Guten Tag,
ich habe ein paar Fragen zur Festplattenverschlüsselung unter Linux:

1. Wenn ich ein und denselben Datensatz einmal verschlüsselt und einmal unverschlüsselt speichere, ist dann der verschlüsselte oder unverschlüsselte Datensatz anfälliger für Datenverlust? Oder anders ausgedrückt: Haben die verwendeten Verschlüsselungsalgorithmen eine integrierte Fehlerkorrektur?

2. Ist es sinnvoller, die gesamte Festplatte zu verschlüsseln oder nur einige Partitionen?

3. Wie kann ich eine externe Festplatte oder interne Datenpartition so verschlüsseln, dass sie sowohl von Windows als auch von Linux problemlos entschlüsselt werden kann?

(1) anfälliger für Datenverlust ist der verschlüsselte Datensatz. Zum einen darf Dir der Schlüssel nicht verlorengehen, zum anderen sind korrupte Daten (z.B. durch Bitdreher) ein Todesurteil.
Für die Fehlerkorrektur ist das Speichermedium zuständig - der Algorithmus kann (und darf) das nicht leisten.

(2) kommt drauf an (Sicherheitsanforderungen, Flexibilität, "Verschlüsselungswürdigkeit" der jeweiligen Daten, Performance-Anforderungen, ...)

(3) indem Du ein System verwendest, welches von beiden unterstützt wird (sei's nativ, durch ded. Software, ...)

zu 3 auch noch: Ich würde FAT als Dateisystem nehmen, können beide lesen, alternativ noch ntfs

(2) Es ist leider immer noch nicht ganz einfach eine komplette Platte zu verschlüsseln, wenn von dieser auch gebootet wird. Viele Linuxe bieten da inzwischen Hilfestellung bei der Installation an. Meine Erfahrung war bzw ist, dass man da alles auf Standard lassen muss, sonst klappt das Setup nicht (war Linux Mint, Installation war 2015, ist bis heute in Betrieb). Da ist es so, dass die Boot Partion nicht verschlüsselt ist, so dass einfach gebootet werden kann. Das ist bis heute ein sehr übliches Setup.
Es ist mMn nicht sinnvoll, TPM zu verwenden, Windows bzw Bitlocker macht das, da ist es so, dass die ganze Platte verschlüsselt ist, zum Booten werden dann Teil aus dem TPM geladen, um den eingegebenen Schlüssel zu prüfen, da ist ein recht großer Angriffsvektor - https://blog.fefe.de/?ts=9ff853a9

Ich empfehle dir also Partitionen zu verschlüsseln, oft reicht es aber auch, wenn man eine "Datei" verschlüsselt, die wird dann als virtuelle Festplatte verwendet. Das kann man noch ineinander schachteln, so dass es zB nicht mehr so schlimm ist wenn irgendwas aus den TPM Zeug gelesen wird bzw man einiger maßen sicherist, dass der Inhalt nicht ohne weiteres von anderen gelesen werden kann - es gibt ja auch viele System, wo man nicht allein drauf ist - NAS usw.


(3)Da ist mMn VeraCrypt Mittel der Wahl, da es überall läuft und es gab auch mal ein Audit - https://heise.de/-4616573
Bei Windows kann man inzwischen mit WSL2 auf Linux Dateisysteme zugreifen, auch auf verschlüsselte - https://devblogs.microsoft.com/commandline/access-linux-filesystems-in-windows-and-wsl-2/
LUKS ist also nicht raus.

Danke für Eure Antworten. Ist Datenverlust durch Verschlüsselung in der Praxis ein Problem oder ist das eher theoretischer Natur? Es wäre dann also sinnvoll, nicht die ganze Festplatte zu verschlüsseln, sondern nur das home-Verzeichnis bzw. Teile davon? Ich habe VeraCrypt immer zur Datensicherung auf externen Festplatten und DVDs verwendet.

Welche Sicherheitsstandards für Datenverschlüsselung gibt es denn für Firmen und werden diese Standards auch wirklich eingehalten und kontrolliert? Wenn man mal wieder liest, dass es irgendwo einen Hackerangriff gab oder Daten "geleakt" sind, was heißt das dann im Detail? Hat der Systemadministrator schlampig gearbeitet, die Firma zu wenig in ihre IT-Infrastruktur investiert oder hat sie Angestellte, die firmeninternes Wissen weitergegeben haben?

"geleakte Daten" sind ein anderes Problem - Du kannst verschlüsseln so viel Du willst - wenn Du Zugriff auf die Daten brauchst müssen sie entschlüsselt werden und stehen dann im Klartext zur Verfügung (und sei es nur temp. im Speicher) - und dann können sie geleakt werden.
Wenn ein Serverprozess Daten braucht - müssen sie entschlüsselt vorliegen und können dann durch den Serverprozess entschlüsselt abgezogen werden (z.B. per SQL-Dump)

Verschlüsselte Daten helfen Dir nur im Falle des Verlustes des Datenträgers, auf dem sie liegen (egal ob SAN, HD, Partition, Container-Datei)

Ob Datenverlust durch Verschlüsselung ein Problem ist - genau so wie Datenverlust generell ein Problem ist. Ob Du von dem Problem betroffen bist merkst Du dann, wenn es Dich betrifftt (so doof der Satz klingt) - im Enterprise-Umfeld dürfte die Thematik vermutlich aber seltener vorkommen als im Home-Umfeld, weil die Infrastruktur "in der Summe" verlässlicher und stabiler arbeitet.

Vielen Dank. Wäre ZFS als Dateisystem für die SSD eines Desktoprechners eine gute Wahl?

Wenn Du BSD verwendest - warum nicht.

Unter Linux würde ich davon abraten. Zugriffe von Windows sind damit auch nicht möglich.

Wieso ist ZFS für Linux nicht zu empfehlen? Wäre F2FS für SSDs unter Linux empfehlenswerter?

FreeBSD ist ein reines Server-Betriebssystem und für Desktops-PCs eher wenig zu gebrauchen, oder?

Ich würde einfach eines der klassischen, langweiligen, abgehangenen Standard-Dateisystem wählen. Der Haltbarkeit von SSDs tut das keinen Abbruch mehr - außer Du willst die SSD so ca. 15-20 Jahre nutzen.

ZFS unter Linux braucht mMn. zu viele Ressourcen, um all seine Feature auspielen zu können - solange Du keinen "fetten Fileserver" damit betreiben willst lohnt sich das nicht.

BSD geht auch als Client - warum nicht?