Windows-Sicherheit · Dateiverschlüsselung

Dateien und Ordner mit EFS in Windows verschlüsseln
Windows 10 · Windows 11 · EFS-Zertifikat sichern

Eine praktische Anleitung zur Verwendung des Encrypting File System (EFS), um ausgewählte Dateien und Ordner auf NTFS-Laufwerken zu schützen – inklusive Zertifikatssicherung, Entschlüsselung, Befehlszeilenoptionen und Fehlerbehebung.

⏱ 11 Min. Lesezeit 🔐 EFS-Verschlüsselung 🪟 Windows 10 🪟 Windows 11 💾 NTFS-Laufwerke
Überblick

Was ist EFS in Windows und wann sollten Sie es verwenden?

Encrypting File System (EFS) ist eine integrierte Windows-Funktion, mit der einzelne Dateien und Ordner auf NTFS-formatierten Laufwerken verschlüsselt werden können. Anders als BitLocker, das ein komplettes Laufwerk schützt, ist EFS für selektive Verschlüsselung auf Dateiebene gedacht: Sie entscheiden genau, welche Dokumente, Ordner oder Projektdateien geschützt werden sollen.

EFS ist mit Ihrem Windows-Benutzerkonto und dessen Verschlüsselungszertifikat verknüpft. Wenn Sie mit dem richtigen Benutzer angemeldet sind, lassen sich verschlüsselte Dateien normal öffnen. Andere Benutzer auf demselben PC, Personen, die ein anderes Betriebssystem starten, oder Nutzer, die verschlüsselte Dateien ohne Zertifikat kopieren, können den ursprünglichen Inhalt nicht lesen.

ℹ️
EFS oder BitLocker

Verwenden Sie EFS, wenn Sie bestimmte Dateien oder Ordner verschlüsseln möchten. Verwenden Sie BitLocker, wenn Sie ein gesamtes Laufwerk schützen möchten, insbesondere bei einem Laptop, der verloren gehen oder gestohlen werden könnte.

Typische Einsatzbereiche für EFS-Verschlüsselung

Wann EFS nicht die beste Wahl ist

Vorbereitung

Bevor Sie Dateien mit EFS in Windows 10 oder Windows 11 verschlüsseln

EFS lässt sich einfach aktivieren, hat aber wichtige Voraussetzungen und Risiken. Die wichtigste Regel lautet: Sichern Sie Ihr EFS-Zertifikat und den privaten Schlüssel sofort, nachdem Sie die erste Datei verschlüsselt haben. Ohne dieses Zertifikat können Sie nach einer Windows-Neuinstallation, einem PC-Reset, dem Löschen des Benutzerprofils oder dem Verschieben der Dateien auf einen anderen Computer den Zugriff auf Ihre verschlüsselten Daten verlieren.

Voraussetzung Details
Laufwerksformat Die Datei oder der Ordner muss auf einem NTFS-Laufwerk gespeichert sein. EFS ist nicht für FAT32- oder exFAT-Laufwerke vorgesehen.
Windows-Edition EFS ist normalerweise in professionellen und geschäftlichen Windows-Editionen verfügbar, zum Beispiel Pro, Enterprise und Education.
Benutzerkonto Die Verschlüsselung ist mit dem aktuellen Windows-Benutzerkonto und dessen Zertifikat verknüpft.
Zertifikatssicherung Exportieren Sie das Zertifikat in eine passwortgeschützte .PFX-Datei und bewahren Sie sie sicher auf.
Komprimierung Eine Datei oder ein Ordner kann nicht gleichzeitig NTFS-komprimiert und EFS-verschlüsselt sein.
⚠️
Wichtiger Hinweis

Installieren Sie Windows nicht neu, setzen Sie den PC nicht zurück, löschen Sie das Benutzerprofil nicht und formatieren Sie das Laufwerk nicht, bevor Sie das EFS-Zertifikat gesichert haben. Die Dateien bleiben möglicherweise verschlüsselt, aber der private Schlüssel zum Entschlüsseln kann fehlen.

Prüfen, ob das Laufwerk NTFS verwendet

  1. Öffnen Sie den Datei-Explorer.
  2. Klicken Sie mit der rechten Maustaste auf das Laufwerk, auf dem die Dateien gespeichert sind.
  3. Wählen Sie Eigenschaften.
  4. Prüfen Sie Dateisystem. Dort sollte NTFS stehen.
Methode über Datei-Explorer

So verschlüsseln Sie einen Ordner mit EFS im Windows-Datei-Explorer

Der einfachste Weg zur Nutzung von EFS führt über die Eigenschaften des Ordners. Diese Methode ist besonders praktisch, wenn alle neuen Dateien innerhalb eines Ordners automatisch verschlüsselt werden sollen.

  1. Öffnen Sie den Datei-Explorer.
  2. Klicken Sie mit der rechten Maustaste auf den Ordner, den Sie schützen möchten.
  3. Wählen Sie Eigenschaften.
  4. Klicken Sie auf der Registerkarte Allgemein auf Erweitert.
  5. Aktivieren Sie Inhalt verschlüsseln, um Daten zu schützen.
  6. Klicken Sie auf OK und danach auf Übernehmen.
  7. Wenn Windows fragt, wie die Änderung angewendet werden soll, wählen Sie Änderungen für diesen Ordner, Unterordner und Dateien übernehmen, wenn bereits vorhandene Inhalte ebenfalls verschlüsselt werden sollen.
  8. Klicken Sie auf OK und warten Sie, bis Windows die Daten verschlüsselt hat.

Nach dem Aktivieren der Verschlüsselung kann Windows Datei- und Ordnernamen im Datei-Explorer grün anzeigen. Das weist darauf hin, dass die Elemente mit EFS verschlüsselt sind.

Empfohlener Ablauf

Erstellen Sie einen eigenen Ordner, zum Beispiel Private Dokumente, aktivieren Sie dafür die EFS-Verschlüsselung und verschieben Sie sensible Dateien hinein. Neue Dateien, die in diesem Ordner erstellt werden, werden automatisch verschlüsselt.

Verschlüsselung einzelner Dateien

So verschlüsseln Sie eine einzelne Datei mit EFS in Windows

Sie können auch eine einzelne Datei verschlüsseln, ohne den gesamten Ordner zu verschlüsseln. Windows kann jedoch empfehlen, auch den übergeordneten Ordner zu verschlüsseln. Der Grund: Einige Anwendungen erstellen beim Bearbeiten temporäre Kopien. Ist der Ordner nicht verschlüsselt, können temporäre Daten unverschlüsselt geschrieben werden.

  1. Klicken Sie mit der rechten Maustaste auf die Datei, die Sie verschlüsseln möchten.
  2. Wählen Sie Eigenschaften.
  3. Klicken Sie auf der Registerkarte Allgemein auf Erweitert.
  4. Aktivieren Sie Inhalt verschlüsseln, um Daten zu schützen.
  5. Klicken Sie auf OK.
  6. Klicken Sie auf Übernehmen.
  7. Wenn Sie dazu aufgefordert werden, wählen Sie, ob nur die Datei oder auch der übergeordnete Ordner verschlüsselt werden soll.

Sollte auch der übergeordnete Ordner verschlüsselt werden?

In den meisten Fällen ja. Die Verschlüsselung des gesamten Ordners bietet besseren Schutz, weil temporäre Dateien, neu gespeicherte Versionen und kopierte Dateien innerhalb dieses Ordners automatisch geschützt bleiben können. Nur eine einzelne Datei zu verschlüsseln ist für schnellen Schutz nützlich, als langfristiger Arbeitsablauf aber weniger zuverlässig.

Zertifikatssicherung

So sichern Sie Ihr EFS-Verschlüsselungszertifikat und den privaten Schlüssel

Das EFS-Zertifikat ist der Schlüssel zu Ihren verschlüsselten Daten. Wenn Windows Sie auffordert, das Dateiverschlüsselungszertifikat zu sichern, sollten Sie dies sofort tun. Alternativ können Sie den Export manuell über die Zertifikatverwaltung starten.

Methode 1: EFS-Zertifikat über die Windows-Benachrichtigung sichern

  1. Achten Sie nach dem Verschlüsseln der ersten Datei oder des ersten Ordners auf die Benachrichtigung Dateiverschlüsselungszertifikat und Schlüssel sichern.
  2. Klicken Sie auf die Benachrichtigung.
  3. Wählen Sie Jetzt sichern.
  4. Folgen Sie dem Zertifikatexport-Assistenten.
  5. Wählen Sie, dass der private Schlüssel exportiert werden soll.
  6. Wählen Sie das Format Personal Information Exchange (.PFX).
  7. Legen Sie ein starkes Passwort für die exportierte Zertifikatsdatei fest.
  8. Speichern Sie die .PFX-Datei an einem sicheren Ort, zum Beispiel auf einem verschlüsselten externen Laufwerk.

Methode 2: EFS-Zertifikat manuell exportieren

  1. Drücken Sie Win + R.
  2. Geben Sie certmgr.msc ein und drücken Sie Enter.
  3. Öffnen Sie Eigene ZertifikateZertifikate.
  4. Suchen Sie das Zertifikat, bei dessen vorgesehenen Zwecken Encrypting File System aufgeführt ist.
  5. Klicken Sie mit der rechten Maustaste auf das Zertifikat und wählen Sie Alle AufgabenExportieren.
  6. Wählen Sie im Assistenten Ja, privaten Schlüssel exportieren.
  7. Wählen Sie .PFX, legen Sie ein Passwort fest und speichern Sie die Datei.
🔑
Sicherung sorgfältig aufbewahren

Wer sowohl die verschlüsselten Dateien als auch das Passwort zur exportierten .PFX-Zertifikatsdatei besitzt, kann die Dateien möglicherweise entschlüsseln. Bewahren Sie das Zertifikat getrennt von den verschlüsselten Daten auf und speichern Sie das Passwort in einem sicheren Passwortmanager.

Befehlszeile

So verwenden Sie den Cipher-Befehl zum Verschlüsseln von Dateien mit EFS

Fortgeschrittene Benutzer können EFS über die Eingabeaufforderung oder Windows Terminal mit dem Befehl cipher verwalten. Das ist nützlich für Skripte, die Prüfung des Verschlüsselungsstatus oder das gleichzeitige Verschlüsseln vieler Dateien.

Einen Ordner und seine vorhandenen Dateien verschlüsseln

Eingabeaufforderung
cipher /e /s:"C:\Users\YourName\Documents\Private"

Dieser Befehl aktiviert die EFS-Verschlüsselung für den ausgewählten Ordner und verarbeitet Dateien in Unterordnern.

Einen Ordner und seine Dateien entschlüsseln

Eingabeaufforderung
cipher /d /s:"C:\Users\YourName\Documents\Private"

Verschlüsselungsstatus anzeigen

Eingabeaufforderung
cipher "C:\Users\YourName\Documents\Private"

Aktuelles EFS-Zertifikat über die Befehlszeile sichern

Eingabeaufforderung
cipher /x "%USERPROFILE%\Desktop\EFS-Backup.pfx"

Windows fordert Sie auf, das exportierte Zertifikat mit einem Passwort zu schützen. Verschieben Sie die .PFX-Datei nach dem Export vom Desktop an einen sicheren Sicherungsort.

Entschlüsselung

So entschlüsseln Sie EFS-Dateien und Ordner in Windows

Die Entschlüsselung erfolgt im selben Fenster für erweiterte Attribute, das auch für die Verschlüsselung verwendet wird. Sie müssen als Benutzer angemeldet sein, der Zugriff auf den privaten EFS-Schlüssel hat.

  1. Klicken Sie mit der rechten Maustaste auf die verschlüsselte Datei oder den verschlüsselten Ordner.
  2. Wählen Sie Eigenschaften.
  3. Klicken Sie auf der Registerkarte Allgemein auf Erweitert.
  4. Deaktivieren Sie Inhalt verschlüsseln, um Daten zu schützen.
  5. Klicken Sie auf OK und anschließend auf Übernehmen.
  6. Wenn Sie einen Ordner entschlüsseln, wählen Sie, ob die Änderung nur auf den Ordner oder auch auf alle Unterordner und Dateien angewendet werden soll.

Entschlüsseln über die Eingabeaufforderung

Eingabeaufforderung
cipher /d "C:\Users\YourName\Documents\Private\file.docx"

Für eine ganze Ordnerstruktur verwenden Sie die Option /s:

Eingabeaufforderung
cipher /d /s:"C:\Users\YourName\Documents\Private"
Zugriffskontrolle

So geben Sie den Zugriff auf EFS-verschlüsselte Dateien für einen anderen Benutzer frei

EFS kann zusätzlichen Windows-Benutzern Zugriff auf eine verschlüsselte Datei erlauben, ist aber nicht dasselbe wie eine normale Ordnerfreigabe. Der andere Benutzer benötigt ein geeignetes EFS-Zertifikat, und der Zugriff muss zur verschlüsselten Datei hinzugefügt werden.

  1. Klicken Sie mit der rechten Maustaste auf die verschlüsselte Datei.
  2. Öffnen Sie Eigenschaften.
  3. Klicken Sie auf Erweitert.
  4. Klicken Sie neben der Verschlüsselungsoption auf Details.
  5. Klicken Sie auf Hinzufügen.
  6. Wählen Sie das Benutzerzertifikat aus, das Zugriff auf die Datei erhalten soll.
  7. Übernehmen Sie die Änderungen.
👥
Ordnerfreigabe und EFS sind getrennte Ebenen

Eine Netzwerkfreigabe eines Ordners gibt einer anderen Person nicht automatisch die Möglichkeit, EFS-geschützte Daten zu entschlüsseln. Dateiberechtigungen und EFS-Zertifikate sind separate Zugriffskontrollschichten.

Lösungen

EFS-Fehlerbehebung: Häufige Probleme und Lösungen

Die Option „Inhalt verschlüsseln, um Daten zu schützen“ ist ausgegraut

Das passiert meist, wenn sich die Datei nicht auf einem NTFS-Laufwerk befindet, die Windows-Edition EFS nicht unterstützt, die Datei als komprimiert markiert ist oder die Verschlüsselung per Richtlinie deaktiviert wurde.

Verschlüsselte Dateien lassen sich nach einer Windows-Neuinstallation nicht öffnen

Importieren Sie das zuvor exportierte .PFX-Zertifikat in das aktuelle Benutzerkonto:

  1. Doppelklicken Sie auf die .PFX-Sicherungsdatei.
  2. Verwenden Sie den Zertifikatimport-Assistenten.
  3. Importieren Sie das Zertifikat in den Zertifikatspeicher Aktueller Benutzer.
  4. Geben Sie das Passwort ein, das Sie beim Export des Zertifikats festgelegt haben.
  5. Versuchen Sie erneut, die verschlüsselten Dateien zu öffnen.
Keine Zertifikatssicherung vorhanden?

Wenn das ursprüngliche Windows-Profil und der private Schlüssel verloren sind und keine EFS-Zertifikatssicherung existiert, ist die Wiederherstellung der verschlüsselten Dateiinhalte in der Regel nicht möglich. EFS ist so konzipiert, dass ohne privaten Schlüssel kein Zugriff möglich ist.

Verschlüsselte Dateien verlieren die Verschlüsselung nach dem Kopieren

Das Verhalten von EFS hängt vom Ziel ab. Beim Kopieren auf ein Nicht-NTFS-Laufwerk, beim Hochladen über bestimmte Apps oder beim Speichern in einem Archiv kann der EFS-Schutz entfernt werden. Wenn Sie portable Verschlüsselung benötigen, verwenden Sie stattdessen einen passwortgeschützten verschlüsselten Container oder ein verschlüsseltes Archiv.

Dateien sind verschlüsselt, aber der Ordnername ist nicht grün

Die Farbanzeige im Datei-Explorer kann deaktiviert sein. Um den tatsächlichen Status zu prüfen, öffnen Sie die Dateieigenschaften oder führen Sie den Befehl cipher für den Ordner aus.

FAQ

Häufig gestellte Fragen zur EFS-Verschlüsselung in Windows

Q Ist EFS dasselbe wie BitLocker?
Nein. EFS verschlüsselt ausgewählte Dateien und Ordner. BitLocker verschlüsselt ganze Laufwerke oder Volumes. Für den besten Schutz auf Laptops ist BitLocker häufig die bessere erste Schutzebene, während EFS zusätzlich für bestimmte sensible Dateien verwendet werden kann.
Q Kann ich EFS auf einem USB-Stick verwenden?
Nur wenn der USB-Stick NTFS verwendet und der Computer über das erforderliche EFS-Zertifikat verfügt. Für Wechseldatenträger, die auf unterschiedlichen PCs geöffnet werden sollen, ist BitLocker To Go oder eine andere portable Verschlüsselungsmethode meist einfacher zu verwalten.
Q Schützt EFS Dateien, wenn jemand mein Windows-Passwort kennt?
Wenn sich jemand als Ihr Windows-Benutzer anmelden kann, kann diese Person Ihre EFS-verschlüsselten Dateien normalerweise öffnen, weil der private Schlüssel in diesem Benutzerprofil verfügbar ist. EFS schützt Daten vor allem vor anderen Konten, Offline-Zugriff und unbefugtem Kopieren ohne Zertifikat.
Q Was passiert, wenn ich eine EFS-verschlüsselte Datei auf einen anderen Computer kopiere?
Die Datei kann verschlüsselt bleiben, lässt sich aber nur öffnen, wenn auf dem Zielcomputer das richtige EFS-Zertifikat und der private Schlüssel für den Benutzer importiert wurden, der Zugriff benötigt.
Q Kann ein Administrator meine EFS-Dateien entschlüsseln?
Ein lokaler Administrator kann Ihre Dateien nicht automatisch ohne das erforderliche Zertifikat oder einen konfigurierten Wiederherstellungs-Agent entschlüsseln. In verwalteten Unternehmensumgebungen kann eine Organisation EFS-Wiederherstellungsrichtlinien konfigurieren.
Q Sollte ich Systemordner mit EFS verschlüsseln?
Nein. Verschlüsseln Sie keine Windows-Systemordner, Programmordner, Browserprofil-Verzeichnisse oder andere Anwendungsordner, sofern Sie die Folgen nicht vollständig verstehen. EFS eignet sich am besten für persönliche Dokumente und dedizierte Datenordner.

Fazit: EFS in Windows sicher verwenden

EFS ist eine praktische integrierte Möglichkeit, ausgewählte Dateien und Ordner in Windows 10 und Windows 11 zu verschlüsseln. Der sicherste Ansatz besteht darin, einen eigenen Ordner zu verschlüsseln, sensible Dateien darin aufzubewahren und das EFS-Zertifikat mit privatem Schlüssel sofort in eine passwortgeschützte .PFX-Datei zu exportieren.

Denken Sie daran, dass EFS von Ihrem Windows-Benutzerprofil und Zertifikat abhängt. Wenn Sie Windows neu installieren, Daten auf einen anderen PC übertragen oder Ihr Konto zurücksetzen möchten, exportieren Sie zuerst das Zertifikat. Ohne diese Sicherung können verschlüsselte Dateien dauerhaft unzugänglich werden.