Zuletzt aktualisiert: 06/2026
Wenn du gleich loslegen willst, findest du hier die Anleitungen.
Zusammenfassung (mehr Details unten):
Du kannst die Verschlüsselung von Windows nutzen oder Veracrypt als eigenes Tool installieren (Anleitung). Der Code von Veracrypt ist öffentlich und kann als sicher eingestuft werden. Eine System-mit-Veracrypt-installieren-Anleitung findest du hier (ist jedoch etwas veraltet).
Die Installation mit Veracrypt ist komplizierter als die Verschlüsselung mit den von Windows mitgebrachten Tools. Veracrypt integriert sich tief ins System, was manchmal nach Windows-Updates zu Problemem führen kann. Du solltet auf jeden Fall vorher (und danach regelmäßig) ein Backup machen, bevor du deinen Windows Laptop mit Veracrypt verschlüsselst.
Die Verschlüsselungs-Optionen unter Windows hängen von der Windows Version ab. Wenn du Windows Home nutzt, bietet dir Windows die "Geräteverschlüsselung". Nutzt du Windows Pro oder Windows Enterprise, kannst du BitLocker nutzen. Hier findest du die Anleitung "Welche Windows Version nutze ich?".
Die Geräteverschlüsselung unter Windows 11 speichert den Wiederherstellungsschlüssel automatisch in deinem Microsoft Konto. Das heißt die Polizei könnte ihn bei Microsoft anfragen und so deine Festplatte entschlüsseln. Außerdem kannst ohne BitLocker keine Pre-Boot Authentication aktivieren. Dieses Feature ist sehr wichtig und wird weiter unten erlärt. Unter der Haube funktioniert die Verschlüsselung von Geräteverschlüsselung/BitLocker sehr ähnlich.
Wenn du wirklich sicher sein willst solltest du dein System mit Veracrypt verschlüsseln. Alternativ kannst du auf Windows Pro upgraden, um die BitLocker-Features nutzen zu können. Für das Upgrade auf Windows Pro kannst du den offiziellen Weg gehen und Geld bezahlen. Alternativ gibt es im Internet auch Skripte, mit denen das geht. Die "Geräteverschüsselung" auf Windows Home (ist wie BitLocker nur ohne Pre-Boot Authentication) sollte nicht als sicher angesehen werden.
Die Anleitungen hier im Wiki basieren auf Windows 11. Die Anleitungen sollten aber auf Windows 10 genauso funktionieren. Solltest du noch das ältere Windows 10 haben, solltest du aber unbedingt upgraden. In Zukunft bekommt Windows 10 keine Updates mehr. In der Vergangenheit wurden verschiedene Sicherheitsprobleme in Bezug auf die Windows-Verschlüsselung durch Windows-Updates behoben.
Moderne Laptops besitzen einen Sicherheitschip (TPM 2.0), der deine Festplatte beim Starten des Laptops automatisch entschlüsselt. Du musst heutzutage unter Windows kein Passwort eingeben, damit das Gerät entschlüsselt wird. Die PIN/Passwort, die du dann beim Anmelden eingibst, ist nicht das Passwort zum Entschlüsseln der Festplatte, sondern nur dein Benutzer*innen-Passwort (es kann ja mehrere Accounts auf dem Laptop geben). Dass du beim Starten kein Festplatten-Passwort eingeben musst ist bequem, aber nicht besonders sicher.
Stell dir vor du kippst Wassser auf deinen Laptop und er geht nicht mehr an. Dann funktioniert die Festplatte meist noch, aber der Laptop startet halt nicht mehr. Du kannst deine Festplatte ausbauen und an einen anderen Laptop anschließen. Allerdings ist die Festplatte ja verschlüsselt. Und für die Entschlüsselung brauchst du den Sicherheitschip, der sich aber im (kaputten) Laptop befindet.
Deshalb gibt es Wiederherstellungsschlüssel (auch Recovery Key genannt). Das ist im Grunde ein automatisch generiertes langes Passwort, mit dem du deine Festplatte manuell entschlüsseln kannst.
Du solltest auf jeden Fall darauf achten, deinen Wiederherstellungsschlüssel zu sichern (Anleitung).
Wenn die Polizei den Wiederherstellungsschlüssel in deine Hände bekommt, kann sie so deine Festplatte entschlüsseln. Daher solltest du den Wiederherstellungsschlüssel nicht im Microsoft-Konto speichern.
Wenn die Pre-Boot Authentication aktiviert ist musst du beim Start des Laptops noch ein zusätzliches Passwort eingeben. Das Passwort wird an den Sicherheitschip geschickt. Wenn du das richtige Passwort eingegeben hast, rückt der Sicherheitschip den Schlüssel/Key heraus (mit dem die Festplatte verschlüsselt ist) und die Festplatte wird entschlüsselt.
Da der Sicherheitschip auch einen Warte-Mechanichmus enthält (bei zu oft falsch eingegebenen Passwort musst du warten), kann das Passwort auch nicht gebrutefocrt werden. Das Passwort muss also nicht super kompliziert sein.
In den letzten Jahren sind immer wieder Schwachstellen bekannt geworden, durch die die Windows-Verschlüsselung einfach umgangen werden konnte. Beispiele:
Wichtig: Bei all diesen Schwachstellen war das Problem, dass die Festplatte beim Start automatisch entschlüsselt wurde. Systeme mit einem zusätzlichen Passwort (Pre-Boot Authentication) waren bei allen Problemen der letzten Jahre nicht betroffen. Bendenke auch, dass dein Laptop über viele Monate bzw. Jahre bei der Polizei liegt und da da keine Sicherheitsupdates mehr bekommt.
Hier findest du die passende Anleitung dazu. Falls BitLocker bereits aktiviert wurde, aktiviere am besten noch zusätzlich Pre-Boot Authentication (Anleitung). Du benötigst dazu Windows Pro/Enterprise (Welche Windows Version nutze ich?).
Das schöne an BitLocker ist, dass es relativ einfach zu aktivieren ist. Du musst vorher kein Backup machen. Eine Anleitung findest du hier. Nutzt du die "Geräteverschlüsselung" unter Windows Home, kannst du die Anleitung auch nutzen. Du musst nur "Geräteverschlüsselung" anstatt "BitLocker" im Startmenü suchen.
Wenn du dir nicht sicher bist, ob du Pre-Boot Authentication schon aktiviert hast, kannst du mal in diese Anleitung schauen. Die Anleitung zur Aktivierung findest du hier. Du benötigst dazu Windows Pro/Enterprise (Welche Windows Version nutze ich?).
Hier findest du die Anleitung dazu. Am besten speicherst du ihn in deinem Passwort-Manager.
Dazu haben wir selbst keine Anleitung. Es gibt aber