Sind die Verschlüsselungen mit EFS und Bitlocker zu empfehlen?
Mit Bitlocker können Partitionen oder ganze Festplatten verschlüsselt werden. Um alle Daten auf einem Notebook zu schützen, ist Bitlocker eine gute Möglichkeit. Weil ein spezieller TPM-Chip die Verschlüsselung durchführt, tritt durch den Verschlüsselungsvorgang kein Leistungsverlust ein. Allerdings ist der TPM-Chip hauptsächlich auf höherpreisigen Platinen zu finden, und Sie benötigen eine Professional-, Ultimate- oder Enterprise-Version von Windows.
EFS kann Dateien und Ordner auf einer NTFS-Partition verschlüsseln. Klicken Sie einfach mit der rechten Maustaste auf die Datei oder den Ordner und im Kontextmenü auf „Eigenschaften“. Klicken sie dann auf „Erweitert“ und auf „Inhalt verschlüsseln, um Daten zu schützen“.
Weil die Schreib- und Leseleistung auf etwa die Hälfte sinkt, sollte man die Anzahl der zu verschlüsselnden Ordner auf das unabdingbare reduzieren. Durch die Windows-Anmeldung werden die Ordner freigegeben und sie bleiben verfügbar, solange Sie angemeldet sind. Sie sollten also ein ausreichend kompliziertes Anmeldepasswort verwenden und den PC nie verlassen, ohne sich abzumelden.
Für wen ist welche Verschlüsselung zu empfehlen?
Bitlocker schützt Ihre Daten bei einem Verlust Ihres Notebooks, allerdings nur dann, wenn Sie ein ausreichend kompliziertes Passwort verwenden. Wenn Sie befürchten, Ihr Notebook könnte gezielt gestohlen werden, sollten Sie ein Notebook kaufen, welches den Inhalt der Festplatte nach mehreren Falscheingaben des Passworts automatisch vernichtet.
Bitlocker und EFS schützen Ihre Daten vor neugierigen Kollegen – allerdings nur, wenn Sie sich ausnahmslos jedesmal beim Verlassen des Computers abmelden und zur Anmeldung ein einigermaßen sicheres Passwort verwenden.
Ich arbeite nur selten mit verschlüsselten Dateien, und das ständige An- und Abmelden wäre mir ein Gräuel. Für meine Notebooks benutze ich ein Anmeldepasswort, den heimischen Rechner starte ich mit automatischer Anmeldung. Das Passwort der Windows-Anmeldung ist ohnehin kein ernstzunehmender Schutz: Im Kapitel 8.4.2 von „Software-Grundlagen“ ist beschrieben, wie man in 15 Minuten das Windows-Passwort ersetzen kann.
Für meine wenigen geheimen Daten habe ich einen VeraCrypt-Container eingerichtet, wie in Kapitel 3.8.4 von „Sicherheit im Internet“ beschrieben. Auf meinem Desktop liegen zwei Verknüpfungen: „Geheimfach öffnen“ und „Geheimfach schließen“. Mit einem Klick auf den Öffnen-Button (und Eingabe des Passworts) erhalte ich Zugang genau dann, wenn ich ihn brauche. Wenn ich eine kurze Zeit abwesend bin, klicke ich vorher auf „Geheimfach schließen“ und das Geheime ist versteckt, ohne dass ich mich abmelden muss. Und ich kann den Container auf meine anderen Computer kopieren oder verschicken, um sie auf den neuesten Stand zu bringen, was mit EFS und Bitlocker nicht geht.
Ob wohl Microsoft Hintertüren in EFS und Bitlocker eingebaut hat? Vermutlich nein, siehe den Beitrag „Gibt es Hintertüren in BitLocker?“. Es ist weitaus einfacher, Ihren PC mit einem geeigneten Trojaner zu infizieren, um Ihre Daten mitzulesen, während Sie damit arbeiten.