Wie man einen Ordner mit BitLocker und Alternativen unter Windows verschlüsselt

Der Schutz Ihrer Daten auf dem PC ist nicht optional, sondern unerlässlich. Windows bietet mehrere Sicherheitsebenen, um unbefugten Zugriff auf Ihre Daten zu verhindern – egal ob Ihr Computer gestohlen wird oder jemand von einem anderen System darauf zugreift. Mit integrierten Tools (z. B. der Verschlüsselung eines Ordners mit BitLocker) können Sie… Verschlüsseln Sie Dateien, Ordner, ganze Laufwerke und externe Geräte. mit nur wenigen Klicks.

In diesem Leitfaden finden Sie alles, was Sie zum Verschlüsseln eines Ordners mit BitLocker und anderen Alternativen benötigen. Sie erfahren, welche Windows-Edition Sie benötigen, wie Sie überprüfen, ob Ihr Computer über ein TPM verfügt, wie Sie EFS für einzelne Elemente verwenden und So erstellen und speichern Sie den Wiederherstellungsschlüssel richtigIch erkläre auch, was zu tun ist, wenn Sie kein TPM haben, welchen Algorithmus und welche Schlüssellänge Sie wählen sollten, welche Auswirkungen dies auf die Leistung haben kann und welche Optionen zur Verfügung stehen, wenn Sie beispielsweise einen passwortgeschützten Container/eine ISO-Datei suchen.

Welche Verschlüsselungsoptionen bietet Windows an und worin unterscheiden sie sich?

Unter Windows existieren drei Ansätze nebeneinander:

• GeräteverschlüsselungDer Schutz wird automatisch aktiviert, wenn Ihre Hardware bestimmte Anforderungen erfüllt, und der Wiederherstellungsschlüssel wird nach Ihrer ersten Anmeldung mit Ihrem Microsoft-Konto verknüpft. Er ist in der Regel auch unter Windows Home verfügbar, jedoch nicht auf allen Computern.
• BitLocker, Diese in den Editionen Pro, Enterprise und Education verfügbare Lösung bietet eine vollständige Festplattenverschlüsselung für das Systemlaufwerk sowie weitere interne und externe Laufwerke (BitLocker To Go). Ihr Hauptvorteil besteht darin, dass sie das gesamte Volume durchgängig schützt.
• EFS (Verschlüsselndes Dateisystem), Diese Funktion ist für einzelne Dateien und Ordner konzipiert und mit Ihrem Benutzerkonto verknüpft, sodass nur die Person, die sie verschlüsselt hat, sie über dasselbe Profil öffnen kann. Sie eignet sich ideal für einige wenige vertrauliche Dokumente, ersetzt aber BitLocker nicht für umfassenden Schutz.

So erkennen Sie, ob Ihr Gerät Geräteverschlüsselung und TPM unterstützt

Um die Kompatibilität mit der Geräteverschlüsselung zu prüfen, klicken Sie auf Start, suchen Sie nach „Systeminformationen“, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Als Administrator ausführen“. Suchen Sie in der Systemübersicht den Eintrag „Unterstützung für Geräteverschlüsselung“. Wenn dort „Voraussetzungen erfüllt“ angezeigt wird, ist alles in Ordnung. Wenn hingegen Meldungen wie „Voraussetzungen erfüllt“ angezeigt werden, ist die Kompatibilität nicht gegeben. 'TPM kann nicht verwendet werden', 'WinRE ist nicht konfiguriert' oder 'PCR7-Bindung wird nicht unterstützt'Sie müssen diese Punkte korrigieren (TPM/Secure Boot aktivieren, WinRE konfigurieren, externe Docks oder Grafikkarten beim Booten trennen usw.).

So prüfen Sie, ob ein TPM vorhanden ist: Drücken Sie Windows + X, öffnen Sie den Geräte-Manager und suchen Sie unter „Sicherheitsgeräte“ nach „Trusted Platform Module (TPM)“ in Version 1.2 oder höher. Alternativ können Sie „tpm.msc“ mit Windows + R ausführen. BitLocker funktioniert am besten mit TPM.Weiter unten erfahren Sie aber, wie Sie es auch ohne diesen Chip aktivieren können.

Dateien und Ordner mit EFS verschlüsseln (Windows Pro/Enterprise/Education)

Wenn Sie nur einen bestimmten Ordner oder einige wenige Dateien schützen möchten, ist EFS schnell und einfach. Klicken Sie mit der rechten Maustaste auf das Element, wählen Sie „Eigenschaften“ und klicken Sie auf „Erweitert“. Aktivieren Sie „Inhalte verschlüsseln, um Daten zu schützen“ und bestätigen Sie. Wenn Sie einen Ordner verschlüsseln, fragt das System, ob die Änderung nur für den Ordner oder auch für dessen Unterordner und Dateien gelten soll. Wählen Sie die Option, die Ihren Bedürfnissen am besten entspricht..

Nach der Aktivierung wird ein kleines Vorhängeschloss auf dem Symbol angezeigt. EFS verschlüsselt für den aktuellen Benutzer. Wenn Sie die Datei auf einen anderen PC kopieren oder versuchen, sie von einem anderen Benutzerkonto aus zu öffnen, ist sie nicht lesbar. Seien Sie vorsichtig mit temporären Dateien (z. B. von Anwendungen wie Word oder Photoshop): Wenn der Stammordner nicht verschlüsselt ist, Krümel könnten ungeschützt bleibenDeshalb empfiehlt es sich, den gesamten Ordner, der Ihre Dokumente enthält, zu verschlüsseln.

Es wird dringend empfohlen: Sichern Sie Ihr Verschlüsselungszertifikat. Windows fordert Sie auf, Ihren Schlüssel jetzt zu sichern. Folgen Sie dem Zertifikatsexport-Assistenten, speichern Sie den Schlüssel auf einem USB-Stick und schützen Sie ihn mit einem sicheren Passwort. Wenn Sie Windows neu installieren oder den Benutzer wechseln und den Schlüssel nicht exportiert haben, verlieren Sie möglicherweise den Zugriff..

Zum Entschlüsseln wiederholen Sie den Vorgang: Eigenschaften, Erweitert, Deaktivieren Sie die Option „Inhalte verschlüsseln, um Daten zu schützen“. Und das gilt auch hier. Das Verhalten unter Windows 11 ist identisch, daher ist die schrittweise Vorgehensweise dieselbe.

Verschlüsseln eines Ordners mit BitLocker (Windows Pro/Enterprise/Education)

BitLocker verschlüsselt ganze Datenträger, intern oder extern. Klicken Sie im Datei-Explorer mit der rechten Maustaste auf das Laufwerk, das Sie schützen möchten, und wählen Sie „BitLocker aktivieren“. Falls diese Option nicht angezeigt wird, ist sie in Ihrer Windows-Version nicht enthalten. Sollten Sie eine Warnung bezüglich eines fehlenden TPM erhalten, Keine Sorge, es kann auch ohne TPM verwendet werden.Es bedarf lediglich einer Anpassung der Richtlinien, die ich Ihnen gleich im Anschluss erläutern werde.

Der Assistent fragt Sie, wie Sie das Laufwerk entsperren möchten: mit einem Kennwort oder einer Smartcard. Verwenden Sie am besten ein Kennwort mit hoher Entropie (Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen). Wählen Sie anschließend, wo Sie den Wiederherstellungsschlüssel speichern möchten: in Ihrem Microsoft-Konto, auf einem USB-Stick, in einer Datei oder als Ausdruck. Auf Microsoft-Konto speichern Es ist sehr praktisch (Zugriff über onedrive.live.com/recoverykey), aber es empfiehlt sich, zusätzlich eine Offline-Kopie anzulegen.

Im nächsten Schritt entscheiden Sie, ob Sie nur den belegten Speicherplatz oder das gesamte Laufwerk verschlüsseln möchten. Die erste Option ist bei neuen Laufwerken schneller; bei bereits verwendeten Computern ist es ratsam, das gesamte Laufwerk zu verschlüsseln, um gelöschte Daten zu schützen, die möglicherweise noch wiederhergestellt werden können. Mehr Sicherheit bedeutet mehr Zeitaufwand bei der Einrichtung..

Wählen Sie abschließend den Verschlüsselungsmodus: „Neu“ für moderne Systeme oder „Kompatibel“, wenn Sie das Laufwerk zwischen PCs mit älteren Windows-Versionen austauschen. 'BitLocker-Systemüberprüfung ausführen' Und so geht es weiter. Handelt es sich um das Systemlaufwerk, startet der Computer neu und fragt beim Hochfahren nach Ihrem BitLocker-Passwort; handelt es sich um ein Datenlaufwerk, beginnt die Verschlüsselung im Hintergrund, und Sie können weiterarbeiten.

Sollten Sie Ihre Meinung ändern, klicken Sie im Explorer mit der rechten Maustaste auf das verschlüsselte Laufwerk und wählen Sie „BitLocker verwalten“, um die automatische Entsperrung auf diesem Computer zu deaktivieren, das Kennwort zu ändern, den Wiederherstellungsschlüssel neu zu generieren oder die automatische Entsperrung zu aktivieren. BitLocker funktioniert nicht ohne mindestens eine Authentifizierungsmethode..

BitLocker ohne TPM verwenden: Gruppenrichtlinien und Startoptionen

Wenn Sie kein TPM besitzen, öffnen Sie den Editor für lokale Gruppenrichtlinien mit „gpedit.msc“ (Windows + R) und navigieren Sie zu „Computerkonfiguration“ > „Administrative Vorlagen“ > „Windows-Komponenten“ > „BitLocker-Laufwerkverschlüsselung“ > „Betriebssystemlaufwerke“. Aktivieren Sie die Option „Zusätzliche Authentifizierung beim Start erforderlich“. Aktivieren Sie außerdem das Kontrollkästchen neben „BitLocker ohne kompatibles TPM zulassen“. Wenden Sie die Änderungen an und führen Sie 'gpupdate /target:Computer /force' aus. um seine Anwendung zu erzwingen.

Wenn Sie den BitLocker-Assistenten auf Ihrer Systemfestplatte starten, werden Ihnen zwei Methoden angeboten: „USB-Stick einstecken“ (dadurch wird ein .BEK-Bootkey gespeichert, der bei jedem Systemstart angeschlossen werden muss) oder „Passwort eingeben“ (PIN/Passwort vor dem Systemstart). Wenn Sie einen USB-Stick verwenden, ändern Sie die Bootreihenfolge in Ihren BIOS/UEFI-Einstellungen, damit Ihr Computer vom USB-Stick booten kann. Versuchen Sie nicht, von diesem USB-Laufwerk zu booten.Entfernen Sie den USB-Stick während des gesamten Vorgangs nicht, bis dieser abgeschlossen ist.

Vor der Verschlüsselung kann BitLocker Folgendes durchführen: 'Systemtest' Um sicherzustellen, dass Sie beim Systemstart auf den Schlüssel zugreifen können, überprüfen Sie die Startreihenfolge und die Sicherheitseinstellungen (z. B. Secure Boot) und versuchen Sie es erneut. Sollte dabei eine Fehlermeldung erscheinen, überprüfen Sie die Startreihenfolge und die Sicherheitsoptionen.

BitLocker To Go: USB-Laufwerke und externe Festplatten schützen

Schließen Sie das externe Gerät an, klicken Sie im Datei-Explorer mit der rechten Maustaste auf das Laufwerk und wählen Sie „BitLocker aktivieren“. Legen Sie ein Kennwort fest und speichern Sie den Wiederherstellungsschlüssel. Sie können die Option „Auf diesem PC nicht mehr fragen“ aktivieren, um das automatische Entsperren zu ermöglichen. Auf anderen PCs Das Passwort wird bei der Verbindungsherstellung abgefragt. bevor er in der Lage ist, dessen Inhalt zu lesen.

Auf sehr alten Systemen (Windows XP/Vista) gibt es keine native Unterstützung zum Entsperren, aber Microsoft hat „BitLocker To Go Reader“ für den Lesezugriff auf FAT-formatierte Laufwerke veröffentlicht. Wenn Sie Abwärtskompatibilität wünschen, sollten Sie die Verwendung von BitLocker To Go Reader in Betracht ziehen. 'kompatibler' Verschlüsselungsmodus im Assistenten.

Verschlüsselungsalgorithmus und -stärke sowie deren Auswirkungen auf die Leistung

Standardmäßig verwendet BitLocker XTS-AES mit einem 128-Bit-Schlüssel auf internen Laufwerken und AES-CBC 128 auf externen Laufwerken. Sie können die Verschlüsselung auf 256 Bit erhöhen oder den Algorithmus in den Einstellungen anpassen: „BitLocker-Laufwerkverschlüsselung“ > „Verschlüsselungsmethode und -stärke auswählen…“. Je nach Windows-Version ist dies nach Laufwerkstyp (Systemlaufwerk, Datenlaufwerk, Wechseldatenträger) unterteilt. XTS-AES ist die empfohlene Variante. für Robustheit und Leistung.

Bei modernen CPUs (AES-NI) ist der Einfluss in der Regel minimal, es kann jedoch zu Leistungseinbußen kommen, insbesondere bei bestimmten SSDs unter Windows 11 Pro, wenn BitLocker softwareseitig auf Laufwerken mit Hardwareverschlüsselung aktiviert ist. Bei bestimmten Modellen (z. B. der Samsung 990 Pro 4 TB) wurde ein Leistungsverlust von bis zu 45 % bei zufälligen Lesezugriffen gemessen. Sollten Sie eine deutliche Leistungsminderung feststellen, können Sie Folgendes tun: 1) BitLocker deaktivieren in diesem Volume (wodurch die Sicherheit beeinträchtigt wird) oder 2) Neuinstallation und erzwungene Hardwareverschlüsselung der SSD selbst, falls diese zuverlässig ist (komplexerer Prozess und abhängig vom Hersteller).

Bedenken Sie, dass eine stärkere Verschlüsselung (256 Bit) eine etwas höhere Systemlast bedeutet, aber bei der aktuellen Hardware ist der Unterschied in der Regel verkraftbar. Sicherheit hat Priorität wenn Sie sensible oder regulierte Daten verarbeiten.

Wiederherstellungsschlüssel: Wo man sie speichert und wie man sie verwendet

Erstellen und speichern Sie immer einen Wiederherstellungsschlüssel, wenn Sie BitLocker aktivieren. Verfügbare Optionen: „In Ihrem Microsoft-Konto speichern“ (zentraler Zugriff), „Auf einem USB-Stick speichern“, „In einer Datei speichern“ oder „Schlüssel drucken“. Der Schlüssel ist ein 48-stelliger Code, mit dem Sie Ihr Konto entsperren können, falls Sie Ihr Passwort vergessen haben. wenn BitLocker eine Startanomalie erkennt auf der Systemeinheit.

Wenn Sie mehrere Laufwerke verschlüsseln, hat jeder Schlüssel eine eindeutige Kennung. Der Dateiname des Schlüssels enthält üblicherweise eine GUID, die BitLocker bei der Wiederherstellung benötigt. Um die in Ihrem Microsoft-Konto gespeicherten Schlüssel anzuzeigen, besuchen Sie onedrive.live.com/recoverykey, während Sie angemeldet sind. Vermeiden Sie es, die Schlüssel auf demselben verschlüsselten Laufwerk zu speichern. und bewahren Sie Offline-Kopien auf.

BitLocker integriert eine Verwaltungskonsole Hier können Sie: das Passwort ändern, Sicherheitsmaßnahmen hinzufügen oder entfernen (Passwort, PIN+TPM, Smartcard), den Wiederherstellungsschlüssel neu generieren und die Verschlüsselung deaktivieren, wenn Sie sie nicht mehr benötigen.

Passwortgeschützte ISOs: Zuverlässige Alternativen in Windows 11

Windows bietet keine native Option für passwortgeschützte ISO-Dateien. Einige Dienstprogramme konvertieren in eigene Formate (wie z. B. „.DAA“ in PowerISO), was nicht optimal ist, wenn man die „.ISO“-Datei behalten möchte. Stattdessen sollte man eine … erstellen. verschlüsselter Container mit VeraCrypt und kann bei Bedarf eingebunden werden: Es funktioniert als passwortgeschütztes „virtuelles Laufwerk“ und ist portabel.

Wenn Sie eine kleine Datei zum Teilen benötigen, ermöglichen moderne Archivierungsprogramme die Verschlüsselung mit AES: Erstellen Sie mit Tools wie 7-Zip oder WinRAR ein passwortgeschütztes „.zip“- oder „.7z“-Archiv und wählen Sie die Option zum Verschlüsseln der Dateinamen. Für externe Laufwerke ist BitLocker To Go unter Windows Pro die empfohlene Methode; unter Windows Home… VeraCrypt erfüllt seinen Zweck perfekt..

Mit all dem oben Genannten können Sie entscheiden, ob Sie einen Ordner mit EFS, ein gesamtes Laufwerk mit BitLocker verschlüsseln oder einen Container erstellen möchten. VeracryptEntscheidend ist, die Methode zu wählen, die zu Ihrer Windows-Edition und Hardware passt, den Wiederherstellungsschlüssel sicher aufzubewahren und den Algorithmus/die Länge Ihren Prioritäten entsprechend anzupassen. Wenn Sie diese drei Punkte beachten, sind Ihre Daten geschützt, ohne dass Ihr Leben dadurch komplizierter wird..