Sie teilen sich privat oder beruflich einen Rechner mit weiteren Nutzern und wünschen sich für Ihren virtuellen PC einen Extraschutz gegenüber den Mitnutzern. Niemand außer Ihnen soll den Zweit-PC verwenden dürfen und Zugriff auf die Daten in der virtuellen Maschine erhalten. Für dieses Szenario kann Virtualbox seit der Version 6 virtuelle Festplatten gemäß dem Advanced Encryption Standard (AES) mit 128 Bit und 256 Bit verschlüsseln.
Beenden Sie zunächst den virtuellen PC. Öffnen Sie dann per Rechtsklick auf das System und „Ändern“ die Einstellungen. Setzen Sie unter „Allgemein“ und „Festplattenverschlüsselung“ ein Häkchen vor „Festplattenverschlüsselung aktivieren“. Legen Sie ein Passwort fest und wiederholen Sie es. Nun ist der Verschlüsselungsschutz aktiv und ein Start des virtuellen PCs nur nach Eingabe des Festplattenpassworts möglich.
Tarnkappe für den virtuellen PC mit Veracrypt einrichten
Einen Mehrwert gegenüber der eingebauten Verschlüsselung in Virtualbox bietet das kostenlose Chiffrierungs-Tool Veracrypt für Windows 10. Die Freeware versteckt den kompletten virtuellen Windows-PC in einem unauffällig wirkenden Container, der zur Tarnung ein paar unwichtige Dateien enthält. So erhalten weder Familienmitglieder noch Kollegen Kenntnis von der virtuellen Maschine.
Veracrypt erstellt dazu einen verschlüsselten Datentresor mit zwei Zugangspasswörtern und zwei Datenbereichen: einem äußeren zu Tarnzwecken und einem geheimen inneren für den virtuellen PC. Nur Sie selbst wissen, dass es überhaupt einen zweiten Container als Versteck gibt. Der erste Schlüssel öffnet nur den äußeren Tresor. Sie geben ihn ein, wenn Freunde, Kollegen oder Ihr Chef in der Nähe sind und einen Blick auf den Bildschirm erhaschen könnten. Der Schlüssel schaltet nur den Zugang zu den Tarndaten frei – der innere Container mit dem virtuellen PC bleibt unsichtbar. Tippen Sie stattdessen den zweiten Schlüssel ein, wird der innere Container mit der virtuellen Maschine geöffnet. Nach der Nutzung genügen ein paar Klicks, um ihn auszukoppeln und wieder in der Versenkung verschwinden zu lassen.
Veracrypt-Container für den dualen Datentresor erstellen
Installieren Sie Veracrypt und starten Sie das Programm. Mit „Volumen erstellen“ rufen Sie den Assistenten zum Anlegen der Containerdatei auf. Wählen Sie „Eine verschlüsselte Containerdatei“ und gehen Sie mit „Weiter“ zu „Verstecktes VeraCrypt-Volume“ und zu „Kompletter Modus“. Legen Sie mit „Datei“ den Speicherort für die Containerdatei auf Ihrem Rechner fest. Wechseln Sie auf das gewünschte Laufwerk und in einen beliebigen Ordner. Tragen Sie bei „Dateiname“ einen unverfänglichen Namen für den Container ein, etwa „Windows-Backup.ZIP“. Gehen Sie auf „Speichern“, aktivieren Sie „Verlauf nicht sichern“ und wählen Sie „Weiter“.
Als Größe für den äußeren Datenbereich legen Sie mindestens 20 GB fest. Den Speicherplatz teilen sich später die Tarndateien und der innere Datenbereich mit dem virtuellen PC. Tippen Sie ein Passwort für den äußeren Datenbereich mit den unwichtigen Dateien ein und bestätigen Sie es. Bewegen Sie die Maus zur Erzeugung von Zufallszahlen, bis sich der Balken grün einfärbt. Bestätigen Sie mit „Formatieren“.
Per Klick auf „Äußeres Volume öffnen“ öffnet Veracrypt ein Explorer-Fenster mit dem äußeren Datenbereich. Öffnen Sie ein zweites Explorer-Fenster und ziehen Sie ein paar beliebige Office-Dokumente und Fotos ins Fenster des äußeren Datenbereichs.
Inneren Datenbereich für den virtuellen PC einrichten
In Veracrypt legen Sie nun den inneren Datenbereich an. Übernehmen Sie dazu die vorgeschlagenen Verschlüsselungsvorgaben. Tippen Sie als Größe einen etwas niedrigeren Wert als die vom Assistenten angezeigte Maximalkapazität ein. Bestätigen Sie mit „Ja“, und legen Sie das zweite Passwort fest. Es schützt den Zugang zur geheimen virtuellen Maschine.
Um Ihren Veracrypt-Container in Windows einzubinden, markieren Sie im Veracrypt-Fenster einen freien Laufwerkbuchstaben. Gehen Sie auf „Datei“, wählen Sie die zuvor erstellte Containerdatei aus, und klicken Sie auf die Schaltfläche „Einbinden“. Nun fragt Veracrypt nach dem Passwort. Von Ihrer Eingabe hängt ab, ob das Tool den äußeren Datenbereich mit den Tarndateien oder den inneren Datenbereich für die virtuelle Maschine einbindet. Da Sie mit der Einrichtung der virtuellen Maschine fortfahren möchten, tippen Sie das Passwort für den inneren Datenbereich ein.
Starten Sie Virtualbox und gehen Sie auf „Neu“. Legen Sie einen virtuellen Windows-PC nach Ihren Vorstellungen an. Die virtuelle Platte speichern Sie auf dem Veracrypt-Laufwerk. Dazu gehen Sie auf den Laufwerksbuchstaben, den Sie in Veracrypt für den Container ausgewählt haben.
Virtuelle PCs: Diese Hardware benötigen Sie
Virtuellen PC aus dem Veracrypt-Container starten
Das Hochfahren des virtuellen PC im Veracrypt-Container erfolgt in zwei Schritten: Binden Sie durch Eingabe Ihres Geheimpassworts in Veracrypt den inneren Datenbereich als Laufwerk ein. Danach starten Sie den virtuellen PC in Virtualbox.
Das Einbinden und Ausklinken des Containers mit der virtuellen Maschine erfolgt im Fenster von Veracrypt – und zwar vor und nach der Nutzung der virtuellen Maschine. Erst nachdem Sie der Containerdatei einen Laufwerksbuchstaben zuweisen und Ihr Passwort für den inneren Datenbereich eingeben, kann Virtualbox auf die virtuelle Festplatte zugreifen und den virtuellen Windows-PC starten.
Warten Sie nach dem Herunterfahren des virtuellen PCs zur Sicherheit etwa 30 Sekunden. In dieser Zeitspanne kann das Betriebssystem des virtuellen PCs alle erforderlichen Daten in die Containerdatei schreiben. Zum anschließenden Ausklinken der Containerdatei mit der virtuellen Platte aus Windows klicken Sie im Veracrypt-Fenster auf den Button „Trennen“.
Schönheitsfehler bei Verwendung von Veracrypt: Zwar macht das Verschlüsselungs-Tool die virtuelle Festplatte unsichtbar und durch die Doppelfunktion der Containerdatei auch unauffindbar. Im Hauptfenster von Virtualbox bleibt der Name des virtuellen PCs jedoch dauerhaft sichtbar. Ein Startversuch der virtuellen Maschine in Virtualbox bei ausgedocktem Veracrypt-Container liefert allerdings nur eine Fehlermeldung. Tarnen Sie den virtuellen PC einfach mit einem neutralen Namen.