummen funktionieren, erklärt unser Beitrag zu Hashfunktionen.
Schritt 3: Installation starten. Führen Sie den Installer mit Administratorrechten aus. Unter Windows wählen Sie zwischen Install (dauerhafte Installation) und Extract (portable Version ohne Installation, ideal für USB-Sticks). Für den Dauerbetrieb wählen Sie Install, akzeptieren die Lizenz und bestätigen die Standardeinstellungen. Nach wenigen Sekunden ist VeraCrypt einsatzbereit.
Schritt 4 bis 6: Einen verschlüsselten Container erstellen
Schritt 4: Volume-Assistent öffnen. Starten Sie VeraCrypt und klicken Sie auf Volume erstellen. Der Assistent fragt zuerst nach dem Typ. Wählen Sie Einen verschlüsselten Datei-Container erstellen. Das ist die einfachste und flexibelste Option, weil der Container eine normale Datei ist, die Sie überall hin kopieren können. Die beiden anderen Optionen verschlüsseln eine ganze Partition oder die Systempartition.
Schritt 5: Standard- oder verstecktes Volume. Wählen Sie zunächst Standard-VeraCrypt-Volume. Versteckte Volumes behandeln wir weiter unten. Anschließend legen Sie den Speicherort und Dateinamen fest, etwa tresor.hc auf Ihrem Desktop. Achtung: Wählen Sie keine bestehende Datei aus, denn VeraCrypt überschreibt sie. Die Endung .hc ist üblich, aber nicht zwingend.
Schritt 6: Algorithmus festlegen. Jetzt wählen Sie den Verschlüsselungsalgorithmus und die Hash-Funktion. Für die meisten Anwender ist AES mit SHA-512 die beste Wahl, da moderne Prozessoren AES per AES-NI-Befehlssatz hardwarebeschleunigen. Über die Schaltfläche Benchmark testen Sie die Geschwindigkeit der Algorithmen auf Ihrem System. Eine typische Ausgabe sieht so aus:
Algorithmus Verschluesselung Entschluesselung Mittel
AES 4,8 GB/s 5,1 GB/s 4,9 GB/s
Twofish 0,5 GB/s 0,5 GB/s 0,5 GB/s
Serpent 0,4 GB/s 0,4 GB/s 0,4 GB/s
Camellia 0,6 GB/s 0,6 GB/s 0,6 GB/s
# AES ist dank Hardwarebeschleunigung um ein Vielfaches schneller.
# Die genauen Werte haengen von Ihrer CPU ab.Der Benchmark zeigt klar, warum AES der Standard ist. Auf Prozessoren mit AES-NI erreicht es oft das Zehnfache der Software-Algorithmen. Nur wer aus Prinzip auf eine Kaskade setzt, akzeptiert die geringere Geschwindigkeit bewusst.
Schritt 7 und 8: Größe, Passwort und PIM wählen
Schritt 7: Container-Größe bestimmen. Geben Sie an, wie groß der Container werden soll, etwa 10 GB für Dokumente oder 100 GB für eine Foto-Sammlung. Die Größe ist nach der Erstellung fest, planen Sie also etwas Reserve ein. Bei einem Dateisystem wie NTFS oder exFAT sind sehr große Container kein Problem. Bei FAT32 gilt die alte Grenze von 4 GB pro Datei innerhalb des Containers.
Schritt 8: Passwort und PIM setzen. Geben Sie nun Ihre Passphrase ein. VeraCrypt warnt zu Recht, wenn das Passwort kürzer als 20 Zeichen ist. Optional aktivieren Sie das Feld PIM verwenden und tragen einen Wert ein. Lassen Sie es im Zweifel leer, dann nutzt VeraCrypt den sicheren Standard. Zusätzlich können Sie Schlüsseldateien (Keyfiles) hinzufügen, also beliebige Dateien, die als zweiter Faktor dienen. Ohne die richtige Keyfile lässt sich der Container dann nicht öffnen.
Ein Wort zur Keyfile-Funktion. Sie kombiniert Wissen (Passwort) mit Besitz (Datei), ähnlich wie eine Zwei-Faktor-Authentifizierung. Das erhöht die Sicherheit, birgt aber ein Risiko: Verlieren oder verändern Sie die Keyfile, ist der Container verloren. Eine veränderte Datei, etwa durch ein Programm-Update, reicht aus. Wählen Sie deshalb eine unveränderliche Datei und sichern Sie eine Kopie.
Schritt 9 und 10: Volume formatieren und einbinden
Schritt 9: Zufall sammeln und formatieren. Im letzten Schritt des Assistenten bewegen Sie die Maus möglichst zufällig im Fenster. Diese Bewegungen liefern Entropie, also den Zufall, aus dem VeraCrypt die Verschlüsselungsschlüssel erzeugt. Der Balken zeigt, wie viel Zufall gesammelt wurde. Bewegen Sie die Maus, bis der Balken grün wird, wählen Sie das Dateisystem und klicken auf Formatieren. VeraCrypt erstellt nun den Container.
Schritt 10: Volume einbinden (mounten). Zurück im Hauptfenster wählen Sie einen freien Laufwerksbuchstaben, klicken auf Datei auswählen, suchen Ihren Container und klicken auf Einbinden. Nach Eingabe des Passworts erscheint der Container als neues Laufwerk im Explorer. Jetzt nutzen Sie ihn wie jede andere Festplatte: Dateien hineinkopieren, bearbeiten, löschen. Alles wird im Hintergrund verschlüsselt.
Wenn Sie fertig sind, klicken Sie auf Trennen. Damit verschwindet das Laufwerk und die Daten sind wieder vollständig verschlüsselt. Vergessen Sie das Trennen nicht, denn ein eingebundenes Volume ist offen und für jeden lesbar, der gerade Zugriff auf den Rechner hat. Stellen Sie in den Einstellungen ein, dass VeraCrypt Volumes automatisch trennt, sobald der Bildschirm sperrt oder der Rechner in den Ruhezustand geht.
Komplette Systemverschlüsselung unter Windows einrichten
Ein Container schützt einzelne Dateien. Wer den ganzen Rechner absichern will, verschlüsselt die Systempartition. Dann fragt VeraCrypt das Passwort schon vor dem Start von Windows ab, im sogenannten Pre-Boot-Authentifizierungsbildschirm. Ohne korrektes Passwort bootet das System nicht. VeraCrypt unterstützt sowohl moderne UEFI- als auch ältere MBR-Systeme.
Der Ablauf: Wählen Sie im Hauptmenü System und dann Systempartition/-laufwerk verschlüsseln. Der Assistent führt Sie durch die Auswahl, fragt nach dem Passwort und erzeugt eine Rettungsdiskette (Rescue Disk). Diese ist Pflicht. Sie reparieren damit den Bootloader, falls etwas schiefgeht. Brennen Sie sie auf eine CD oder speichern Sie das ISO-Image extern, niemals nur auf der zu verschlüsselnden Platte.
Vor der eigentlichen Verschlüsselung führt VeraCrypt einen Pretest durch. Der Rechner startet neu und prüft, ob die Pre-Boot-Abfrage funktioniert. Erst wenn dieser Test erfolgreich ist, beginnt die Verschlüsselung der Platte. Dieser Vorgang läuft im Hintergrund weiter, während Sie normal arbeiten, und dauert je nach Größe und Geschwindigkeit der Platte mehrere Stunden. Eine SSD verschlüsselt deutlich schneller als eine klassische Festplatte.
Wichtig: Erstellen Sie vor der Systemverschlüsselung ein vollständiges Backup. Ein Stromausfall während des Vorgangs oder ein Hardwaredefekt kann im schlimmsten Fall Daten beschädigen. Mit Backup und Rescue Disk sind Sie auf der sicheren Seite. Für Notebooks empfiehlt sich zusätzlich, das Gerät während der Erstverschlüsselung am Netzteil zu betreiben.
Versteckte Volumes und glaubhafte Abstreitbarkeit
Ein Alleinstellungsmerkmal von VeraCrypt sind versteckte Volumes (Hidden Volumes). Die Idee: In einem normalen verschlüsselten Container steckt ein zweiter, unsichtbarer Container mit eigenem Passwort. Geben Sie das erste Passwort ein, öffnet sich der äußere Container mit harmlosen Daten. Geben Sie das zweite Passwort ein, öffnet sich der versteckte Bereich mit den eigentlichen Geheimnissen.
Dieses Konzept heißt glaubhafte Abstreitbarkeit (Plausible Deniability). Wird man gezwungen, ein Passwort herauszugeben, nennt man das des äußeren Containers. Der versteckte Bereich ist von außen nicht nachweisbar, weil freier Speicher in einem VeraCrypt-Volume mit Zufallsdaten gefüllt ist und sich nicht von verschlüsselten Daten unterscheiden lässt. Es gibt keinen technischen Beweis, dass ein zweites Volume existiert.
VeraCrypt treibt dieses Prinzip auf die Spitze mit dem versteckten Betriebssystem (Hidden Operating System). Dabei existieren zwei komplette Windows-Installationen, ein Köder-System und ein verstecktes System. Diese Funktion ist mächtig, aber komplex und nur für Anwender mit hohem Schutzbedarf gedacht, etwa Journalisten oder Aktivisten in repressiven Umgebungen.
Ein Hinweis zur Vorsicht: Versteckte Volumes haben eine Gefahr. Schreiben Sie zu viele Daten in den äußeren Container, überschreiben Sie womöglich den versteckten Bereich, denn der äußere Container weiß nichts von ihm. VeraCrypt bietet dafür einen Schutzmodus beim Einbinden, der den versteckten Bereich vor Überschreiben bewahrt. Nutzen Sie ihn, wann immer Sie den äußeren Container befüllen.
VeraCrypt unter Linux und macOS per Kommandozeile
Unter Linux installieren Sie VeraCrypt aus dem offiziellen Paket. Für Ubuntu und Debian gibt es ein DEB-Paket auf der Download-Seite. Nach der Installation steht neben der grafischen Oberfläche auch ein leistungsfähiges Kommandozeilenwerkzeug bereit, ideal für Server und Automatisierung.
# Installation unter Ubuntu/Debian (Paket zuvor von veracrypt.fr laden)
sudo apt update
sudo apt install ./veracrypt-1.26.24-Ubuntu-24.04-amd64.deb
# Version pruefen
veracrypt --versionEinen verschlüsselten Container legen Sie im Textmodus mit dem Schalter -t -c an. Der Assistent fragt interaktiv nach Größe, Algorithmus und Passwort, genau wie die grafische Version:
# Verschluesselten Container im Textmodus erstellen
veracrypt -t -c
# Volume in ein Verzeichnis einbinden
mkdir -p ~/tresor
veracrypt -t -k "" --pim=0 --protect-hidden=no ~/tresor.hc ~/tresor
# Eingebundene Volumes auflisten
veracrypt -t -l
# Ausgabe (Beispiel):
# 1: /home/user/tresor.hc /dev/mapper/veracrypt1 /home/user/tresorZum Trennen nutzen Sie den Schalter -d. Ohne Argument trennt VeraCrypt alle eingebundenen Volumes auf einmal. So räumen Sie ein Skript am Ende sauber auf:
# Ein bestimmtes Volume trennen
veracrypt -t -d ~/tresor.hc
# Alle Volumes trennen
veracrypt -t -dUnter macOS installieren Sie zuerst macFUSE und danach das VeraCrypt-DMG. Die grafische Oberfläche ist mit der von Windows identisch. Seit Version 1.26.24 nutzt VeraCrypt auf Apple Silicon die AES-Hardwarebeschleunigung, was die Geschwindigkeit auf M-Prozessoren deutlich verbessert. Die Kommandozeilenbefehle entsprechen denen unter Linux.
Externe Festplatte und USB-Stick verschlüsseln
Wer eine externe Festplatte verschlüsseln will, hat zwei Wege. Der erste legt einen Container als Datei auf dem externen Laufwerk ab, genau wie in den Schritten oben beschrieben. Der zweite verschlüsselt das gesamte externe Laufwerk als Partition. Beide Methoden funktionieren, doch sie unterscheiden sich in Komfort und Sichtbarkeit.
Die Container-Variante ist unauffälliger und flexibler. Auf dem USB-Stick liegt dann eine einzelne große Datei, etwa backup.hc, neben normalen, unverschlüsselten Dateien. Das ist praktisch, wenn der Stick auch öffentlich zugängliche Daten transportieren soll. Die Partitions-Variante verschlüsselt dagegen den kompletten Datenträger. Steckt jemand den Stick ein, meldet Windows lediglich, das Laufwerk müsse formatiert werden. Diese Meldung ist normal und kein Grund zur Sorge, denn ohne VeraCrypt erkennt das Betriebssystem die Verschlüsselung nicht.
Um ein ganzes externes Laufwerk zu verschlüsseln, wählen Sie im Volume-Assistenten die Option Eine Partition oder ein Laufwerk verschlüsseln statt der Container-Datei. Achtung: Dieser Vorgang löscht alle vorhandenen Daten auf dem Laufwerk, sofern Sie nicht die langsamere Option mit Beibehaltung der Daten wählen. Sichern Sie den Inhalt also vorher. Nach der Erstellung binden Sie das externe Volume wie einen Container ein, indem Sie im Hauptfenster auf Datenträger auswählen klicken.
Ein häufiger Stolperstein: Auf einem fremden Computer ohne installiertes VeraCrypt lässt sich ein verschlüsseltes externes Laufwerk nicht öffnen. Für diesen Fall gibt es die portable Variante. Kopieren Sie die portable VeraCrypt-Version mit auf den Stick, dann starten Sie sie auf jedem Windows-PC ohne Installation. Beachten Sie aber, dass dafür Administratorrechte auf dem Gastrechner nötig sind, da VeraCrypt einen Treiber laden muss. An stark gesperrten Firmen- oder Behördenrechnern scheitert das oft.
Für maximale Kompatibilität zwischen Betriebssystemen formatieren Sie das verschlüsselte Volume mit exFAT. Dieses Dateisystem lesen und schreiben Windows, macOS und Linux gleichermaßen, anders als NTFS, das unter macOS standardmäßig nur lesbar ist. So wird Ihr verschlüsselter USB-Stick zum universellen, sicheren Datenträger über alle Plattformen hinweg.
VeraCrypt und SSDs: TRIM, Wear-Leveling und Geschwindigkeit
Solid-State-Drives bringen bei der Verschlüsselung eine Besonderheit mit. Anders als klassische Festplatten verteilen SSDs Schreibvorgänge über ihre Speicherzellen (Wear-Leveling) und melden gelöschte Blöcke über den TRIM-Befehl an das Betriebssystem. Beides steht in einem gewissen Spannungsverhältnis zur Verschlüsselung, vor allem zur glaubhaften Abstreitbarkeit.
Der Kern des Problems: Aktiviert das System TRIM auf einem verschlüsselten Laufwerk, gibt es nach außen preis, welche Sektoren leer sind und welche Daten enthalten. Für ein Standard-Volume ist das unkritisch und sogar erwünscht, weil TRIM die Lebensdauer und Geschwindigkeit der SSD erhält. Für versteckte Volumes untergräbt es jedoch die Abstreitbarkeit, denn das Muster belegter Sektoren kann Hinweise auf einen versteckten Bereich geben. Wer auf Plausible Deniability angewiesen ist, sollte versteckte Volumes daher eher auf klassischen Festplatten anlegen.
Für den Normalfall überwiegen die Vorteile klar. Auf einer modernen NVMe-SSD bremst die AES-Verschlüsselung kaum, weil die Hardwarebeschleunigung mehrere Gigabyte pro Sekunde schafft, mehr als viele SSDs liefern. Die gefühlte Geschwindigkeit bleibt also nahezu unverändert. Spürbar wird der Unterschied nur bei sehr schnellen PCIe-4.0- oder PCIe-5.0-Laufwerken in synthetischen Benchmarks, im Alltag merkt man davon nichts.
Ein praktischer Tipp zur Systemverschlüsselung auf SSDs: VeraCrypt verschlüsselt bei der ersten Einrichtung den gesamten belegten und freien Speicher. Bei sehr großen SSDs dauert das. Sie können den Vorgang pausieren und später fortsetzen, das System bleibt nutzbar. Planen Sie die Erstverschlüsselung dennoch für eine Zeit ein, in der Sie den Rechner nicht dringend in voller Geschwindigkeit brauchen.
6 häufige Fehler und wie Sie sie vermeiden
Auch erfahrene Anwender stolpern über typische Fallstricke. Diese sechs Fehler kosten am häufigsten Daten oder Sicherheit.
- Passwort vergessen ohne Notfallkopie. VeraCrypt hat keine Hintertür. Ohne Passwort sind die Daten weg. Sichern Sie die Passphrase getrennt vom verschlüsselten Gerät.
- Container im Cloud-Sync bei eingebundenem Zustand. Synchronisiert ein Dienst wie Dropbox den Container, während er gemountet ist, droht Datenkorruption. Trennen Sie das Volume immer vor dem Sync.
- Keine Rescue Disk bei Systemverschlüsselung. Ohne Rettungsmedium kann ein beschädigter Bootloader das System unstartbar machen. Die Rescue Disk ist nicht optional.
- Download aus inoffizieller Quelle. Manipulierte Installer schleusen Schadsoftware ein. Laden Sie nur von veracrypt.fr und prüfen Sie die Signatur.
- Volume nicht getrennt vor dem Herunterfahren. Ein hart abgeschalteter Rechner mit offenem Volume kann das Dateisystem beschädigen. Trennen Sie Volumes vor dem Ausschalten.
- Keyfile auf demselben Datenträger. Liegt die Schlüsseldatei neben dem Container, ist der zweite Faktor wertlos. Bewahren Sie Keyfiles getrennt auf, etwa auf einem separaten USB-Stick.
Troubleshooting: 8 Probleme und ihre Lösungen
Wenn etwas nicht funktioniert, hilft diese Übersicht der häufigsten Probleme weiter. Die meisten lassen sich in wenigen Minuten beheben.
| Problem | Ursache | Lösung |
|---|---|---|
| Falsches Passwort trotz korrekter Eingabe | PIM nicht oder falsch angegeben | PIM-Wert exakt wie bei Erstellung eintragen, sonst leer lassen |
| Volume lässt sich nicht einbinden | Laufwerksbuchstabe belegt | Anderen freien Buchstaben wählen |
| Sehr langsamer Mount | Hoher PIM oder Software-Algorithmus | Standard-PIM nutzen, AES statt Kaskade wählen |
| macOS verweigert Start | macFUSE fehlt oder veraltet | Aktuelles macFUSE 4.x installieren und Berechtigung erteilen |
| System bootet nach Verschlüsselung nicht | Bootloader beschädigt | Mit Rescue Disk booten und reparieren |
| Container plötzlich unlesbar | Cloud-Sync hat Datei verändert | Aus Backup wiederherstellen, Sync für Container deaktivieren |
| TrueCrypt-Volume lässt sich nicht öffnen | TrueCrypt-Modus in 1.26.24 entfernt | Version 1.25.9 zum Mounten und Konvertieren nutzen |
| Keyfile wird nicht akzeptiert | Datei wurde verändert | Originale, unveränderte Keyfile verwenden |
Ein wiederkehrendes Muster zeigt sich: Die meisten Probleme entstehen nicht durch Fehler in VeraCrypt, sondern durch Bedienfehler oder fehlende Backups. Wer die Rescue Disk erstellt, die Passphrase sichert und Cloud-Sync mit Bedacht einsetzt, vermeidet die große Mehrheit aller Zwischenfälle.
Erweiterte Tipps und Best Practices
Sobald die Grundlagen sitzen, holen die folgenden Einstellungen mehr Sicherheit und Komfort aus VeraCrypt heraus. Sie richten sich an Anwender, die das Werkzeug regelmäßig nutzen.
- Auto-Trennen aktivieren: Stellen Sie in den Einstellungen ein, dass Volumes bei Bildschirmsperre, Inaktivität oder Ruhezustand automatisch getrennt werden. So bleibt kein offenes Volume zurück.
- Favoriten-Volumes nutzen: Speichern Sie häufig genutzte Container als Favoriten, um sie mit einem Klick einzubinden, optional automatisch beim Systemstart.
- Schlüsseldateien als zweiter Faktor: Kombinieren Sie Passwort und Keyfile auf getrennten Medien für einen echten Zwei-Faktor-Schutz.
- Container portabel halten: Eine Container-Datei plus die portable VeraCrypt-Version auf einem USB-Stick ergibt einen mobilen Datentresor, der ohne Installation auf jedem Windows-PC läuft.
- Regelmäßig aktualisieren: Halten Sie VeraCrypt aktuell, um von Sicherheitskorrekturen und Optimierungen wie der ARM64-Beschleunigung zu profitieren.
- Header sichern: Über Werkzeuge, Volume-Header sichern erstellen Sie eine Kopie des Headers. Wird der Header beschädigt, retten Sie damit den Zugang.
Der letzte Punkt verdient besondere Beachtung. Der Volume-Header enthält die verschlüsselten Schlüssel. Beschädigt ein Dateisystemfehler diesen Bereich, ist der Container ohne Header-Backup verloren, selbst wenn Sie das Passwort kennen. Ein Header-Backup ist Ihre Versicherung gegen genau diesen Fall. Bewahren Sie es getrennt und ebenfalls geschützt auf.
Verschlüsselung ist nur ein Baustein eines durchdachten Sicherheitskonzepts. Ein verschlüsselter Container nützt wenig, wenn Schadsoftware bereits auf dem laufenden, entsperrten System mitliest. Kombinieren Sie VeraCrypt deshalb mit einem aktuellen Betriebssystem, einem guten Passwortmanager und gesunder Skepsis gegenüber Phishing-Angriffen. Wie Datenübertragung im Netz abgesichert wird, erklärt unser Beitrag zu HTTPS und TLS.
Häufige Fragen zu VeraCrypt
Ist VeraCrypt wirklich kostenlos?
Ja. VeraCrypt ist freie Open-Source-Software unter der Apache-Lizenz 2.0 und kostet für private wie geschäftliche Nutzung nichts. Es gibt keine Pro-Version und keine versteckten Kosten. Der gesamte Quellcode ist öffentlich einsehbar.
Kann ich ein vergessenes Passwort wiederherstellen?
Nein. VeraCrypt hat bewusst keine Hintertür und keine Wiederherstellungsfunktion. Ohne Passwort (und gegebenenfalls Keyfile) bleiben die Daten dauerhaft verschlüsselt. Genau das macht die Verschlüsselung sicher. Sichern Sie Ihre Passphrase daher sorgfältig.
Verlangsamt VeraCrypt meinen Computer?
Auf modernen Prozessoren kaum spürbar. Dank der AES-NI-Hardwarebeschleunigung erreicht AES mehrere Gigabyte pro Sekunde, weit mehr, als eine typische SSD liefert. Die Verschlüsselung ist also selten der Flaschenhals. Spürbar wird es nur bei Software-Algorithmen wie Serpent oder bei sehr hohen PIM-Werten.
Kann ich einen Container zwischen Windows, macOS und Linux teilen?
Ja, das ist eine der größten Stärken. Ein VeraCrypt-Container ist plattformübergreifend. Verwenden Sie ein Dateisystem, das alle Systeme lesen, etwa exFAT, dann öffnen Sie denselben Container auf jedem Betriebssystem mit demselben Passwort.
Ist VeraCrypt sicher gegen Quantencomputer?
AES-256 gilt auch gegen Quantencomputer als robust, da der Grover-Algorithmus die effektive Schlüssellänge nur halbiert. AES-256 böte demnach noch eine Sicherheit von rund 128 Bit, was praktisch unangreifbar bleibt. Die symmetrische Verschlüsselung ist deutlich quantenresistenter als asymmetrische Verfahren wie RSA.
Brauche ich VeraCrypt, wenn ich schon BitLocker nutze?
Nicht zwingend, aber VeraCrypt ergänzt BitLocker sinnvoll. BitLocker verschlüsselt das System, VeraCrypt eignet sich für portable Container und plattformübergreifende Datentresore. Wer Windows Home ohne BitLocker nutzt, erhält mit VeraCrypt überhaupt erst eine vollwertige Systemverschlüsselung.
Welcher Algorithmus ist der beste?
Für die allermeisten Anwender AES mit SHA-512. Es ist sicher, durch Audits geprüft und auf moderner Hardware extrem schnell. Kaskaden wie AES-Twofish-Serpent bieten theoretisch mehr Reserve, kosten aber Geschwindigkeit, ohne dass ein praktischer Angriff auf AES bekannt wäre.
Fazit: In 30 Minuten zum verschlüsselten Datentresor
VeraCrypt macht professionelle Festplattenverschlüsselung für jeden zugänglich, kostenlos, quelloffen und auf jedem Betriebssystem. Mit den 10 Schritten dieser Anleitung erstellen Sie in einer halben Stunde einen verschlüsselten Container, der Ihre Daten bei Diebstahl, Verlust oder Entsorgung zuverlässig schützt. Die wichtigsten Regeln: Laden Sie nur von veracrypt.fr, prüfen Sie die Signatur, wählen Sie eine starke Passphrase und erstellen Sie Backups von Passwort, Header und Rescue Disk.
Für den Einstieg genügt ein einfacher AES-Container. Wer mehr Schutz braucht, wächst mit versteckten Volumes, Keyfiles und voller Systemverschlüsselung mit. So oder so gilt: Eine verschlüsselte Festplatte ist eine der wirksamsten und günstigsten Sicherheitsmaßnahmen überhaupt. Beginnen Sie heute, denn nach einem Verlust ist es zu spät.
Related Coverage
- Passwortsicherheit: starke Passwörter, Hashing und 2FA
- SHA-256 erklärt: So funktioniert es
- Was ist eine Hashfunktion? So funktioniert Hashing
- HTTPS und TLS: Wie das Schloss im Browser Sie schützt
- Datenlecks: Wie sie entstehen und wie Sie sich schützen
- SSH-Key erstellen: ed25519 in 12 Schritten
- Hashing und Kryptographie erklärt (Übersicht)
Externe Quellen: VeraCrypt Projektseite, VeraCrypt Release Notes, VeraCrypt Dokumentation, OSTIF VeraCrypt Audit 2016, NIST zum AES-Standard.
