Um einen Ordner oder eine Datei unter Windows 10 zu verschlüsseln, gehen Sie wie folgt vor. Beachten Sie, dass dies nur bei Daten funktioniert, die auf einer mit NTFS formatierten Partition liegen. Falls die Daten auf einem mit FAT32 formatierten Speicher (etwa ein USB-Stick) liegen, ist die Verschlüsselungsfunktion vermutlich ausgegraut, sprich: inaktiv.

Zunächst sehen Sie, dass der Ordner im Windows-Explorer eine kleine Dekoration in Form eines Vorhängeschlosses bekommt. Aber sonst bemerken Sie nichts. Sie mussten zum Verschlüsseln kein Kennwort eingeben und brauchen auch zum Öffnen des Ordners und Bearbeiten der enthaltenen Dateien keines. Also was und wie wurde denn hier verschlüsselt?

Die Datei wurde in der Tat verschlüsselt, aber mit einem hierfür von Windows selbst erzeugten Schlüssel, der an Ihr Windows-Benutzerkonto gebunden ist. Solange Sie sich an diesem Gerät mit genau dieser Konto-ID einloggen und solange darin der Schlüssel noch gespeichert ist, solange haben Sie auf die verschlüsselten Dateien automatisch Zugriff.

Versucht man, mit einem anderen Windows-Benutzerkonto auf die Dateien zuzugreifen, ist Fehlanzeige. Und ebenso verunmöglicht ist ein Zugriff unter einem anderen Betriebssystem. Starten wir das System zum Beispiel ab einem Linux-USB-Stick auf, ist ein unverschlüsselter Ordner bestens lesbar; erkennbar an den eingefügten Bilder-Thumbnails. Der verschlüsselte Ordner (unserer heisst «Rubbish») zeigt hingegen erstens keine Thumbnails und es erscheint zweitens eine Fehlermeldung, wenn wir versuchen, eine der Dateien zu öffnen.

Wie auf der vorherigen Seite erwähnt, hat Windows einen Schlüssel erzeugt, der an die Konto-ID des aktuell eingeloggten Nutzers gebunden ist. Die Konto-ID ist aber nicht nur der Benutzername (z.B. Hanna Muster) und das Kennwort, sondern eine beim Erstellen des Kontos zufällig erzeugte ID. Wenn Sie den Benutzer löschen und ihn mit derselben Benutzername- und Passwortkombination neu erstellen, dann erhält das Konto eine andere ID. Sie hätten also gleichwohl keinen Zugriff auf den verschlüsselten Ordner, obwohl der Benutzer gleich heisst und dasselbe Passwort verwendet. Um sicherzustellen, dass Sie im Notfall die Daten auch aus einem nicht mehr startfähigen System wieder lesbar herstellen können, müssen Sie das Zertifikat exportieren und in Ihre Datensicherung speichern.

Wie das geht, lesen Sie gleich nachfolgend.

Wenn Sie unter Windows 10 erstmals oder nach einem Neustart auf den Ordner zugreifen, erscheint meist eine Meldung wie die folgende. Klicken Sie aufs gelb-grüne Schlüsselsymbol in der Taskleiste.

Klicken Sie im folgenden Dialog auf Jetzt sichern, dann startet der Zertifikatexport-Assistent. Darin klicken Sie bitte auf Weiter, übernehmen die vorgeschlagenen Einstellungen «Privater Informationsaustausch» und klicken erneut auf Weiter. Bis zum jetztigen Zeitpunkt war die Zertifikatsinformation an Ihre Benutzerkonto-ID gebunden. Aber jetzt könnte es sein, dass das Zertifikat den Rechner verlässt, weil Sie vielleicht vorhaben, die Sicherungsdatei auf eine externe Festplatte, auf ein NAS, in eine Cloud oder einen USB-Stick zu speichern. Darum müssen Sie zur Sicherung der Information ein Kennwort angeben und dieses im zweiten Feld bestätigen. Merken Sie sich dieses gut, sonst sind die Daten verloren, sobald es kritisch wird. Führen Sie den Assistenten zu Ende und wählen Sie den gewünschten Speicherplatz. Die Datei wird erstellt.

Falls Sie das Popup oder das Icon verpasst haben, um das Zertifikat zu sichern, klicken Sie auf Start, tippen Zerti ein und öffnen Dateiverschlüsselungszertifikate verwalten. Klicken Sie auf Weiter, greifen Sie zu Zertifikat anzeigen und wechseln zum Reiter Details. Klicken Sie auf In Datei kopieren, anschliessend auf Weiter. Entscheiden Sie sich im nachfolgenden Dialog für Ja, privaten Schlüssel exportieren. Nun haben Sie wieder das Exportfenster vor sich, das Sie auch übers Popup angetroffen hätten. Speichern Sie die Datei.

Soll das Zertifikat später auf einem anderen Windows-Rechner importiert werden, müssen Sie in der Lage sein, das Kennwort wieder einzutippen.

Ist Ihnen die Sache mit der Verschlüsselung nicht geheuer? Sie können die Verschlüsselung von diesem Ordner auch wieder entfernen. Klicken Sie mit der rechten Maustaste auf den verschlüsselten Ordner (jener mit dem gelben Vorhängeschloss) und wählen Sie Eigenschaften. Im Reiter Allgemein klicken Sie auf Erweitert und deaktivieren die Option «Inhalt verschlüsseln, um Daten zu schützen». Klicken Sie auf OK und erneut auf OK. Bestätigen Sie, dass Sie die Änderung auf diesen Ordner und alle untergeordneten Ordner und Dateien anwenden wollen. Die Dateien werden entschlüsselt, das Vorhängeschloss verschwindet und die Files sind theoretisch wieder für alle Nutzer lesbar, die physischen Zugriff auf diesen PC haben.

Wichtige Tipps zum Schluss: Wenn Sie mit der Verschlüsselung herumspielen wollen, testen Sie diese bitte nicht an einem Ordner mit wichtigen Daten. Erstellen Sie besser einen Test-Ordner, indem Sie einen anderen Ordner kopieren. Falls etwas schiefgeht und die Daten nicht mehr lesbar wären, können Sie den Test-Ordner einfach löschen.

Die Windows-eigene Verschlüsselungsfunktion ist sehr eng mit Windows und dem Benutzerkonto verzahnt. In vielen Fällen ist es besser, zu einer Alternative zu greifen, wie zum Beispiel VeraCrypt, dem Nachfolger von TrueCrypt. Damit erstellen Sie zuverlässig verschlüsselte Container, die Sie auch auf USB-Sticks und andere Datenträger kopieren können. VeraCrypt gibt es auch für Linux und Mac OSX, was es für «Betriebssystem-Nomaden» zur besseren Wahl macht. Für die Entschlüsselung eines Containers ist nebst dem VeraCrypt-Programm nur ein Kennwort erforderlich, unabhängig davon, ob der VeraCrypt-Container auf demselben Betriebssystem erstellt worden ist.