Welches Dateisystem ist in Windows die Voraussetzung für das Erteilen von Berechtigungen für Dateien und Ordner Verschlüsselung von Dateien?

• Home
• Ratgeber
• Dateien mit EFS verschlüsseln

Tipps & Tricks

Um Daten zu schützen, können Sie die entsprechenden Dateien mit einem Kennwort versehen. Einen noch stärkeren Schutz bietet die EFS-Verschlüsselung.

ca. 7:40 Min

Ratgeber

Um den unerlaubten Zugriff auf sensible Daten zu verhindern, stehen Ihnen mehrere Mittel zur Verfügung. Versehen Sie etwa die betreffende Datei mit einem Passwort. Den stärksten Schutz bietet jedoch eine EFS-Verschlüsselung (Encrypted File System). Diese ist bereits in Windows 7 integriert, jedoch nicht in den Home Editionen. Windows 7 Professional- und Windows 7 Ultimate-User benötigen keine zusätzliche Software.

Voraussetzung ist ein NTFS-formatierter Datenträger, auf den älteren FAT-Systemen funktioniert diese Art der Verschlüsselung nicht. Der Name von verschlüsselten Dateien erscheint im Windows-Explorer in grüner Farbe. Nicht berechtigte Benutzer sehen eine verschlüsselte Datei zwar, dürfen sie jedoch nicht öffnen oder kopieren. Sie selbst arbeiten mit verschlüsselten Elementen genauso wie mit unverschlüsselten. Mit dem Einloggen haben Sie das Universalpasswort für alle EFS-verschlüsselten Elemente eingegeben.

Sie können einzelne Dateien oder auch komplette Ordner schützen. Außerdem verschlüsselt Windows alle Dateien ohne weiteres zutun, die Sie später in einen verschlüsselten Ordner kopieren oder dort neu anlegen.

So verschlüsseln Sie eine Datei oder einen Ordner mit EFS

Klicken Sie im Windows-Explorer mit der rechten Maustaste auf den Ordner oder die Datei, und wählen Sie Eigenschaften. Klicken Sie im Register Allgemein auf die Schaltfläche Erweitert. Setzen Sie vor Inhalt verschlüsseln, um Daten zu schützen ein Häkchen.

Für einen optimalen Schutz empfiehlt es sich, die Optionen Ordner kann archiviert werden und Zulassen, dass für Dateien in diesem Ordner Inhalte zusätzlich zu Dateieigenschaften indiziert werden zu deaktivieren. Bestätigen Sie zweimal mit OK. Danach werden Sie gefragt, ob Sie auch Unterordner mit einbeziehen wollen bzw. ob Sie nur die einzelne Datei oder doch den kompletten Ordner verschlüsseln wollen. Die Verschlüsselung dauert in der Regel nur wenige Sekunden.

Ratgeber: Kaspersky Lab schützt smarte Heimnetzwerke

Genauso einfach, wie Sie eine Verschlüsselung aktivieren, heben Sie diese auch wieder auf. Sie brauchen dazu in den erweiterten Attributen neben Inhalt verschlüsseln, um Daten zu schützen nur das Häkchen zu entfernen und die Änderung zu bestätigen.

Im folgenden geben wir weitere 6 Tipps zur Verschlüsselung mit EFS:

Tipp 1: EFS-Zertifikate sichern

Wenn ein Benutzer auf einem Computer zum ersten Mal wie beschrieben eine EFS-Verschlüsselung durchführt, legt Windows automatisch ein Zertifikat für das entsprechende Benutzerkonto an. Dieses fungiert praktisch als Schlüssel für die geschützte Datei. Ist das Zertifikat auf dem Computer nicht vorhanden, ist der Zugriff auf verschlüsselte Dateien nicht möglich. Sie sollten deshalb das Zertifikat sofort sichern, wenn Windows es anlegt.

Klicken Sie dazu im Infobereich der Taskleiste auf das gelbe Symbol mit dem grünen Schlüssel. Wählen Sie im erscheinenden Dialogfeld Verschlüsselndes Dateisystem die Option Jetzt sichern (empfohlen). Geben Sie im Zertifikatexport-Assistenten das gewünschte Format für die Sicherungsdatei an und legen Sie ein Kennwort sowie den Speicherort für diese fest - am besten auf einem externen Datenträger. Mit Klick auf Fertig stellen speichert Windows die Sicherungsdatei.

Nachträglich - wenn das Icon in der Taskleiste nicht mehr erscheint - exportieren Sie das Zertifikat wie folgt: Starten Sie den Zertifikat-Manager, indem Sie in das Suchfeld des Startmenüs certmgr.msc eingeben und anschließend auf die angezeigte Verknüpfung klicken. Ihre eigenen Zertifikate finden Sie im Zertifikat-Manager unter Zertifikate - Aktueller Benutzer/Eigene Zertifikate/Zertifikate. Klicken Sie das Zertifikat im rechten Fensterbereich mit der rechten Maustaste an. Mit dem Befehl Alle Aufgaben/Exportieren rufen Sie den Zertifikatexport-Assistenten auf.

Der gleiche Befehl steht bei selektiertem Zertifikat auch im Menü Aktion zur Verfügung. Beachten Sie, dass Sie das Zertifikat mit dem privaten Schlüssel exportieren müssen (diese Option ist auf der ersten Seite des Assistenten nicht voreingestellt).

Tipp 2: EFS-Zertifikate importieren

Haben Sie ein Zertifikat, wie im letzten Tipp beschrieben, gesichert, können Sie es bei Bedarf importieren. Dafür kann es zwei Gründe geben: Erstens, das Zertifikat, mit dem Sie auf dem aktuellen Computer Dateien verschlüsselt haben, ist aus irgendwelchen Gründen abhandengekommen, z.B. weil es versehentlich gelöscht oder das entsprechende Benutzerkonto zwischenzeitlich entfernt wurde. Aber auch wenn Sie verschlüsselte Dateien auf einem anderen Computer verwenden wollen, können Sie dort das entsprechende Zertifikat verfügbar machen.

Führen Sie folgende Aktionen durch, wenn Sie das gesicherte Zertifikat einmal benötigen: Navigieren Sie im Windows-Explorer zu dem Ordner, in dem sich die Zertfikatdatei befindet, und führen Sie einen Doppelklick auf die Datei (Erweiterung .pfx) aus. Damit rufen Sie den Zertifikatimport-Assistenten auf. Überzeugen Sie sich auf der zweiten Seite, dass der Pfad zur Zertfikatdatei und der Dateiname korrekt sind und klicken Sie auf Weiter.

Tippen Sie auf der nächsten Seite das beim Export hinterlegte Kennwort für den privaten Schlüssel ein und aktivieren Sie im unteren Abschnitt gegebenenfalls weitere Importoptionen. Legen Sie auf der Folgeseite fest, ob Windows den Zertifikatspeicher automatisch auswählen soll. Falls nicht, geben Sie explizit einen Pfad an. Klicken Sie schließlich auf Fertig stellen, um den Import zu starten. Danach können Sie die Dateien, die mit dem entsprechenden Zertifikat verschlüsselt sind, verwenden.

Sie sehen nun in der Liste unterhalb von Benutzer, die auf diese Datei zugreifen können: das neu hinzugefügte Zertifikat. Bestätigen Sie auch diesen Dialog mit OK. Dies ist unbedingt erforderlich, da sonst das neue Zertifikat nicht endgültig hinzugefügt wird.

Tipp 3: Andere Personen für den Zugriff auf verschlüsselte Dateien berechtigen

Wenn Sie möchten, dass auch andere, von Ihnen ausgewählte Personen auf eine von Ihnen verschlüsselte Datei zugreifen können, müssen Sie diesen Personen explizit die Berechtigung dazu erteilen. Führen Sie zu diesem Zweck folgende Schritte durch: Klicken Sie die Datei, für die Sie die andere Person berechtigen wollen, im Windows-Explorer mit der rechten Maustaste an und wählen Sie Eigenschaften im Kontextmenü.

Klicken Sie im Eigenschaften-Dialog auf die Schaltfläche Erweitert und anschließend in den erweiterten Attributen auf die Schaltfläche Details (bei Ordnern ist diese Schaltfläche deaktiviert). Es erscheint das Dialogfeld Benutzerzugriff auf <Dateiname>, das Sie im Bild oben sehen. Klicken Sie in diesem auf die Schaltfläche Hinzufügen. Wählen Sie im erscheinenden Dialogfeld Windows-Sicherheit (Abbildung Windows-Sicherheit.tif) das Zertifikat des Benutzers aus, den Sie für die Datei berechtigen wollen, und bestätigen Sie mit OK.

Sie sehen nun in der Liste unterhalb von Benutzer, die auf diese Datei zugreifen können: das neu hinzugefügte Zertifikat. Bestätigen Sie auch diesen Dialog mit OK. Dies ist unbedingt erforderlich, da sonst das neue Zertifikat nicht endgültig hinzugefügt wird.

Tipp 4: Globale Wiederherstellung einrichten

Wenn mit einem System mehrere Personen arbeiten, besteht grundsätzlich immer die Gefahr, dass es zu Datenverlust kommt. Nämlich dann, wenn ein Benutzerkonto, unter dem Dateien verschlüsselt worden sind, entfernt wird und niemand anderer für die Dateien berechtigt wurde. Dem beugen Sie vor, indem Sie einen oder mehrere Benutzer, jeweils auf der Grundlage eines Zertifikats, als Wiederherstellungs-Agents festlegen. Ein Wiederherstellungs-Agent kann alle Dateien, die von anderen Benutzern verschlüsselt worden sind, entschlüsseln.

Zunächst erstellen Sie das benötigte Zertifikat mit dem Befehl cipher. Geben Sie dazu in der Eingabeaufforderung den Befehl cipher /r:Zertifikatname ein, wobei Zertifikatname für einen frei wählbaren Namen steht, und drücken Sie die Eingabetaste. Tippen Sie anschließend ein Kennwort für den Wiederherstellungsschlüssel ein und drücken Sie erneut die Eingabetaste.

Lassen Sie sich nicht davon irritieren, dass das Kennwort am Prompt nicht wiedergegeben wird. Nachdem Sie das Kennwort bestätigt haben, erzeugt Windows eine .CER- und eine .PFX-Datei. Speichern Sie letztere am besten auf einem externen Datenträger. Den Wiederherstellungs-Agent legen Sie nun für dieses Zertifikat per Richtlinie fest. Starten Sie den Gruppenrichtlinien-Editor, indem Sie in das Suchfeld des Startmenüs gpedit.msc eingeben und anschließend auf die angezeigte Verknüpfung klicken.

Navigieren Sie im Gruppenrichtlinien-Editor über Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Richtlinien für öffentliche Schlüssel zum Verzeichnis Verschlüsselndes Dateisystem. Klicken Sie dieses mit der rechten Maustaste an und wählen Sie den Befehl Datenwiederherstellungs-Agents hinzufügen. Öffnen Sie auf der zweiten Seite des Assistenten über die Schaltfläche Ordner durchsuchen das Zertifikat, das Sie mit dem cipher-Befehl erstellt haben.

Bestätigen Sie im erscheinenden Dialogfeld Wiederherstellungs-Agent hinzufügen die Rückfrage mit Ja. Klicken Sie auf der nächsten Seite des Assistenten auf Fertig stellen, um den Wiederherstellungs-Agent zu erstellen. Wenn Sie nun Daten wiederherstellen müssen, die ein anderer Anwender verschlüsselt hat, importieren Sie einfach den in der .pfx-Datei gespeicherten Schlüssel.

Tipp 5: Befehl zum Verschlüsseln im Kontextmenü des Windows-Explorers hinzufügen

Falls Sie von der EFS-Verschlüsselung häufig Gebrauch machen, richten Sie dafür wie folgt einen Shortcut im Windows-Explorer ein: Rufen Sie den Registrierungs-Editor auf, indem Sie im Startmenü den Suchbegriff regedit verwenden. Navigieren Sie im Registrierungs-Editor zum Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced. Erstellen Sie für diesen Schlüssel einen neuen DWORD-Wert mit dem Namen EncryptionContextMenu.

Klicken Sie dazu z.B. mit der rechten Maustaste auf eine freie Stelle des rechten Fensterbereichs, wählen Sie Neu/DWORD-Wert (32-Bit), tippen Sie den Namen ein und drücken Sie die Eingabetaste. Klicken Sie anschließend doppelt auf den neuen Eintrag und setzen Sie im Dialogfeld DWORD-Wert (32-Bit) bearbeiten den Wert auf 1. Danach steht im Kontextmenü des Windows-Explorers die Option Verschlüsseln - bzw. Entschlüsseln bei bereits verschlüsselten Dateien/Ordnern - zur Verfügung.

Tipp 6: So versehen Sie Office-Dokumente mit einem Kennwortschutz

Auch Benutzer von Windows Home-Editionen, denen die EFS-Verschlüsselung nicht zur Verfügung steht, können wichtige Dokumente in Microsoft Office mit einem Kennwortschutz versehen. Diese Methode kann im Übrigen auch zusätzlich zur EFS-Verschlüsselung angewandt werden. Öffnen Sie dazu das Dokument, das Sie mit einem Kennwort versehen wollen, in dem entsprechenden Microsoft-Office-Programm und wählen Sie Datei/Speichern unter.

Klicken Sie im Dialogfenster Speichern unter auf die Schaltfläche Tools - diese befindet sich ganz unten, links neben der Schaltfläche Speichern - und in der aufklappenden Liste auf Allgemeine Optionen. Geben Sie im ersten Textfeld des Dialogfensters Allgemeine Optionen  neben Kennwort zum Öffnen das gewünschte Kennwort ein und klicken Sie auf OK. Bestätigen Sie anschließend das Kennwort, indem Sie es erneut eingeben. Nachdem Sie das Dokument gespeichert haben, ist der Kennwortschutz wirksam.

Das heißt, ein Benutzer kann das Dokument nur dann öffnen und seinen Inhalt sehen, wenn er zuvor das richtige Kennwort eingegeben hat. Der Kennwortschutz bleibt auch erhalten, wenn das Dokument an einen anderen Speicherort kopiert wird. Sie haben in den allgemeinen Optionen alternativ die Möglichkeit, das Dokument mit einem Schreibschutz zu versehen.

In diesem Fall tippen Sie das Kennwort in das Feld Kennwort zum Ändern ein. Der Benutzer muss dann das Kennwort nur eingeben, wenn er das Dokument ohne Schreibschutz öffnen will. Wenn Sie das Kennwort später wieder entfernen wollen, rufen Sie die allgemeinen Optionen erneut auf, löschen das Kennwort und bestätigen mit OK.

Mehr zum Thema

Computer ohne Werbung

Adware vermeiden: Mit diesen 5 Tipps bleibt Ihr PC sauber

Wer unachtsam Programme installiert, kann sich schnell unerwünschte Software-Parasiten einfangen. Wir geben 5 Tipps, wie Sie Adware vermeiden.

Sicherheit

Phishing-Mails erkennen: 6 Tipps gegen E-Mail Betrug

Betrüger versenden E-Mails, die es auf Ihre Daten und Ihr Geld abgesehen haben. Wie Sie Phishing-E-Mails erkennen und sich schützen.

Sicherheit im Urlaub

Diebstahlschutz, offene WLANs & Co.: 8 unverzichtbare…

Diebstahlschutz für Smartphones, Schutz in offenen WLANs und Co: Worauf Sie beim Reisen achten sollten, um böse Überraschungen zu vermeiden.

Gefälschte Facebook-Konten

Facebook-Betrug mit Fake-Profilen - wie Sie sich und Ihre…

Betrüger nutzen gefälschte Facebook-Profile, um Geld zu ergaunern. Wir zeigen, wie Sie sich und auch Ihre Facebook-Kontakte gegen die Betrugsmasche…

Podiumsdiskussion im Video

Cloud Security: Wie bleiben unsere Daten sicher?

Beim großen Branchentreffen von PC Magazin und PCgo wurde diskutiert, wie Daten in der Cloud sicher bleiben. Hier das Expertengespräch im Video.