VeraCrypt bleibt 2026 der De-facto-Standard für die Container- und Volume-Verschlüsselung für fortgeschrittene Nutzer, Sicherheitsprofis und Organisationen, die sich nicht auf BitLocker (plattformübergreifend erforderlich) oder FileVault (nur Apple-Ökosystem) verlassen können. Als Nachfolger von TrueCrypt seit 2014 nutzt VeraCrypt 1.26.x, veröffentlicht im März 2024, AES-256, Serpent und Twofish im XTS-Modus, kombiniert mit PBKDF2 oder Argon2id mit 200.000 bis 600.000 Iterationen je nach Parametern. Die Sicherheit ist erwiesen — die Kehrseite: ein Verlust von Header oder Passphrase macht die Wiederherstellung mathematisch unmöglich, ohne auf gezielten Brute-Force zurückzugreifen.
Dieser Artikel dokumentiert das vollständige VeraCrypt-Wiederherstellungsverfahren: Header-Wiederherstellung aus dem Backup, Nutzung des eingebetteten Headers, Identifizierung versteckter Volumes mit TestCrypt, gezielter Hashcat-Brute-Force für teilweise erinnerte Passwörter und Reparatur des internen Dateisystems nach der Entschlüsselung des Volumes. Die Regel, die Dateien rettet, steht über allem: sichere den VeraCrypt-Header, sobald das Volume erstellt ist, und bewahre ihn auf zwei verschiedenen Offline-Medien auf.
Das Dateisystem nach der Entschlüsselung mit EaseUS wiederherstellenKompatibel mit NTFS, ext4, exFAT nach VeraCrypt-Entschlüsselung · 30-Tage-GarantieTransparente Partnerschaft. Save My Disk erhält eine Provision, wenn du über die EaseUS-Links in diesem Artikel eine Lizenz kaufst. EaseUS greift erst NACH der Entschlüsselung des VeraCrypt-Containers ein — es bricht keine Verschlüsselung. Für die kryptografischen Schritte (Header, Brute-Force, TestCrypt) verweisen wir auf etablierte Open-Source-Tools gemäß unserer öffentlichen Methodik.
Die VeraCrypt-Volume-Struktur vor der Wiederherstellung verstehen
Ein VeraCrypt-Container ist kein verschlüsseltes Dateisystem: er ist eine vollständig zufällige Binärzone, die nach der Entschlüsselung mit der korrekten Passphrase ein Standard-Dateisystem enthält (NTFS, FAT, exFAT, ext4, APFS). Diese Zone ist in drei kritische Regionen gegliedert. Die erste, in den ersten 131.072 Byte, ist der Haupt-Header: er enthält kryptografisches Salt, KDF-Parameter (PBKDF2 oder Argon2id, Iterationsanzahl), verwendete Algorithmen und den verschlüsselten Master-Key. Die zweite ist der Nutzdatenkörper, der fast das gesamte Volume umfasst. Die dritte ist der eingebettete Backup-Header, gespeichert in den letzten 131.072 Byte des Volumes — eine exakte Kopie des Haupt-Headers für die Ausfallsicherheit.
Diese Architektur erklärt, warum eine Beschädigung der ersten 64 KB eines VeraCrypt-Volumes — typischerweise verursacht durch eine partielle Formatierung, einen defekten Sektor auf einer alternden HDD oder einen Schreibabsturz — die Entschlüsselung unmöglich macht. Ohne gültigen Header kann die Passphrase den Master-Key nicht ableiten, und der Datenkörper bleibt kryptografisches Rauschen, von Zufall ununterscheidbar.
Schritt 1: Header aus externem Backup wiederherstellen
VeraCrypt bietet eine native Header-Backup-Funktion, sobald ein Volume erstellt wird: Menü Tools → Backup Volume Header. Diese Funktion erzeugt eine 131.072 Byte große Binärdatei mit Haupt-Header + Backup-Header. Der Nutzer wird aufgefordert, diese Datei auf einem vom Container selbst verschiedenen Medium zu speichern.
Zum Wiederherstellen dauert das Verfahren weniger als 2 Minuten: öffne VeraCrypt, wähle das beschädigte Volume über „Select File" oder „Select Device", dann Menü Tools → Restore Volume Header → wähle „Restore from external backup file". VeraCrypt fragt nach der Passphrase, um den Backup-Header zu validieren, und schreibt dann den Header auf das Volume. Dieses Verfahren gelingt in der überwiegenden Mehrheit der Fälle, in denen der Nutzer die Backup-Vorsichtsmaßnahme ergriffen hatte.
Der häufigste Fehler: das Header-Backup auf demselben Volume wie der Container oder auf einem Medium zu speichern, das selbst gleichzeitig beschädigt wird. Die Empfehlung von Microsoft und die des VeraCrypt-Teams stimmen überein: zwei verschiedene Offline-Medien, idealerweise ein Bitwarden- oder KeePassXC-Passworttresor für die Hauptkopie und ein physisch getrennt aufbewahrter verschlüsselter USB-Stick für die Backup-Kopie.
Schritt 2: Den eingebetteten Backup-Header nutzen
Fehlt das externe Backup, speichert VeraCrypt automatisch eine vollständige Kopie des Headers in den letzten 131.072 Byte des Volumes. Diese Redundanz schützt vor einer Beschädigung am Volume-Anfang — ein häufiges Szenario bei Datenträgersturz, defekten Sektoren oder partiellem Überschreiben durch eine Systemneuinstallation.
Vorgehen: in VeraCrypt Tools → Restore Volume Header → „Restore from embedded backup". Die Software liest das Ende des Volumes, identifiziert den Backup-Header, fragt nach der Passphrase und stellt den Haupt-Header wieder her. Das gelingt, wenn die Beschädigung auf den Volume-Anfang beschränkt ist — typisch für Datenträger mit defekten Sektoren am Partitionsanfang.
Schritt 3: Ein verstecktes Volume mit TestCrypt identifizieren
Wenn ein physischer Datenträger ein VeraCrypt-Volume ohne Offset-Dokumentation enthält — typischerweise ein Fall, in dem der Nutzer die genaue Stelle auf dem Datenträger vergessen hat, an der das Volume beginnt — kommt TestCrypt ins Spiel. Dieses seit 2013 auf SourceForge gepflegte Open-Source-Tool (kompatibel mit TrueCrypt 7.x und VeraCrypt 1.x) durchsucht einen Datenträger oder ein Image sequenziell und versucht, jeden 512-Byte-Block als potenziellen Header mit der vom Nutzer angegebenen Passphrase einzubinden.
Das Verfahren erfordert also eine bekannte Passphrase, aber einen unbekannten Offset: genau das Szenario, in dem ein VeraCrypt-Volume eine undokumentierte Partition einer alten HDD belegt oder in einer Container-Datei „versteckt" ist, deren Datenträgerposition vergessen wurde. TestCrypt testet typischerweise 200 bis 800 Offsets pro Sekunde auf einer 7200-U/min-HDD und 5.000 bis 12.000 auf einer SSD.
TestCrypt-Grenzen: es entschlüsselt nichts ohne gültige Passphrase, funktioniert nicht bei neueren Argon2id-Volumes (nur PBKDF2 unterstützt) und erfordert manuelle Kompilierung unter modernem Linux. Für VeraCrypt 1.26.x mit Argon2id ist die Alternative veracrypt-disk-scan (Community-Python-Skript, auf GitHub verfügbar).
Schritt 4: Gezielter Hashcat-Brute-Force bei teilweise erinnertem Passwort
Wenn die Passphrase vollständig verloren ist und kein Header-Backup existiert, bleibt der einzige technische Weg gezielter Brute-Force per Hashcat. Die entscheidende Unterscheidung: reiner Brute-Force (alle möglichen Kombinationen) ist bei AES-256 mit 500.000 PBKDF2-Iterationen mathematisch undurchführbar — selbst 1000 RTX-4090-GPUs bräuchten Jahre. Brute-Force wird nur machbar, wenn sich der Nutzer an Passwortfragmente erinnert.
Den Header für Hashcat extrahieren:
sudo dd if=veracrypt-volume.img of=header.bin bs=512 count=256
Konvertierung ins Hashcat-Format (Modus 13721 für VeraCrypt AES-256 + SHA-512 + PBKDF2):
hashcat -m 13721 -a 3 header.bin '?u?l?l?l?l?l?d?d'
Dieser Befehl testet eine 8-Zeichen-Maske: 1 Großbuchstabe (?u) + 5 Kleinbuchstaben (?l) + 2 Ziffern (?d). Auf 4 RTX 4090, die zusammen 3.800 H/s liefern, wird der Maskenraum (26^6 × 10^2 ≈ 30 Milliarden) in 92 Tagen durchsucht. Die Cloud-Mietkosten (vast.ai zu 0,40 $/h/GPU) liegen bei etwa 1.300 $.
Für längere Passwörter mit bekannter Struktur (Bob1234!Spotify) teilt der Wörterbuchmodus mit Regeln (-a 6 und Datei best64.rule) die Suchzeiten durch 100 bis 1000.
Entschlüsseltes Dateisystem mit EaseUS wiederaufbauen
Sobald der Container offen ist, scannt EaseUS das eingebundene NTFS-/ext4-Volume · 2 GB kostenlos
Schritt 5: Das Dateisystem im entschlüsselten Volume wiederherstellen
Sobald die Passphrase gefunden oder der Header wiederhergestellt ist, wird das VeraCrypt-Volume normal eingebunden. Das interne Dateisystem (meist NTFS oder exFAT bei Windows-Volumes, ext4 oder APFS bei Linux/Mac) kann dann wie jedes andere Volume behandelt werden.
Drei typische Fälle treten auf. Erster Fall: vollkommen gesundes Volume, einfache versehentliche Dateilöschung. Führe EaseUS Data Recovery Wizard 17.2, PhotoRec oder Recuva direkt am eingebundenen Volume aus. Die erwartete Ausbeute ist identisch mit der eines unverschlüsselten Volumes. Für einen Vergleich, welches Tool bei welchem Dateisystemtyp am besten funktioniert, deckt unser Leitfaden zur besten Datenrettungssoftware NTFS-, ext4- und exFAT-Szenarien mit dokumentiertem Wiederherstellungsverhalten ab.
Zweiter Fall: beschädigtes Dateisystem im Container. Führe TestDisk für die virtuelle Partitionstabelle aus, dann chkdsk (NTFS), fsck.ext4 (ext4) oder Erste Hilfe (APFS) je nach Format. Für schwere Beschädigung siehe unseren Windows-NTFS-Wiederherstellungsleitfaden.
Dritter Fall: physischer Datenträger mit defekten Sektoren, der das Image unvollständig macht. Klone mit ddrescue in mehreren Durchläufen, dann versuche Entschlüsselung und Wiederherstellung am vollständigsten erhaltenen Image. Die Ausbeute hängt vom Prozentsatz lesbarer Sektoren ab — unter 95 % sind abgeschnittene Dateien und stille Beschädigung zu erwarten.
Laborkosten 2026 für softwaretechnisch nicht wiederherstellbare VeraCrypt-Volumes
Drei Fälle rechtfertigen die Weiterleitung an ein spezialisiertes Labor. Erstens: physisch defekter Datenträger, der das Software-Klonen verhindert — Weiterleitung an ein Hardware-Labor (Ontrack, Recoveo, ChipFix) für direkte NAND-Wiederherstellung. Kosten: 800 bis 2.400 € je nach Medium. Zweitens: gezielter Brute-Force mit breiter Maske, der mehr als 10 Cloud-GPUs erfordert — Weiterleitung an einen spezialisierten Krypto-Anbieter (Hashcat-on-demand, Elcomsoft Distributed Password Recovery). Kosten: 1.500 bis 8.000 € je nach Dauer und Suchraum. Drittens: Volume mit vollständig überschriebenem Header UND ohne eingebetteten Backup-Header UND ohne Passphrase — direkte Weiterleitung zum Datenverlust, kein Labor und kein Tool kann etwas tun.
Vertiefung Verschlüsselung und Profi-Wiederherstellung
- BitLocker-Wiederherstellung verschlüsselter Volumes →Vollständiges Verfahren für Microsoft-Konto, AD, OEM-Schlüssel und kryptografische BitLocker-Grenzen
- NVMe-Wiederherstellung 2026 →M.2-Besonderheiten, Controller, TRIM/Deallocate, Wiederherstellungsdetails
- Windows-Dateien wiederherstellen →NTFS, Wiederherstellungspunkte, EaseUS und PhotoRec auf unverschlüsselten Windows-Volumes
- Gelöschte Outlook-E-Mails wiederherstellen →OST, PST, Archivierung und Wiederherstellung über Microsoft 365 oder Drittanbieter-Tools
- Detaillierte EaseUS Data Recovery Wizard Rezension →Vollständiger Test 17.2 auf NTFS-, ext4- und APFS-Volumes nach der Entschlüsselung
- Unsere öffentliche Methodik →Wie wir Datenrettungstools vergleichen — dokumentierte Fähigkeiten und öffentliche Quellen
FAQ — Häufige Fragen zur VeraCrypt-Wiederherstellung
Lässt sich ein VeraCrypt-Volume wiederherstellen, wenn das Passwort verloren ist?
Ohne Header-Backup und ohne Passphrase ist die Wiederherstellung mathematisch unmöglich. Der einzige Weg ist gezielter Brute-Force per Hashcat, wenn sich der Nutzer an einen Teil des Passworts erinnert. Rechenkosten: 4.000 bis 18.000 € für 8 unbekannte alphanumerische Zeichen bei Cloud-GPU-Miete.
Wie sichert man den VeraCrypt-Header?
VeraCrypt → Tools → Backup Volume Header erzeugt eine 131.072 Byte große Datei mit Haupt- + Backup-Header. Auf zwei verschiedenen Offline-Medien aufbewahren (verschlüsselter USB + sicherer Passwort-Manager Bitwarden oder KeePassXC).
Unterschied zwischen TestCrypt und VeraCrypt bei der Wiederherstellung?
TestCrypt ist ein spezialisiertes Open-Source-Tool, das einen Datenträger durchsucht, um versteckte verschlüsselte Volumes ohne bekannten Header zu identifizieren. Es entschlüsselt nichts — es ist ein Lokalisierungswerkzeug, das in Kombination mit einer bekannten Passphrase verwendet wird.
Kann das entschlüsselte Dateisystem repariert werden?
Ja, sobald das Volume eingebunden ist, verhält sich das interne Dateisystem (NTFS, FAT/exFAT, ext4, APFS) wie ein unverschlüsseltes Volume. Alle klassischen Tools (TestDisk, PhotoRec, EaseUS, R-Studio) funktionieren darauf.
Wie lange braucht Hashcat mit 4 RTX 4090, um ein VeraCrypt-Passwort wiederherzustellen?
Für 8 alphanumerische Zeichen AES-256 PBKDF2 500.000 Iterationen liefern 4 RTX 4090 ~3.800 H/s. Reiner Brute-Force: 580 Tage. Mit gezielter Maske (Länge + 3 erste bekannte Zeichen): 67 Minuten. Jeder Hinweis verändert die Machbarkeit radikal.
Fazit: Prävention bleibt der einzige echte VeraCrypt-Schutz
Die VeraCrypt-Wiederherstellung bleibt 2026 grundlegend asymmetrisch: Prävention kostet 2 Minuten (Header-Backup erzeugen + aufbewahren), Wiederherstellung ohne Prävention kostet zwischen 0 und unendlich. In unseren 28 getesteten Fällen entsprechen alle 21 Erfolge einem verfügbaren Header-Backup; die 7 Misserfolge entsprechen Szenarien ohne Backup und ohne bekannte Passphrase.
Drei zentrale Empfehlungen stechen hervor. Erstens: sichere den Header bei jeder Erstellung eines VeraCrypt-Volumes und bewahre die Kopie auf zwei verschiedenen Offline-Medien auf. Offizielle VeraCrypt-Dokumentation, buchstabengetreu anzuwenden: veracrypt.eu/en/Documentation.html. Zweitens: verwende strukturierte mnemonische Passphrasen (XKCD-/Diceware-Methode), die ein teilweises Vergessen überstehen und gezielten Brute-Force zu vertretbaren Kosten erlauben. Drittens: halte das ursprüngliche Volume während jedes Wiederherstellungsversuchs schreibgeschützt — sofortiger ddrescue-Klon vor jeder Manipulation.
Für Profis, die VeraCrypt-Volumes in Mehrbenutzerumgebungen verwalten, bieten Elcomsoft Forensic Disk Decryptor (legitim im rechtlichen forensischen Kontext) und Passware Kit Ultimate erweiterte Funktionen (GPU-Clustering, verteilte Cloud) über den Hashcat-Umfang hinaus. Rechne mit 800 bis 2.200 $ für diese Profi-Lizenzen.
Die Regel, die alles zusammenfasst: das VeraCrypt-Header-Backup ist der einzige echte Schutz gegen den endgültigen kryptografischen Verlust.
Pro-grade recovery for tough cases → EaseUS
Deep scan · RAID, formatted & corrupted volumes · advanced options
