Doppelt gemoppelt hält besser. BitLocker ist zwar eine schöne und vor allem leicht einzusetzende Möglichkeit, eine Festplatte zu verschlüsseln. Wenn ihr zusätzlich einzelne Dateien nochmal verschlüsseln wollt, dann geht das bei einem Windows 11 Pro- oder Enterprise-System ebenfalls mit Bordmitteln. EFS (Encrypted File System) heißt hier das Zauberwort – und ist auch 2026 noch ein mächtiges Werkzeug.
Um eine Datei zu verschlüsseln, klickt ihr im Windows Explorer einfach mit der rechten Maustaste auf eine Datei. Dann könnt ihr in der Registerkarte Allgemein auf Erweitert klicken. Ganz unten seht ihr dann Inhalt verschlüsseln, um Daten zu schützen.
Nachdem ihr das angewählt habt, haben die betroffenen (und jetzt verschlüsselten) Dateien und Ordner ein kleines Schloss als Symbol. Auf dem selben Weg könnt ihr die Verschlüsselung wieder rückgängig machen.
So funktioniert EFS im Detail
EFS nutzt hybride Verschlüsselung: Eure Dateien werden mit einem symmetrischen Schlüssel verschlüsselt (AES-256 bei Windows 11), der wiederum mit eurem öffentlichen RSA-Schlüssel verschlüsselt wird. Das macht das System sowohl schnell als auch sicher. Der private Schlüssel ist mit euren Windows-Anmeldedaten verknüpft – deshalb funktioniert die Entschlüsselung automatisch, sobald ihr angemeldet seid.
Wichtig zu wissen: Die Verschlüsselung hängt am Benutzerkonto. Sobald sich jemand erfolgreich anmeldet, kann er die Dateien entschlüsseln. Gebt ihr per EFS verschlüsselte Dateien per E-Mail oder einem Datenträger weiter, dann wird automatisch die Verschlüsselung aufgehoben – außer ihr exportiert sie explizit verschlüsselt.
PowerShell macht’s komfortabler
Seit Windows 10 könnt ihr EFS auch über PowerShell steuern. Mit dem Befehl Protect-CmsMessage verschlüsselt ihr Dateien, mit Unprotect-CmsMessage entschlüsselt ihr sie wieder. Das ist besonders praktisch für Batch-Operationen oder Skripte. Für eine komplette Ordnerstruktur verwendet ihr:
Get-ChildItem -Path "C:MeinOrdner" -Recurse | ForEach-Object { $_.Encrypt() }
Backup der Schlüssel ist Pflicht
Was aber, wenn ihr selber nicht mehr an euer Benutzerkonto kommt, weil ihr die Zugangsdaten vergessen habt? Windows 11 versucht dies zu verhindern, indem es euch beim ersten Verschlüsseln einer Datei daran erinnert, ein Backup der Schlüssel durchzuführen.
Dazu zeigt euch Windows nicht nur kurz einen Dialog an, sondern auch gleich ein Symbol im Tray. Klickt auf das Symbol, dann auf Jetzt sichern. Folgt den Dialogen, und gebt neben dem Zielort für die Sicherung (am besten ein USB-Stick, den ihr sicher weglegen könnt) auch ein Kennwort an. Ohne dieses kann der Schlüssel nicht mehr wiederhergestellt werden.
Was ihr noch wissen solltet
EFS hat ein paar Eigenarten, die ihr kennen solltet: Kopiert ihr eine verschlüsselte Datei auf ein FAT32- oder exFAT-Laufwerk, wird sie automatisch entschlüsselt – diese Dateisysteme unterstützen EFS nicht. Auch beim Verschieben zwischen verschiedenen NTFS-Laufwerken kann die Verschlüsselung verloren gehen.
In Unternehmensumgebungen können Admins Recovery Agents einrichten – das sind spezielle Konten, die verschlüsselte Dateien aller Benutzer öffnen können. Das ist praktisch, wenn Mitarbeiter das Unternehmen verlassen, aber ihre Dateien noch gebraucht werden.
Grenzen und Alternativen
EFS schützt nur vor lokalem Zugriff. Ist euer System kompromittiert und jemand kann sich als euer Benutzer anmelden, sind die Dateien lesbar. Für höchste Sicherheit kombiniert ihr EFS mit starken Passwörtern, Windows Hello oder Smart Cards.
Alternativen zu EFS sind Tools wie VeraCrypt oder 7-Zip mit Passwort-Schutz. Diese funktionieren betriebssystemübergreifend, erfordern aber mehr Handarbeit. Für den schnellen Schutz sensibler Dokumente auf Windows-Systemen bleibt EFS aber unschlagbar einfach.
Fazit
EFS ist ein unterschätztes Feature, das euch mit wenigen Klicks zusätzliche Sicherheit bietet. Gerade in Zeiten, wo Laptops gestohlen oder USB-Sticks verloren gehen, ist diese Schutzschicht gold wert. Denkt nur daran, eure Schlüssel zu sichern – sonst steht ihr irgendwann vor verschlossenen Türen eurer eigenen Daten.
Zuletzt aktualisiert am 03.03.2026
