Stand: März 2026 — Dieser Artikel wurde zuletzt im März 2026 fachlich geprüft und aktualisiert.
Verschlüsselungssoftware gibt es reichlich. Von kostenlosen Open-Source-Projekten bis hin zu Enterprise-Lösungen mit sechsstelligen Lizenzkosten reicht das Spektrum. Die Schwierigkeit liegt nicht darin, ein Tool zu finden — sondern das richtige Tool für den konkreten Einsatzzweck. Falsch gewählt, entsteht entweder ein falsches Sicherheitsgefühl oder ein unnötig teurer Aufwand.
Dieser Artikel vergleicht die wichtigsten Verschlüsselungstools nach praxisrelevanten Kriterien: Funktionsumfang, Betriebssystem-Unterstützung, BSI-Konformität, Verwaltbarkeit und Kosten. Die theoretischen Grundlagen zu den zugrundeliegenden Algorithmen (AES, RSA, ECC etc.) behandeln wir in einem separaten Artikel über Verschlüsselungsalgorithmen. Hier geht es um die Werkzeuge selbst.
Für die Festplattenverschlüsselung unter Windows ist BitLocker die naheliegende Wahl in Unternehmensumgebungen; VeraCrypt bietet mehr Flexibilität und Plattformunabhängigkeit. Linux-Server und -Clients verschlüsseln Sie mit LUKS2. Für Cloud-Daten ist Cryptomator die beste Open-Source-Option, während Datei- und E-Mail-Verschlüsselung mit GnuPG oder age abgedeckt werden. Die Wahl hängt immer vom konkreten Schutzbedarf, der vorhandenen Infrastruktur und den regulatorischen Anforderungen ab — pauschal "das beste Tool" gibt es nicht.
Die DSGVO nennt Verschlüsselung in Art. 32 Abs. 1 lit. a ausdrücklich als technische Maßnahme zur Sicherheit der Verarbeitung. Wer personenbezogene Daten verarbeitet, muss den "Stand der Technik" berücksichtigen. Stand der Technik bedeutet nicht zwingend das neueste Produkt — aber es bedeutet, dass veraltete oder unsichere Software ein Haftungsrisiko darstellt.
Darüber hinaus prüfen Aufsichtsbehörden bei Datenpannen, ob angemessene Verschlüsselung vorhanden war. War ein verlorener Laptop mit BitLocker oder VeraCrypt verschlüsselt, entfällt in der Regel die Meldepflicht nach Art. 34 DSGVO, weil kein Risiko für die Betroffenen besteht. War er unverschlüsselt, drohen empfindliche Bußgelder.
Das BSI empfiehlt seit Jahren sowohl software- als auch hardwaregestützte Verschlüsselung und hat mit der aktualisierten BSI TR-02102-1 (Version 2026-01) die kryptographischen Empfehlungen um Post-Quanten-Kryptographie erweitert. Klassische asymmetrische Verfahren sollen spätestens bis Ende 2031 nur noch hybrid — in Kombination mit Post-Quanten-Algorithmen — eingesetzt werden.
Hinweis zur Abgrenzung
Dieser Artikel behandelt Verschlüsselungssoftware und -tools — also konkrete Produkte, die Sie installieren, konfigurieren und verwalten. Die mathematischen Grundlagen der Algorithmen (AES, RSA, ECC, ChaCha20 etc.) behandeln wir im Artikel Verschlüsselungsalgorithmen erklärt.
Bevor wir die einzelnen Tools vergleichen, definieren wir die Kriterien, nach denen eine fundierte Bewertung erfolgen sollte. Nicht jedes Kriterium ist für jeden Einsatzzweck gleich relevant — aber diese acht Dimensionen decken die wesentlichen Aspekte ab.
Checkliste: Bewertungskriterien für Verschlüsselungssoftware
AES-256 im XTS-Modus ist der De-facto-Standard für Festplattenverschlüsselung. Alle ernstzunehmenden Tools unterstützen ihn. Entscheidend sind die Details: Welche Schlüsselableitungsfunktion wird verwendet? VeraCrypt nutzt standardmäßig PBKDF2 mit hoher Iterationszahl, LUKS2 setzt auf Argon2id — eine modernere Funktion, die auch gegen Brute-Force-Angriffe mit spezialisierter Hardware resistent ist.
Für die Zukunftssicherheit ist relevant, ob ein Tool kaskadierte Verschlüsselung unterstützt (VeraCrypt bietet z.B. AES-Twofish-Serpent) und ob es Vorbereitungen für Post-Quanten-Kryptographie gibt. Letzteres ist bei den meisten Festplatten-Tools noch nicht implementiert, wird aber gemäß der BSI-Empfehlungen bis 2030 relevant.
Für Einzelpersonen und kleine Teams spielt zentrale Verwaltung kaum eine Rolle. Ab 50 Geräten wird sie kritisch. BitLocker lässt sich über Microsoft Intune oder Active Directory zentral verwalten, inklusive automatischem Recovery-Key-Escrow und Compliance-Reporting. VeraCrypt bietet hier keine native Lösung — Unternehmen müssten eigene Skripte oder Drittanbieter-Tools einsetzen.
Viele Verschlüsselungstools sind kostenlos — VeraCrypt, LUKS, GnuPG, Cryptomator, age. Aber die Gesamtkosten (Total Cost of Ownership) umfassen mehr als die Lizenz: Einrichtung, Schulung, laufende Verwaltung, Support. Ein "kostenloses" Tool ohne zentrale Verwaltung kann in einer Unternehmensumgebung teurer werden als eine lizenzpflichtige Lösung mit integriertem Management.
| Tool | Kategorie | Betriebssysteme | Open Source | Zentrale Verwaltung | Kosten | BSI-konform |
|---|---|---|---|---|---|---|
| BitLocker | Full-Disk | Windows Pro/Enterprise | Nein | Ja (Intune, AD, SCCM) | In Windows-Lizenz enthalten | Ja (FIPS 140-2) |
| VeraCrypt | Full-Disk / Container | Windows, macOS, Linux | Ja | Nein | Kostenlos | Ja (auditiert) |
| LUKS2 | Full-Disk | Linux | Ja | Über Ansible/Puppet | Kostenlos | Ja |
| FileVault 2 | Full-Disk | macOS | Nein | Ja (MDM) | In macOS enthalten | Ja (FIPS 140-2) |
| Cryptomator | Cloud-Verschlüsselung | Windows, macOS, Linux, iOS, Android | Ja | Ja (Cryptomator Hub) | Desktop kostenlos, Mobile ca. 15 € | Ja (auditiert) |
| GnuPG | Datei-/E-Mail-Verschlüsselung | Windows, macOS, Linux | Ja | Nein | Kostenlos | Ja (BSI-gefördert) |
| age | Dateiverschlüsselung | Windows, macOS, Linux | Ja | Nein | Kostenlos | Ja |
| AxCrypt | Dateiverschlüsselung | Windows, macOS, iOS, Android | Teilweise | Ja (Business-Plan) | Ab 4,75 €/Monat (Premium) | Ja |
| NordLocker | Datei-/Cloud-Verschlüsselung | Windows, macOS | Nein | Ja (Business) | Ab 0,99 €/Monat | Ja |
Die Festplattenverschlüsselung (Full Disk Encryption, FDE) schützt alle Daten auf einem Datenträger — auch temporäre Dateien, Swap-Speicher und gelöschte Daten. Sie ist die Grundlage jeder Gerätesicherheit und bei mobilen Geräten praktisch Pflicht.
BitLocker ist in Windows Pro und Enterprise integriert und nutzt AES-128 oder AES-256 im XTS-Modus. Der größte Vorteil: die nahtlose Integration in die Microsoft-Infrastruktur. Recovery-Keys werden automatisch in Azure AD oder lokalem Active Directory gespeichert. Über Microsoft Intune lassen sich Verschlüsselungsrichtlinien für hunderte Geräte zentral ausrollen und überwachen.
Stärken: TPM-Integration für transparente Verschlüsselung ohne Passwort-Eingabe beim Booten. FIPS 140-2-Validierung. Compliance-Reporting über Intune. Minimaler Performance-Overhead dank AES-NI-Hardware-Beschleunigung.
Schwächen: Nur Windows Pro/Enterprise — die Home-Edition wird nicht unterstützt. Proprietär und nicht unabhängig auditierbar. Kein Support für Linux oder macOS. Keine versteckten Volumes (Hidden Volumes) für glaubhafte Abstreitbarkeit.
Empfehlung: Für reine Windows-Umgebungen mit Microsoft-365-Infrastruktur ist BitLocker die erste Wahl. Die zentrale Verwaltung allein rechtfertigt die Entscheidung.
VeraCrypt ist der Nachfolger von TrueCrypt und läuft auf Windows, macOS und Linux. Es bietet Full-Disk-Encryption und verschlüsselte Container — virtuelle Laufwerke, die als Datei auf einem beliebigen Datenträger liegen und bei Bedarf gemountet werden.
Stärken: Plattformunabhängig. Unterstützt kaskadierte Verschlüsselung (AES-Twofish-Serpent). Bietet Hidden Volumes und Hidden OS für glaubhafte Abstreitbarkeit. Open Source und durch das Fraunhofer-Institut und das BSI-nahe OSTIF-Audit (2016) geprüft. Kostenlos.
Schwächen: Keine zentrale Verwaltung — Recovery-Keys müssen manuell gesichert werden. Die Einrichtung erfordert mehr technisches Verständnis als BitLocker. Die Full-Disk-Encryption unter Windows ist etwas weniger performant als BitLocker (kein TPM-Support im gleichen Maße). Keine formale FIPS-Zertifizierung.
Empfehlung: Ideal für plattformübergreifende Umgebungen, portable verschlüsselte Datenträger und Szenarien, in denen Open Source und Auditierbarkeit Pflicht sind. Für Unternehmen mit mehr als 50 Geräten wird die fehlende zentrale Verwaltung zum Problem.
LUKS (Linux Unified Key Setup) ist der Standard für Festplattenverschlüsselung unter Linux und wird bei der Installation der meisten Distributionen als Option angeboten. LUKS2 ist die aktuelle Version und bietet gegenüber LUKS1 wesentliche Verbesserungen.
Stärken: Nutzt standardmäßig Argon2id als Schlüsselableitungsfunktion — resistent gegen GPU-basierte Brute-Force-Angriffe. Unterstützt mehrere Schlüssel-Slots (bis zu 32), was praktisch für gemeinsam genutzte Server ist. Keine Abhängigkeit von einem Anbieter — vollständige digitale Souveränität. Automatisierbar über Ansible, Puppet oder eigene Skripte.
Schwächen: Nur Linux. Die Verwaltung erfolgt über die Kommandozeile (cryptsetup) — kein grafisches Management-Interface. Header-Backups müssen manuell erstellt und sicher aufbewahrt werden. Ohne Header-Backup ist ein beschädigter LUKS-Header ein Totalverlust.
Empfehlung: Für Linux-Server und -Clients die einzig sinnvolle Wahl. Unternehmen sollten Header-Backups und PBKDF-Settings standardisieren und über Configuration Management automatisieren.
FileVault 2 ist Apples native Festplattenverschlüsselung für macOS. Es nutzt AES-256 im XTS-Modus und ist in das Apple-Ökosystem integriert.
Stärken: Einfache Aktivierung in den Systemeinstellungen. Recovery-Keys können über MDM-Lösungen (Jamf, Mosyle) zentral verwaltet werden. Minimaler Performance-Overhead auf Apple-Silicon-Macs dank Hardware-Verschlüsselung. FIPS 140-2-validiert.
Schwächen: Nur macOS. Proprietär. Keine Container oder portable verschlüsselte Volumes.
Empfehlung: Für Mac-Flotten mit MDM-Verwaltung die Standard-Lösung. Aktivieren Sie FileVault auf jedem verwalteten Mac — der Aufwand ist minimal.
Praxistipp: Gemischte Umgebungen
In Unternehmen mit Windows, macOS und Linux empfiehlt sich ein gestufter Ansatz: BitLocker für Windows (über Intune), FileVault für macOS (über MDM) und LUKS für Linux (über Ansible). Für portable Medien, die zwischen Plattformen ausgetauscht werden, nutzen Sie VeraCrypt-Container mit AES-256 im XTS-Modus.
Cloud-Speicher wie Dropbox, Google Drive oder OneDrive verschlüsseln Daten zwar auf ihren Servern — aber der Anbieter hat den Schlüssel. Das reicht für viele Compliance-Anforderungen nicht aus, insbesondere wenn personenbezogene Daten oder Geschäftsgeheimnisse betroffen sind.
Cryptomator erstellt verschlüsselte "Tresore" (Vaults) innerhalb Ihres Cloud-Ordners. Dateien werden clientseitig verschlüsselt, bevor sie in die Cloud synchronisiert werden. Der Cloud-Anbieter sieht nur verschlüsselte Datenblöcke — Dateinamen, Verzeichnisstrukturen und Inhalte sind geschützt.
Stärken: Open Source und auditiert. Einfache Bedienung — der Tresor wird als virtuelles Laufwerk gemountet. Funktioniert mit jedem Cloud-Anbieter. Desktop-Apps kostenlos. Mit Cryptomator Hub gibt es seit 2023 auch eine Team-Verwaltung für Unternehmen.
Schwächen: Mobile Apps kosten einmalig ca. 15 €. Die Verschlüsselung einzelner Dateien statt ganzer Volumes hat Performance-Nachteile bei vielen kleinen Dateien. Keine Integration in Cloud-Anbieter-APIs — nur lokale Dateisystem-Verschlüsselung.
NordLocker, vom VPN-Anbieter NordVPN entwickelt, kombiniert lokale Dateiverschlüsselung mit verschlüsseltem Cloud-Speicher. Die Bedienung ist bewusst einfach gehalten.
Stärken: Sehr intuitive Oberfläche. End-to-End-Verschlüsselung mit eigenem Cloud-Speicher. Business-Pläne mit Teamverwaltung. Günstig ab ca. 1 €/Monat.
Schwächen: Proprietär — kein unabhängiger Audit des Quellcodes veröffentlicht. Der eigene Cloud-Speicher kann ein Lock-in-Risiko darstellen. Nur Windows und macOS, kein Linux.
Empfehlung Cloud-Verschlüsselung: Cryptomator ist die bessere Wahl für Unternehmen, die Wert auf Open Source, Auditierbarkeit und Anbieterunabhängigkeit legen. NordLocker eignet sich für kleine Teams, die eine einfache Lösung ohne technische Einarbeitung suchen.
Nicht immer muss die gesamte Festplatte verschlüsselt werden. Oft reicht es, einzelne Dateien oder E-Mails gezielt zu schützen — etwa beim Austausch vertraulicher Dokumente mit externen Partnern.
GnuPG (GNU Privacy Guard) implementiert den OpenPGP-Standard und ist seit über 25 Jahren das Standardwerkzeug für Datei- und E-Mail-Verschlüsselung in der Open-Source-Welt. Das BSI hat die Entwicklung von GnuPG finanziell gefördert.
Stärken: Extrem vielseitig — Dateiverschlüsselung, E-Mail (mit Thunderbird/Enigmail oder Kleopatra), Signaturen, Schlüsselverwaltung. Unterstützt asymmetrische und symmetrische Verschlüsselung. Kann mit Hardware-Security-Modulen (HSMs) und Smartcards arbeiten. Kostenlos.
Schwächen: Hohe Lernkurve. Das Web-of-Trust-Modell ist in der Praxis schwer umzusetzen. Die Schlüsselverwaltung ist für technisch weniger versierte Nutzer eine Hürde. Die Bedienung ist kommandozeilenbasiert — grafische Oberflächen wie Kleopatra (Windows) oder GPG Suite (macOS) mildern das, sind aber nicht fehlerfrei.
age ist ein modernes Verschlüsselungstool, das bewusst einfach gehalten ist. Es wurde von Filippo Valsorda (ehemals Google, Go-Sicherheitsteam) entwickelt und verfolgt den Ansatz "weniger ist mehr".
Stärken: Einfache Syntax — age -r <recipient> file.txt verschlüsselt, age -d file.txt.age entschlüsselt. Keine Konfiguration nötig. Unterstützt SSH-Schlüssel als Empfänger — praktisch für Entwicklerteams. Audited (durch NCC Group und Cure53). Ideal für Skripte und Automatisierung.
Schwächen: Keine E-Mail-Integration. Kein Web-of-Trust oder Schlüsselserver. Keine digitalen Signaturen (nur Verschlüsselung). Relativ jung — weniger verbreitet als GnuPG.
Empfehlung: Für automatisierte Verschlüsselung in Skripten, CI/CD-Pipelines und DevOps-Workflows ist age die bessere Wahl gegenüber GnuPG. Für E-Mail-Verschlüsselung und das vollständige OpenPGP-Ökosystem bleibt GnuPG alternativlos.
AxCrypt richtet sich an Nutzer, die einzelne Dateien verschlüsseln möchten, ohne sich mit Kryptographie auseinanderzusetzen. Ein Rechtsklick auf eine Datei genügt.
Stärken: Extrem einfache Bedienung. AES-256-Verschlüsselung. Integration in den Windows-Explorer und macOS-Finder. Cloud-Integration mit automatischer Ver- und Entschlüsselung. Business-Pläne mit zentraler Verwaltung ab ca. 10,33 €/Nutzer/Monat.
Schwächen: Die kostenlose Version ist stark eingeschränkt. Kein Linux-Support. Das Schlüsselmanagement basiert auf einem Account — wer das Passwort verliert, verliert den Zugang.
| Szenario | Empfohlenes Tool | Alternative | Begründung |
|---|---|---|---|
| Windows-Flotte (>50 Geräte) | BitLocker | VeraCrypt | Zentrale Verwaltung über Intune, TPM-Integration |
| Einzelner Windows-PC (Home) | VeraCrypt | — | BitLocker nicht verfügbar, VeraCrypt kostenlos und sicher |
| Linux-Server/Clients | LUKS2 | VeraCrypt | Nativer Linux-Standard, Argon2id, kein Vendor-Lock-in |
| Mac-Flotte mit MDM | FileVault 2 | VeraCrypt | Nahtlose MDM-Integration, Hardware-Beschleunigung |
| Cloud-Dateien schützen | Cryptomator | NordLocker | Open Source, anbieterunabhängig, Zero-Knowledge |
| E-Mail-Verschlüsselung | GnuPG | S/MIME | OpenPGP-Standard, BSI-gefördert, kostenlos |
| Dateiverschlüsselung in Skripten | age | GnuPG | Einfache CLI, SSH-Key-Support, ideal für Automatisierung |
| USB-Sticks zwischen Plattformen | VeraCrypt | Cryptomator | Container-Format auf FAT32/exFAT, plattformübergreifend |
| Endanwender ohne technisches Know-how | AxCrypt | NordLocker | Rechtsklick-Verschlüsselung, minimale Einarbeitung |
Für Unternehmen in Deutschland spielen zwei regulatorische Rahmenwerke eine zentrale Rolle bei der Auswahl von Verschlüsselungssoftware: die DSGVO und die BSI-Empfehlungen.
Die DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter, ein dem Risiko angemessenes Schutzniveau sicherzustellen. Verschlüsselung wird dabei als eine von nur zwei explizit genannten technischen Maßnahmen aufgeführt — neben der Pseudonymisierung. Eine rechtliche Pflicht zur Verschlüsselung besteht formal nicht in jedem Fall, aber die Praxis zeigt: Wer auf Verschlüsselung verzichtet, muss das überzeugend begründen können.
Besonders relevant: Nach Art. 34 DSGVO muss eine Datenpanne den Betroffenen nicht gemeldet werden, wenn die Daten durch wirksame Verschlüsselung geschützt waren. Das allein macht Verschlüsselung zu einer der wirksamsten Maßnahmen zur Schadensbegrenzung.
Die BSI Technische Richtlinie TR-02102 definiert, welche kryptographischen Verfahren und Schlüssellängen als sicher gelten. Die aktuelle Version 2026-01 enthält wesentliche Neuerungen:
Für die Tool-Auswahl bedeutet das: Alle hier genannten Tools (BitLocker, VeraCrypt, LUKS, Cryptomator, GnuPG) unterstützen AES-256 und erfüllen damit die aktuellen BSI-Anforderungen an symmetrische Verschlüsselung.
BSI-Zulassung vs. BSI-Konformität
Eine BSI-Zulassung (nach BSI-Schrift 7164) ist nur für den Einsatz in Bundesbehörden mit Verschlusssachen relevant — die wenigsten Unternehmen benötigen das. BSI-Konformität bedeutet, dass ein Tool die in TR-02102 empfohlenen Algorithmen und Schlüssellängen korrekt implementiert. Alle hier vorgestellten Tools erfüllen diese Anforderung, wenn sie korrekt konfiguriert werden (AES-256, ausreichende Schlüsselableitungs-Iterationen).
Die NIS2-Richtlinie, seit Oktober 2024 in Kraft, stellt ebenfalls Anforderungen an die Verschlüsselung. Unternehmen der kritischen Infrastruktur und "wichtige Einrichtungen" müssen den Stand der Technik nachweisen. Verschlüsselung ist dabei ein zentraler Baustein — und die Wahl eines geeigneten, nachweisbar sicheren Tools ist Teil dieses Nachweises.
| Tool | Lizenzkosten (3 J.) | Einrichtung (geschätzt) | Verwaltung/Jahr | TCO (3 Jahre) |
|---|---|---|---|---|
| BitLocker | 0 € * | 2.000–5.000 € | 1.000–2.000 € | 5.000–11.000 € |
| VeraCrypt | 0 € | 5.000–10.000 € | 3.000–6.000 € | 14.000–28.000 € |
| LUKS2 | 0 € | 3.000–8.000 € | 1.500–3.000 € | 7.500–17.000 € |
| AxCrypt Business | 37.188 € | 1.000–2.000 € | 500–1.000 € | 39.688–41.188 € |
* BitLocker-Lizenzkosten sind in Windows Pro/Enterprise enthalten. Die Einrichtungskosten beziehen sich auf Intune/AD-Konfiguration und Richtlinien-Deployment.
Die Tabelle zeigt: "Kostenlos" ist relativ. BitLocker hat die niedrigsten TCO in Windows-Umgebungen, weil die Verwaltung über vorhandene Infrastruktur (Intune, AD) läuft. VeraCrypt hat zwar keine Lizenzkosten, erfordert aber deutlich mehr manuellen Verwaltungsaufwand — was bei 100 Geräten schnell teuer wird.
Unabhängig vom gewählten Tool empfehlen wir bei der Implementierung eine strukturierte Vorgehensweise.
Erfassen Sie alle Geräte, Datenträger und Speicherorte. Klassifizieren Sie die Daten nach Schutzbedarf (normal, hoch, sehr hoch). Identifizieren Sie regulatorische Anforderungen (DSGVO, NIS2, branchenspezifische Vorgaben). Unser Hugo Check gibt Ihnen eine erste Einschätzung, wo Handlungsbedarf besteht.
Nutzen Sie die Entscheidungsmatrix oben als Ausgangspunkt. Berücksichtigen Sie die vorhandene Infrastruktur — wer bereits Microsoft 365 E3/E5 nutzt, hat BitLocker und Intune bereits lizenziert. Wer überwiegend Linux einsetzt, kommt an LUKS nicht vorbei.
Rollen Sie die Verschlüsselung zunächst auf einer kleinen Gruppe von Geräten aus (10–20). Testen Sie insbesondere: Recovery-Prozesse (Schlüssel verloren, Hardware-Defekt), Performance-Auswirkungen und Kompatibilität mit bestehender Software.
Erstellen Sie eine Verschlüsselungsrichtlinie, die mindestens regelt: Welche Geräte und Daten verschlüsselt werden müssen, welches Tool eingesetzt wird, wie Recovery-Keys gespeichert und verwaltet werden und wer Zugriff auf Recovery-Keys hat.
Verschlüsseln Sie alle Geräte gemäß Richtlinie. Schulen Sie Mitarbeitende — mindestens in den Grundlagen: Was bedeutet die Verschlüsselung? Was passiert bei Passwortverlust? An wen wenden sie sich bei Problemen?
Überwachen Sie den Verschlüsselungsstatus aller Geräte. Mit BitLocker/Intune geht das automatisch, bei VeraCrypt und LUKS benötigen Sie eigene Skripte oder ein SIEM-System. Dokumentieren Sie den Status für Audits und Behördenanfragen.
Tipp: Verschlüsselung ist kein Einzelprojekt
Verschlüsselung muss Teil eines umfassenden IT-Sicherheitskonzepts sein. Sie schützt Daten im Ruhezustand (at rest), aber nicht gegen Phishing, Social Engineering oder kompromittierte Zugangsdaten. Eine fundierte IT-Sicherheitsberatung berücksichtigt alle Angriffsvektoren und integriert Verschlüsselung in ein Gesamtkonzept.
Die aktuellen BSI-Empfehlungen machen klar: Die Migration hin zu Post-Quanten-Kryptographie ist keine ferne Zukunft, sondern muss jetzt geplant werden. Für symmetrische Verfahren wie AES-256 besteht kein akuter Handlungsbedarf — Quantencomputer halbieren die effektive Schlüssellänge (Grover-Algorithmus), AES-256 bietet also noch 128 Bit Sicherheit, was ausreichend ist.
Für asymmetrische Verfahren (RSA, ECC) sieht es anders aus: Das BSI empfiehlt hybride Implementierungen bis spätestens 2031. Das betrifft vor allem TLS-Verbindungen, VPN-Tunnel und E-Mail-Verschlüsselung — nicht primär die Festplattenverschlüsselung.
Was bedeutet das für die Tool-Auswahl? Achten Sie bei der Evaluierung darauf, ob der Hersteller eine Roadmap für Post-Quanten-Support hat. Bei Open-Source-Tools ist die Community-Aktivität ein guter Indikator. VeraCrypt und LUKS unterstützen bereits Twofish und Serpent als alternative oder kaskadierte Algorithmen, die als quantenresistenter gelten als AES allein.
We advise SMBs on cybersecurity, data protection, and NIS2 compliance.
Book a free consultationJa, für die meisten Unternehmensszenarien ist BitLocker ausreichend sicher. Es nutzt AES-256 im XTS-Modus, ist FIPS 140-2-validiert und lässt sich zentral über Intune oder Active Directory verwalten. Der einzige Nachteil: Der Quellcode ist nicht öffentlich auditierbar. Für Unternehmen, die Open-Source-Transparenz benötigen, ist VeraCrypt die Alternative. Für Behörden mit VS-Anforderungen reicht BitLocker allein nicht — hier sind BSI-zugelassene Produkte erforderlich.
Das BSI empfiehlt keine spezifischen Produkte für den allgemeinen Unternehmenseinsatz, sondern definiert in der TR-02102 die kryptographischen Anforderungen (Algorithmen, Schlüssellängen, Verfahren). Tools, die diese Anforderungen erfüllen — also AES-256 mit geeignetem Modus (XTS für Full-Disk, GCM für Dateitransfer) und ausreichend starker Schlüsselableitung — gelten als BSI-konform. Für den Einsatz in Bundesbehörden mit Verschlusssachen führt das BSI eine eigene Liste zugelassener Produkte (BSI-Schrift 7164).
Nein, die DSGVO schreibt keine generelle Verschlüsselungspflicht vor. Art. 32 verlangt "geeignete technische und organisatorische Maßnahmen" unter Berücksichtigung des Stands der Technik, der Implementierungskosten und des Risikos. Verschlüsselung ist aber eine der nur zwei explizit genannten Maßnahmen und wird von Aufsichtsbehörden regelmäßig erwartet — insbesondere bei mobilen Geräten, Cloud-Speicher und dem Versand sensibler Daten. In der Praxis sollten Sie davon ausgehen, dass das Fehlen von Verschlüsselung bei einer Datenpanne als Versäumnis gewertet wird. Unsere Datenschutzberatung hilft Ihnen, den konkreten Bedarf für Ihr Unternehmen zu ermitteln.
Das hängt vom Einsatzzweck ab. BitLocker ist besser für verwaltete Windows-Flotten: zentrale Verwaltung, TPM-Integration, Compliance-Reporting. VeraCrypt ist besser für plattformübergreifende Szenarien, portable verschlüsselte Medien und Umgebungen, in denen Open-Source-Transparenz gefordert ist. Beide nutzen AES-256 und sind kryptographisch gleichwertig sicher. Der Unterschied liegt in Verwaltbarkeit und Ökosystem, nicht in der Verschlüsselungsstärke.
Die sicherste Methode ist clientseitige Verschlüsselung — also Verschlüsselung auf Ihrem Gerät, bevor die Daten in die Cloud hochgeladen werden. Cryptomator ist dafür die beste Open-Source-Lösung: Es erstellt verschlüsselte Tresore in Ihrem Cloud-Ordner (Dropbox, Google Drive, OneDrive), die sich als virtuelles Laufwerk mounten lassen. Der Cloud-Anbieter sieht nur verschlüsselte Datenblöcke. Alternativ bietet NordLocker eine einfachere, aber proprietäre Lösung. Verlassen Sie sich nicht allein auf die serverseitige Verschlüsselung des Cloud-Anbieters — dort hat der Anbieter den Schlüssel.
Die Lizenzkosten können bei null liegen — BitLocker ist in Windows Pro/Enterprise enthalten, VeraCrypt, LUKS und GnuPG sind kostenlos. Die tatsächlichen Kosten entstehen durch Einrichtung, Verwaltung und Support. Für ein Unternehmen mit 100 Geräten liegen die Gesamtkosten über drei Jahre realistisch zwischen 5.000 € (BitLocker mit vorhandener Intune-Infrastruktur) und 30.000 € (VeraCrypt mit manueller Verwaltung). Kommerzielle Lösungen wie AxCrypt Business kosten ab ca. 10 €/Nutzer/Monat, bieten dafür aber geringeren Verwaltungsaufwand.
Die Wahl der richtigen Verschlüsselungssoftware ist keine rein technische Entscheidung. Sie hängt von der vorhandenen Infrastruktur, den regulatorischen Anforderungen, dem Schutzbedarf der Daten und den verfügbaren Ressourcen für Verwaltung und Support ab.
Für die meisten mittelständischen Unternehmen in Deutschland empfiehlt sich ein pragmatischer Ansatz: BitLocker für Windows, FileVault für macOS, LUKS für Linux — ergänzt durch Cryptomator für Cloud-Daten und GnuPG oder age für die Dateiverschlüsselung. Wer die BSI TR-02102 als Leitlinie nimmt und AES-256 mit starker Schlüsselableitung einsetzt, ist auf der sicheren Seite — sowohl technisch als auch regulatorisch.
Entscheidend ist nicht das perfekte Tool, sondern die konsequente Umsetzung: Jedes Gerät verschlüsselt, Recovery-Keys gesichert, Richtlinien dokumentiert, Mitarbeitende geschult. Denn die beste Verschlüsselungssoftware nützt nichts, wenn sie auf der Hälfte der Geräte nicht aktiviert ist.
Verschlüsselungsstrategie für Ihr Unternehmen?
Wir unterstützen Sie bei der Auswahl, Implementierung und Verwaltung der richtigen Verschlüsselungslösungen — abgestimmt auf Ihre Infrastruktur und regulatorischen Anforderungen.
Beratungsgespräch vereinbarenInhaltsverzeichnis
Neue Datenschutzgesetze, IT-Sicherheitsrichtlinien und Branchenstandards Februar 2026 - Februar 2026: Neue Datenschutzgesetze, IT-Sicherheitsrichtlinien und Bra
WeiterlesenGastbeitrag: CutToFame Datenschutz Recht am eigenen Bild KI & Regulatorik Dein Gesicht ist dein Kapital – und gleichzeitig ein personenbezogenes Datum....
WeiterlesenHolen Sie sich die besten Praktiken für den Austausch von Cyber-Bedrohungsinformationen in der Branche, um Ihre Sicherheitsstrategie zu optimieren und sich
Weiterlesen Über den Autor
Co-Founder
Jens ist Co-Founder und Geschäftsführer der frag.hugo Informationssicherheit GmbH. Mit über 20 Jahren IT-Erfahrung verbindet er technisches Know-how mit strategischem Denken, um Datenschutz und Compliance für KMU zugänglich zu machen.
Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.
