VeraCrypt 2026: Komplette Festplatte verschlüsseln – Schritt für Schritt

Von /

Notebook im Café liegengelassen, Reisegepäck am Flughafen verloren, externe SSD beim Umzug verschwunden – Datenträger gehen verloren oder werden gestohlen. Ohne Verschlüsselung bedeutet das: Fremde haben deinen kompletten digitalen Alltag in der Hand. VeraCrypt ist 2026 weiterhin das Tool der Wahl, wenn du Open-Source-Vollverschlüsselung ohne Cloud-Bindung willst. Die aktuelle Version 1.26.27 vom September 2025 bringt nach Jahren Wartezeit endlich Argon2id als Key-Derivation und einen offiziellen C/C++-SDK.

In dieser Anleitung gehe ich Schritt für Schritt durch: VeraCrypt installieren, eine komplette Festplatte verschlüsseln und einen verschlüsselten Container anlegen – plus die Stolperfallen, die mir und anderen schon Daten gekostet haben.

Was VeraCrypt 2026 leistet

VeraCrypt ist der spirituelle Nachfolger von TrueCrypt und wird vom französischen Entwicklerteam IDRIX gepflegt. Drei Anwendungsfälle decken die meisten Szenarien ab:

  • System-Verschlüsselung: Komplette Boot-Festplatte inklusive Betriebssystem – Pre-Boot-Authentifizierung, Windows-only auf Bare Metal.
  • Non-System-Partition / ganze Datenträger: Externe SSD/HDD, USB-Stick, Datenpartition. Plattformübergreifend (Windows, macOS, Linux, FreeBSD).
  • Container-Datei: Ein verschlüsselter „Tresor“ als einzelne Datei, die du mounten kannst. Ideal, um auf einem unverschlüsselten System sensible Dokumente abzulegen.

Die Verschlüsselung läuft on-the-fly: Daten werden beim Schreiben verschlüsselt und beim Lesen entschlüsselt, der Performance-Verlust liegt laut Security Review von 2026 bei unter 5 % auf modernen NVMe-Drives.

Hauptfenster der VeraCrypt-Verschlüsselungssoftware unter Linux
Das VeraCrypt-Hauptfenster: Slot-Liste links, Steuerbuttons unten. Bedienkonzept seit TrueCrypt-Zeiten unverändert (Bild: Wikimedia Commons / JohnWilliamDoe, CC BY-SA 4.0).

Was ist neu in 1.26.27?

  • Argon2id KDF: Endlich eine moderne Key-Derivation, die brute-force-resistent gegen GPU- und ASIC-Angriffe ist. Bei der Volume-Erstellung als „PRF“ auswählbar.
  • C/C++-SDK: Integratoren können VeraCrypt jetzt sauber in eigene Tools einbinden.
  • Screen-Protection: Verhindert Screenshots der Passworteingabe auf supporteten Plattformen.
  • AES-256 mit Argon2id ist der neue Default für die meisten Anwender – schnell auf moderner Hardware, breite kryptografische Analyse.

Schritt 1: Installation

Windows

  • Installer von veracrypt.io/Downloads laden.
  • SHA-256-Prüfsumme gegen die Angabe auf der Website prüfen (oder die signierte PGP-Datei verifizieren).
  • Installer ausführen. „Install“ wählen (statt „Portable“), wenn du Systemverschlüsselung willst.

Linux

Unter Debian/Ubuntu: das offizielle .deb-Paket von veracrypt.io herunterladen. Unter Arch/CachyOS direkt aus dem AUR:

paru -S veracrypt        # GUI + CLI
# alternativ
sudo pacman -S veracrypt # je nach Repo-Verfügbarkeit

macOS

Disk-Image von der offiziellen Seite installieren. macOS-Builds setzen FUSE-T voraus (kein Kernel-Extension-Hack mehr nötig).

Schritt 2: Container-Datei anlegen (Einstieg)

  1. VeraCrypt starten → „Create Volume“.
  2. „Create an encrypted file container“ wählen.
  3. „Standard VeraCrypt volume“ für den Anfang (Hidden Volumes erst, wenn du das Konzept verstanden hast).
  4. Speicherort und Dateinamen festlegen – z. B. ~/Documents/tresor.hc.
  5. Verschlüsselungs-Algorithmus: AES-256, Hash: SHA-512, PRF: Argon2id.
  6. Container-Größe: mit Reserve planen (Container kann nicht wachsen).
  7. Passwort: mindestens 20 Zeichen, idealerweise eine Passphrase aus 6+ zufälligen Wörtern (Diceware). Optional: Keyfile zusätzlich – Sicherheit steigt deutlich.
  8. Mauszufalls-Bewegungen: mindestens bis der Balken voll ist; das speist die Entropie des Volume-Schlüssels.
  9. Dateisystem wählen (FAT für plattformübergreifend, exFAT für große Dateien, ext4 für Linux-only) → „Format“.

Anschließend im Hauptfenster einen Slot wählen, „Select File“, „Mount“, Passwort eingeben – fertig. Der Container erscheint als zusätzliches Laufwerk und du arbeitest mit ihm wie mit einer normalen Partition.

Schritt 3: Externe Festplatte komplett verschlüsseln

  1. Daten von der Zielplatte sichern – die Verschlüsselung formatiert das Gerät.
  2. VeraCrypt → „Create Volume“„Encrypt a non-system partition/drive“.
  3. Standard Volume wählen, dann die Partition oder den ganzen Datenträger auswählen.
  4. Beim Format-Schritt: „Create encrypted volume and format it“ wenn die Platte leer war, sonst „Encrypt partition in place“ (dauert deutlich länger, behält aber Daten).
  5. Algorithmus, Passwort, Mauszufall, Dateisystem – wie beim Container.
  6. Format starten. Bei großen Datenträgern dauert das Stunden – nicht abbrechen, nicht den Rechner schlafen schicken.
VeraCrypt Fortschrittsanzeige bei der Festplattenverschlüsselung
Fortschrittsanzeige beim Verschlüsseln einer Systempartition. Bei 1-TB-HDDs sollte man Geduld mitbringen (Bild: Wikimedia Commons / Steinsplitter, Apache 2.0).

Schritt 4: System-Verschlüsselung unter Windows

Achtung: Vor dem Start ein vollständiges Backup machen und einen UEFI-Recovery-Stick erzeugen. VeraCrypt setzt seinen eigenen Pre-Boot-Loader, der bei Hardware-Problemen das Wiederherstellen schwierig macht – ohne Rescue-Disk verlierst du im schlimmsten Fall alle Daten.

  1. VeraCrypt → „System“„Encrypt System Partition/Drive“.
  2. Normaler Boot-Modus (nicht Hidden OS – das ist Spezialthema).
  3. Algorithmus AES-256, Argon2id-PRF, Passwort wie oben.
  4. Rescue-Disk-ISO erzeugen – auf USB-Stick brennen und sicher verwahren (nicht im selben Rucksack wie das Notebook!).
  5. Pretest: Rechner bootet einmal mit der neuen Pre-Boot-Authentifizierung, ohne tatsächlich zu verschlüsseln. Klappt der Pretest, beginnt VeraCrypt die eigentliche Verschlüsselung im Hintergrund – das System bleibt nutzbar.

Linux-Nutzer greifen für Full-Disk-Encryption zu LUKS2 + cryptsetup (im Installer der meisten Distros direkt verfügbar). VeraCrypt auf Linux ist sinnvoll für externe Datenträger und Container, nicht für die Boot-Partition.

Padlock-Analogie zur asymmetrischen Verschlüsselung
Verschlüsselung als Vorhängeschloss: Ohne Schlüssel (Passwort + Keyfile) bleibt der Inhalt auch für jeden Angreifer mit physischem Zugriff unzugänglich (Bild: Wikimedia Commons, CC BY-SA 4.0).

Best Practices, die dir Daten retten

  • Passphrase niemals digital speichern – ein KeePass-Eintrag auf demselben verschlüsselten Gerät ist nutzlos, wenn du nicht entschlüsseln kannst. Offline-Notiz im Tresor oder bei einer Vertrauensperson.
  • Keyfile zusätzlich nutzen: Datei (z. B. ein zufälliges Bild) auf einem USB-Stick, der nur zum Mounten reingesteckt wird. Brute-force gegen Container ohne Keyfile = praktisch unmöglich.
  • Rescue-Disk getrennt aufbewahren – nicht im Notebook-Rucksack.
  • Header-Backup anlegen: Volume → „Tools“ → „Backup Volume Header“. Ohne Header ist der Container tot, selbst mit Passwort.
  • Hidden Volumes nur, wenn du es brauchst: Sie sind ein Spezialwerkzeug gegen physische Erpressung und können Daten zerstören, wenn der äußere Container beschrieben wird, ohne dass das versteckte gemountet ist.
  • Argon2id wählen, wenn dein Setup das unterstützt – PBKDF2 ist 2026 nicht mehr State of the Art.
  • Trim/Discard auf SSDs verstehen: VeraCrypt deaktiviert TRIM standardmäßig, weil es Informationen über freien Speicher leakt. Wer maximale Performance will, kann es aktivieren – aber bewusst.

VeraCrypt vs. LUKS, BitLocker und FileVault

  • LUKS2 (Linux): tiefer ins System integriert, schneller bei Boot-Disks. Aber Linux-only. Mehr dazu im Kontext der Backup-Strategie: 3-2-1-Backup-Strategie 2026.
  • BitLocker (Windows): komfortabel und nativ, aber proprietär und in der Vergangenheit für TPM-Side-Channel-Lücken kritisiert. Vertraue es, wenn du keinen Threat-Model gegen Microsoft hast.
  • FileVault (macOS): hardware-beschleunigt durch T2/Apple Silicon, mit iCloud-Recovery. Bequem, aber Recovery-Key liegt potenziell bei Apple.
  • VeraCrypt: Open Source, plattformübergreifend, keine Hersteller-Abhängigkeit. Etwas mehr Tooling-Aufwand, dafür volle Kontrolle.

Häufige Fehler

  • Passwort vergessen: Es gibt keinen Recovery-Mechanismus. Das ist Feature, nicht Bug.
  • Container im Cloud-Sync-Ordner: Dropbox/OneDrive synchronisieren den ganzen Container bei jeder Änderung neu. Resultat: massive Upload-Last und potenzielle Konflikte. Lieber kleine Container für nur die Dateien, die du synchronisieren willst.
  • Festplatte beim Verschlüsseln vom Strom getrennt: Beendet die Verschlüsselung in einem inkonsistenten Zustand. Unterbrechungsfreie Stromversorgung oder Notebook am Netz nutzen.
  • Rescue-Disk nie getestet: Mache mindestens einmal einen Test-Boot von der Rescue-Disk, solange das System noch läuft.

Zusatztipp: Datenschutz beim Surfen

VeraCrypt schützt Daten im Ruhezustand – auf der Platte. Was du online sendest, ist davon unberührt. Wer beides absichern will, kombiniert Festplattenverschlüsselung mit einem VPN. Datenschutz-Puristen greifen zu Mullvad oder IVPN (siehe Mullvad vs. Proton vs. IVPN 2026); wer eine einsteigerfreundliche Alternative mit gutem Tooling sucht, kann zu NordVPN* greifen – inklusive Threat Protection gegen Malware- und Phishing-Domains.

*Affiliate-Link: Schließt du über diesen Link ein Abo ab, erhalten wir eine kleine Provision – für dich bleibt der Preis gleich.

Fazit

VeraCrypt 1.26.27 ist 2026 weiterhin der Goldstandard für plattformübergreifende Open-Source-Verschlüsselung. Argon2id als KDF schließt die größte konzeptionelle Schwäche der letzten Jahre. Mit einer starken Passphrase, optionalem Keyfile und einer abseits aufbewahrten Rescue-Disk hast du innerhalb einer Stunde eine externe Platte oder einen Container, der ohne deine Mitwirkung nicht zu öffnen ist – nicht einmal von Behörden mit Standardmitteln.

Setzt du VeraCrypt, LUKS, BitLocker oder eine Kombination ein? Schreib es in die Kommentare – besonders Erfahrungen mit Argon2id auf älterer Hardware lese ich gerne.

Ähnliche Beiträge

Schreibe einen Kommentar

Nach oben scrollen