Das teure Handy ist oft schneller weg, als einem lieb ist. Ob Diebe oder die eigene Schusseligkeit, mit den passenden Verschlüsselungs-Apps sind wenigstens Ihre vertraulichen Daten sicher.
Seit Android 3.0 (Honeycomb) ist es möglich den Speicher eines Android-Handys oder -Tablets vollständig verschlüsseln zu lassen, auch in Version 4.0 (Ice Cream Sandwich) ist diese Funktion standardmäßig enthalten. Durch die Verschlüsselung können Unbefugte nicht mehr auf die Daten des verschlüsselten Geräts zugreifen, so lange das Gerät nicht im laufenden Zustand in die Hände der Datendiebe kommt.
Einmal verschlüsselt, kann das Gerät jedoch nur noch durch einen Werksreset wieder vollständig aufgesperrt werden. Dedizierte Lösungen für Teilbereiche wie etwa Passwort-Safes oder verschlüsselte Container sind daher oft besser geeignet und auch für Androiden mit älteren Android-Versionen verfügbar.
Aus- und einpacken
Statt das gesamte Gerät zu verschlüsseln, wird auf der Speicherkarte ein verschlüsselter Container eingerichtet der sensible Dokumente aufnimmt. Eine einfache Möglichkeit dafür bietet Apps wie etwa SecretVaultPro [1], es verwaltet ein Verzeichnis dessen Inhalt von der App verschlüsselt wird.
SecretVaultPro
Die Einrichtung ist denkbar einfach, Sie tippen auf Create Vault und geben ein Kennwort ein und das war es auch schon, der verschlüsselte Ordner heißt fest SecretVaultPro. Die Arbeitsweise der App ist ebenfalls äußerst einfach gestrickt. Ist der Container geöffnet, befinden sich die Daten in dem Verzeichnis SecretVaultPro auf der Speicherkarte. Schließt man den Container, wird der Inhalt des Verzeichnis in eine Datei SecretVaultPro.encrypted wieder verschlüsselt und das Verzeichnis anschließend gelöscht.
Dieser sehr simple Mechanismus funktioniert ohne Root-Rechte auf jedem Androiden, das Ver- und Entschlüsseln dauert aber natürlich und wenn Sie den Container nicht schließen bleiben die Dateien auch über einen Neustart oder Absturz hinweg offen auf der SD-Karte liegen. Auch ließen sich die gelöschten Dateien ohne Probleme mit gängigen Datenrettungsprogrammen wieder rekonstruieren, lassen solche App daher lieber gleich links liegen.
Container
Nun ist Android ein Linux-System und Linux bringt die nötigen Mechanismen für eine sichere Verschlüsselung schon mit. Sie arbeitet wesentlich schneller und ohne aufwändiges aus- und wieder einpacken der Daten, sondern direkt in einem verschlüsselten Container. Allerdings können Sie sie unter Android die dafür notwendigen Apps nur mit Root-Rechten nutzen.
LUKS Manager
Der Mechanismus in Linux heißt LUKS, er ist auch im Android-Kernel enthalten. Sie brauchen mit dem LUKS Manager [2] jedoch eine App, mit dem Sie den Container verwalten können. Die App dient nur zum erstmaligen Anlegen des Containers und danach nur noch als Schlüssel, um ihn zu Öffnen bzw. wieder sicher zu Verschließen. Die eigentlichen Zugriffe auf die verschlüsselten Daten werden im Hintergrund vom Kernel erledigt.
Mit Create starten Sie das Anlegen eines neuen Containers. Als erstes wählen Sie ein Verzeichnis aus, in ihm wird nur die Container-Datei angelegt. Der Ort ist egal, ein dediziertes Verzeichnis für alle Ihre Container bietet sich aber an, damit die Datei nicht versehentlich gelöscht wird. Anschließend vergeben Sie dem Container einen beliebigen Namen, die Containerdateien bekommen den Dateinamen Containername.vol also etwa Tresor.vol. Wird der Container gemountet, also geöffnet, erscheint er im Hauptverzeichnis der Speicherkarte als Verzeichnis mit dem Containernamen.
Anschließend legen Sie das Kennwort und Größe des Containers fest, die sich im nachhinein nicht mehr verändern lässt. Der Container wird unmittelbar in der angegeben Größe auf der Speicherkarte angelegt, daher sollten Sie an dieser Stelle wie viel Platz für verschlüsselte Daten Sie benötigen. Wählen Sie die Kapazität des Containers groß genug für die aktuellen Daten plus etwas Reserve, Bei Bedarf können Sie immer noch einen größeren Container anlegen und die Dateien in ihn verschieben, alternativ legen Sie einfach weitere Container an.
Die letzte Frage betrifft das Dateisystem, das innerhalb des Containers verwendet werden soll. Das auch auf der Speicherkarte selbst verwendete FAT Dateisystem oder das Linux-Dateisystem Ext2. Wollen sie eventuell später von Windows aus auf die Daten im Container zugreifen – Dazu können Sie z.B. auf FreeOTFE [3] zurückgreifen – sollten Sie hier FAT auswählen. Da Sie vom PC aus nicht auf die Speicherkarte zugreifen können, während das Handy den Container geöffnet hat, ist es ratsam sich diese Möglichkeit offen zu halten.
Anschließend wird der Container vom LUKS Manager angelegt und gemountet, er erscheint als Verzeichnis mit Namen des Containers im Hauptverzeichnis der Speicherkarte unter /sdcard. Das Verzeichnis ist nur dann sichtbar, wenn der Container auch geöffnet ist. Sie können nun das verschlüsselte Verzeichnis genauso nutzen, wie jedes Andere auch. Einmal aufgesperrt, verhält sich der LUKS-Ordner wie ein normales unverschlüsseltes Verzeichnis.
Um den Container später zu verwalten greifen Sie wieder auf den LUKS Manager zurück. Dort Öffnen Sie Ihre Container mit Mount, oder verschließen Sie wieder mit Unmount. Der Manager kann anschließend geschlossen werden, das Ver- und Entschlüsseln übernimmt der Linux-Systemkern von Android transparent im Hintergrund.
Schlüsselbund
Wenn Sie gar keine Dateien verschlüsseln wollen, sondern nur Ihre PIN oder Kennwörter sicher speichern, ist ein ganzer Container zu viel Aufwand und unnötig. Das oben erwähnte SecretVaultPro bringt auch einen verschlüsselten Kennwortspeicher mit, er ist aber nur eine Nebenfunktion und zudem nur auf dem Gerät selbst zugänglich.
KeePassDroid
Besser geeignet für diesen Zweck ist KeePassDroid, die freie Software gibt es für praktisch jedes Betriebssystem und selbst für Java-fähige herkömmliche Handys. So kann man seine Datenbankdatei auf jedem erdenklichen Gerät sicher verwalten.
In der App speichern Sie Ihre On- und Offline-Passwörter zusammen mit Ihren Zugangsdaten sicher vor dem Zugriff von Unbefugten. Da die Datei selbst im Ganzen verschlüsselt wird, benötigt sie zum Schutz keinen sicheren Container und kann bedenkenlos auch in der Cloud gespeichert werden.
Cloudspeicher
Clouddienste erfreuen sich einer steigenden Beliebtheit, sehr verbreitet ist zum Beispiel der amerikanische Dienst Dropbox. Eine verschlüsselte Datei wie die KeePass-Datenbank kann man dort bedenkenlos speichern, für unverschlüsselte Daten, auf die Sie von überall aus Zugriff haben möchten, bedarf es aber einer sicheren Speichermethode.
BoxCryptor
Um auch Sie sicher in der Dropbox ablegen zu können, gibt es die Software BoxCryptor [5]. Sie verwendet das aus der Linux-Welt stammende EncFS, um die Dateien einzeln zu verschlüsseln. Dadurch wird Datenvolumen gespart, da nur die Dateien selbst und nicht jedesmal der gesamte Container übertragen werden müssen.
Beim ersten Start muss BoxCryptor mit dem eigenen Dropbox-Account verbunden werden, anschließend suchen Sie entweder einen schon angelegten verschlüsselten Ordner in Ihrer Dropbox heraus oder legen einen neuen an. BoxCryptor gibt es auch für Windows und MacOS um auch von dort auf die verschlüsselten Daten zugreifen zu können; Linux kann von Haus aus mit EncFS umgehen.
Auf welchem System Sie den verschlüsselten Ordner anlegen ist egal, nur Linux-Nutzer sollten ihn im Android-Client anlegen oder im amerikanische Blog Web Upd8 [6] nachlesen, denn BoxCryptor verwendet andere Parameter als Linux. Ein unter Linux mit Standardwerten angelegtes Verzeichnis, kann von BoxCryptor nicht verwendet werden.
Das Anlegen des verschlüsselten Online-Speichers ist davon abgesehen aber einfach: Ein Verzeichnisname und ein Kennwort wollen festgelegt werden, das reicht. Um nun auf Ihre Dateien zugreifen zu können, starten Sie den BoxCryptor-Client auf dem Androiden, dort bekommen Sie direkt den aktuellen Stand in der Dropbox angezeigt.
Die Dateien werden dabei nur bei Bedarf heruntergeladen und geöffnet und nicht lokal synchronisiert. Dadurch müssen Sie sich keine Gedanken über eine lokale Verschlüsselung machen, sie haben aber auch nur Online Zugriff auf die Dateien, ein Offlinemodus ist aber in Planung.
Die kostenlose Version von BoxCryptor bietet nur lesenden Zugriff auf die verschlüsselten Daten und das auch nur zwei Ebenen tief. Die Vollversion [7] besitzt diese Beschränkungen nicht und kann auch den Zugriff auf das Programm mit einer PIN schützen.
Sichere Kommunikation
Für signierte und/oder verschlüsselte E-Mail wird meist PGP oder S/MIME verwendet, für beide Verfahren finden Sie Lösungen für Android im Google Play Store. Für PGP verschlüsselte E-Mails gibt es die App APG. APG signiert und verschlüsselt grundsätzlich jede Datei, es kann also auch verwendet werden um Dokumente zu verschlüsseln. Für das S/MIME Verfahren, das z.B. Evolution und Outlook von Haus unterstützen, gibt es für Android mit Djigzo ein E-Mail Programm das das versenden von signierten oder verschlüsselten E-Mails übernimmt
APG
Für eine transparente Nutzung zur Ver- und Entschlüsselung Ihrer E-Mails, muss APG [8] fest in das E-Mail Programm integriert werden. Diese bietet derzeit allerdings nur die kostenlose E-Mail App K-9 Mail [9]. In K-9 können Sie PGP in der Inline-Variante wie auf dem PC gewohnt nutzen. Die Attachment-Variante wird momentan nicht unterstützt.
Um PGP mit APG in anderen E-Mail Programmen nutzen zu können ist aktuell leider etwas Handarbeit nötig. Sie müssen die zu verschlüsselten Daten (Text oder Dateien) als Datei speichern, mit APG verschlüsseln und diese verschlüsselte Datei dann an Ihre E-Mail anhängen.
Djigzo
Zum Abrufen und Schreiben von unsignierten E-Mails verwenden Sie weiterhin Ihr gewohntes Programm, nur zum Senden von S/MIME signierten oder verschlüsselten E-Mails müssen Sie Djigzo verwenden. Um eine verschlüsselte E-Mail lesen zu können, öffnen Sie sie ganz normal mit Ihrem E-Mail Programm und laden dort das verschlüsselte Attachment smime.p7m mit Djigzo.
Djigzo kann vorhandene S/MIME Zertifikate importieren und übernimmt auch automatisch die Zertifikate, die an empfangenen E-Mails hängen. Der Wizard beim ersten Programmstart erstellt Ihnen auch automatisch ein selbstsigniertes Zertifikat, sofern sie ihn nicht abbrechen.
