1981749

EFS: So klappt die Windows-Verschlüsselung

14.08.2014 | 09:09 Uhr |

Die professionellen Versionen von Windows bieten seit Jahren eine Funktion, die den Inhalt von Dateien und Ordnern vor fremden Blicken schützt. Der Umgang damit ist ganz einfach.

Immer wieder gibt es in den Medien Meldungen über verloren gegangene Notebooks von Behördenmitarbeitern, deren Festplatten randvoll mit geheimen oder vertraulichen Informationen sind. Aber auch die Geräte von Privatpersonen enthalten oft Daten vertraulicher Natur, die außer dem Besitzer niemand sehen soll. Es empfiehlt sich deshalb insbesondere bei Mobilgeräten, als Vorsichtsmaßnahme die vertraulichen Dateien und Ordner zu verschlüsseln. Sinn macht eine Verschlüsselung allerdings auch dann, wenn mehrere Benutzer an einem Computer arbeiten und auf die gleichen Ordner Zugriff haben. Windows bringt für solche Fälle EFS mit, das sogenannte Encrypting File System.

Die Bezeichnung ist irreführend: EFS ist kein Dateisystem, sondern eine Erweiterung von NTFS, dem New Technology File System von Windows. In dem älteren FAT32-System, mit dem viele USB-Sticks formatiert sind, ist diese nicht enthalten. EFS ist seit Windows 2000 in das Betriebssystem integriert, jedoch nur in den professionellen und Unternehmensversionen der Software verfügbar. Seit Windows XP mit Service Pack 1 verwendet das Betriebssystem den als sicher geltenden AES-Algorithmus. Außerdem arbeitet es wie Pretty Good Privacy mit einer asymmetrischen Verschlüsselung: Mit dem öffentlichen Schlüssel des angemeldeten Benutzers wird die Datei oder der Ordner verschlüsselt, mit seinem privaten Schlüssel kann er sie dann wieder entschlüsseln. Beide Schlüssel legt Windows bei der ersten Verwendung von EFS in einem Zertifikat ab.

EFS ist in Windows als einfaches Datei- und Ordnerattribut ausgeführt.
Vergrößern EFS ist in Windows als einfaches Datei- und Ordnerattribut ausgeführt.

Umfassende Verschlüsselung

Mittels EFS lassen sich sämtliche auf einem Notebook gespeicherten Daten sichern. Selbst wenn sich ein Dieb mit Administrator-Rechten Zugriff auf die Daten verschafft, kann er die Files nicht einsehen, da EFS an die Benutzerauthentifizierung gebunden ist. Nur nach Anmeldung mit dem korrekten Benutzernamen und Passwort lassen sich die Dateien öffnen. EFS hat jedoch auch Nachteile. Zum einen verbirgt es nur den Inhalt der Files vor fremden Blicken, nicht aber die Datei- und Ordnernamen. Das Attribut „Versteckt“, das Windows anbietet, hat lediglich die gleiche Wirkung wie die Option „Geschützte Systemdateien ausblenden“ in der Ansicht der „Ordneroptionen“ im Windows-Explorer. Und wenn jemand Dateien auf einem Rechner verschlüsselt hat und dem nächsten Besitzer seine Anmeldedaten nicht verrät, sind die Daten in den meisten Fällen verloren. Es gibt zwar Möglichkeiten, das mit Nachschlüsseln zu verhindern, doch diese Schlüssel müssen vorsorglich angelegt werden.

Fünf essentielle Sicherheitstipps für Windows 7

So funktioniert EFS in der Praxis

Das Einrichten einer Verschlüsselung mit EFS ist einfach: Klicken Sie hierzu eine Datei oder einen Ordner mit der rechten Maustaste an und rufen Sie die „Eigenschaften“ auf. Klicken Sie auf „Erweitert“ und markieren Sie „Inhalt verschlüsseln, um Daten zu schützen“. Bestätigen Sie mit „OK“ und im nächsten Fenster mit „Übernehmen“. Windows fragt Sie nun, ob es nur diese Datei oder auch den gesamten Ordner verschlüsseln soll. Falls Sie einen ganzen Ordner markiert haben, will das Betriebssystem wissen, ob Unterordner und Dateien in die Verschlüsselung einbezogen werden sollen. Treffen Sie Ihre Wahl, bestätigen Sie mit „OK“ und schließen Sie das Fenster mit „OK“. Fertig. Die EFS-Verschlüsselung ist vollkommen transparent. Das bedeutet, dass beim Verschieben von Dateien in einen verschlüsselten Ordner diese ebenfalls verschlüsselt werden. Die Verschlüsselung und das Entschlüsseln beim Aufruf einer Datei erfolgen in Echtzeit. Wenn Sie Files auf einem verschlüsselten Ordner an einen anderen Ort setzen, bleiben sie verschlüsselt. Um verschlüsselte Dateien erkennen zu können, sollten Sie Windows so einstellen, dass es sie farblich markiert. Öffnen Sie dazu den Explorer und gehen Sie dort unter „Ansicht > Optionen“ zum Register „Ansicht“. Markieren Sie danach „Verschlüsselte oder komprimierte NTFS-Dateien in anderer Farbe anzeigen“.

Stellen Sie Windows so ein, dass es Ihnen die verschlüsselten Dateien anzeigt.
Vergrößern Stellen Sie Windows so ein, dass es Ihnen die verschlüsselten Dateien anzeigt.

Schlüssel sichern

Um zudem zu verhindern, dass ein beschädigter Schlüssel den Zugriff auf verschlüsselte Dateien unmöglich macht, sollten Sie ihn sichern. Am einfachsten geht das über den Internet Explorer: Rufen Sie dort über „Extras“ die „Internetoptionen“ auf und wechseln Sie zu „Inhalte“. Klicken Sie auf „Zertifikate“, wo Sie unter „Eigene Zertifikate“ Ihren Schlüssel finden. Markieren Sie ihn und rufen Sie mit „Exportieren“ den Assistenten auf. Klicken Sie auf „Weiter“ und kreuzen Sie im folgenden Fenster „Ja, privaten Schlüssel exportieren“ an. Die Voreinstellungen im nächsten Fenster können Sie übernehmen. Das folgende Fenster verlangt nach der Definition eines Kennworts für den Schlüssel, geben Sie also eines ein. Dieses Passwort sollten Sie sich notieren und an einem sicheren Ort aufbewahren. Im nächsten Fenster wählen Sie über „Durchsuchen“ einen Namen und einen Pfad für die Datei aus, am besten einen zweiten PC oder einen USB-Stick. Windows hängt automatisch die Endung PFX an. Mit einem letzten „Weiter“ und „Fertig stellen“ schließen Sie den Vorgang ab. Um den Schlüssel später wieder zu importieren und so Zugriff auf die verschlüsselten Dateien zu erhalten, klicken Sie das PFX-File doppelt an. Sie rufen damit einen Assistenten auf, der Sie unter anderem nach dem Kennwort fragt, das Sie beim Export vergeben haben. So einen Import können auch andere Nutzer durchführen, etwa um Zugriff auf die Dateien eines Mitarbeiters zu erlangen, der die Firma verlassen hat.

Die Alternative - PC-WELT Datensafe

Der PC-WELT Datensafe hat der EFS-Verschlüsselung von Windows eines voraus: Er ist in der Lage, Dateien nicht nur zu verschlüsseln, sondern sie auch zu verstecken. Falls es sich bei dem Dieb oder unbefugten Benutzer nicht um einen IT-Experten handelt, der gezielt nach verborgenen Files sucht, bekommen Sie damit eine zusätzliche Sicherheitsebene. Denn das Tool bietet als weitere Option auch eine Teilverschlüsselung an, bei der Dateien nicht nur unsichtbar gemacht, sondern im vorderen Teil verschlüsselt werden. Diese Methode eignet sich gut für Anwendungen und komprimierte Files, da sie die Ausführung beziehungsweise das Öffnen verhindert. In der Vollversion des Datensafes haben die Benutzer zudem Zugriff auf eine Vollverschlüsselung, die auf Wunsch sogar den Dateinamen einbezieht. Sie versteckt die Files und verschlüsselt sie außerdem komplett. Auf diese Weise lassen sich beispielsweise vertrauliche Dokumente sicher schützen. Alle drei Optionen – Verstecken, Teilverschlüsselung, Vollverschlüsselung – werden mit einem Passwort gesichert. Die Verschlüsselung erfolgt in der Voreinstellung mit einem sicheren, 256 Bit starken AES-Algorithmus. Wer diese komplette Verschlüsselung für seine Daten wünscht, der kann die Pro-Version von PC-WELT Datensafe über für 24,99 Euro kaufen.

0 Kommentare zu diesem Artikel
1981749