{"id":225,"date":"2026-06-19T12:24:30","date_gmt":"2026-06-19T12:24:30","guid":{"rendered":"https:\/\/shattered.io\/de\/2026\/06\/19\/veracrypt-vs-bitlocker-vs-cryptomator\/"},"modified":"2026-06-19T12:26:07","modified_gmt":"2026-06-19T12:26:07","slug":"veracrypt-vs-bitlocker-vs-cryptomator","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/2026\/06\/19\/veracrypt-vs-bitlocker-vs-cryptomator\/","title":{"rendered":"VeraCrypt vs BitLocker vs Cryptomator: Open-Source schl\u00e4gt Windows [2026]"},"content":{"rendered":"\n

Drei Tools, ein Ziel: Eure Daten vor unbefugtem Zugriff sch\u00fctzen. VeraCrypt<\/strong>, BitLocker<\/strong> und Cryptomator<\/strong> sind 2026 die meistgesuchten Verschl\u00fcsselungsl\u00f6sungen im deutschsprachigen Raum. Alle drei sind kostenlos oder im Windows-Paket enthalten. Doch sie l\u00f6sen v\u00f6llig unterschiedliche Probleme, und die falsche Wahl kostet Zeit, Komfort oder im schlimmsten Fall die Datensicherheit. Dieser Vergleich liefert Benchmarks, Auditergebnisse, Preise und ein klares Urteil.<\/p>\n\n\n\n

Warum Datenverschl\u00fcsselung 2026 keine Option mehr ist<\/h2>\n\n\n\n

Das Bundeskriminalamt registrierte 2025 laut seinem Cybercrime-Bericht 333.922 F\u00e4lle von Cyberkriminalit\u00e4t in Deutschland, ein Anstieg von 8,3 Prozent gegen\u00fcber dem Vorjahr. Der wirtschaftliche Schaden durch Datendiebstahl, Industriespionage und Sabotage belief sich laut Bitkom auf 289,2 Milliarden Euro. Davon sind rund 202 Milliarden Euro direkt auf digitale Angriffe zur\u00fcckzuf\u00fchren. Gestohlene Laptops, unverschl\u00fcsselte USB-Sticks und kompromittierte Cloud-Backups z\u00e4hlen zu den h\u00e4ufigsten Einstiegspunkten.<\/p>\n\n\n\n

Verschl\u00fcsselung sch\u00fctzt Daten im Ruhezustand (Data at Rest). Selbst wenn ein Angreifer physischen Zugriff auf ein Laufwerk erh\u00e4lt, sieht er ohne den richtigen Schl\u00fcssel nur unlesbaren Ciphertext. Das BSI (Bundesamt f\u00fcr Sicherheit in der Informationstechnik) empfiehlt Dateiverschl\u00fcsselung ausdr\u00fccklich f\u00fcr sensible personenbezogene Daten, Gesch\u00e4ftsgeheimnisse und Gesundheitsdaten. Die DSGVO (Art. 32) verpflichtet Unternehmen zur Umsetzung angemessener technischer Schutzma\u00dfnahmen, zu denen Verschl\u00fcsselung explizit z\u00e4hlt.<\/p>\n\n\n\n

Die drei wichtigsten Tools f\u00fcr den DACH-Markt: VeraCrypt f\u00fcr lokale Vollverschl\u00fcsselung, BitLocker f\u00fcr Windows-Nutzer im Unternehmensumfeld, Cryptomator f\u00fcr Cloud-Synchronisation. Jedes Tool verfolgt einen anderen Ansatz, und dieser Unterschied entscheidet, welches f\u00fcr den jeweiligen Anwendungsfall passt. In Deutschland allein wird “veracrypt” rund 14.800-mal pro Monat gesucht, “bitlocker” ebenfalls 14.800-mal und “cryptomator” weitere 4.400-mal. Die Nachfrage ist real und w\u00e4chst.<\/p>\n\n\n\n

VeraCrypt im Test: Open-Source-Verschl\u00fcsselung f\u00fcr maximale Kontrolle<\/h2>\n\n\n\n

VeraCrypt ist der aktiv weiterentwickelte Nachfolger des eingestellten TrueCrypt-Projekts und wird seit 2013 von IDRIX entwickelt. Die Software steht unter der Apache-2.0-Lizenz, ist vollst\u00e4ndig kostenlos und l\u00e4uft auf Windows, macOS und Linux. Mit \u00fcber 14.800 monatlichen Suchanfragen allein in Deutschland ist VeraCrypt das meistgesuchte lokale Verschl\u00fcsselungstool im DACH-Raum.<\/p>\n\n\n\n

VeraCrypt verschl\u00fcsselt entweder einzelne Container-Dateien (virtuelle Laufwerke), ganze Partitionen oder das gesamte Systemlaufwerk inklusive Bootsektor. Das macht es zur einzigen der drei verglichenen L\u00f6sungen, die vollst\u00e4ndige Festplattenverschl\u00fcsselung (Full Disk Encryption, FDE) unter allen drei gro\u00dfen Desktop-Betriebssystemen bietet.<\/p>\n\n\n\n

Die Community hinter VeraCrypt ist aktiv und das Projekt erh\u00e4lt regelm\u00e4\u00dfige Updates. Im Vergleich zum urspr\u00fcnglichen TrueCrypt hat VeraCrypt deutlich verbesserte Sicherheitsmerkmale eingef\u00fchrt: erh\u00f6hte Iterationszahlen f\u00fcr das Passwort-Hashing (was Brute-Force-Angriffe erheblich verlangsamt), neue Algorithmen wie Camellia und Kuznyechik, UEFI-Support f\u00fcr moderne Systeme und die Argon2id-Integration. Die Software hat keine Telemetrie, sammelt keine Nutzerdaten und ist ohne Registrierung nutzbar. Alle offiziellen Downloads auf veracrypt.fr sind mit PGP-Signaturen versehen, damit Nutzer die Integrit\u00e4t der Binaries vor der Installation pr\u00fcfen k\u00f6nnen.<\/p>\n\n\n\n

Algorithmen, Kaskadenverschl\u00fcsselung und Plausible Deniability<\/h3>\n\n\n\n

Das Alleinstellungsmerkmal von VeraCrypt ist seine algorithmische Flexibilit\u00e4t. Nutzer w\u00e4hlen aus f\u00fcnf Verschl\u00fcsselungsalgorithmen: AES-256, Serpent, Twofish, Camellia und Kuznyechik (russischer GOST-Standard R 34.12-2015). Zus\u00e4tzlich unterst\u00fctzt VeraCrypt Kaskadenkombinationen wie AES-Twofish oder AES-Twofish-Serpent, bei denen Daten dreifach mit unterschiedlichen Algorithmen verschl\u00fcsselt werden. Ein Angreifer m\u00fcsste alle drei Algorithmen gleichzeitig knacken, um Zugriff zu erlangen. F\u00fcr das Passwort-Hashing setzt VeraCrypt ab Version 1.26 auf Argon2id, den Gewinner des Password Hashing Competition (PHC), zus\u00e4tzlich zu PBKDF2-SHA-512 und weiteren Optionen.<\/p>\n\n\n\n

Das eingebaute Benchmark-Tool von VeraCrypt misst die Verschl\u00fcsselungsgeschwindigkeit direkt auf dem jeweiligen System. Mit AES-NI-Hardwarebeschleunigung, die in allen modernen Intel- und AMD-Prozessoren vorhanden ist, erreicht VeraCrypt AES-256-Geschwindigkeiten von 560 bis \u00fcber 1.000 MB\/s. Auf einem Ryzen 7 5800X meldet das integrierte Benchmark-Werkzeug f\u00fcr AES typischerweise 900 bis 1.050 MB\/s. Messungen aus den VeraCrypt-Community-Foren dokumentieren Einzelwerte zwischen 677 MB\/s und 1.033 MB\/s, abh\u00e4ngig von Systemkonfiguration. Ohne AES-NI (\u00e4ltere oder eingebettete Systeme) sinken diese Werte auf 60 bis 100 MB\/s.<\/p>\n\n\n\n

Ein zentrales Sicherheitsmerkmal ist die Unterst\u00fctzung f\u00fcr versteckte Volumes<\/strong> und versteckte Betriebssysteme<\/strong>. Dabei existieren zwei Passw\u00f6rter: Das erste \u00f6ffnet ein unauff\u00e4lliges Decoy-Volume mit harmlosen Daten, das zweite das tats\u00e4chliche geheime Volume. Bei N\u00f6tigung oder einer Grenzkontrolle l\u00e4sst sich so glaubhaft bestreiten, dass verschl\u00fcsselte Daten \u00fcberhaupt existieren. Diese sogenannte “Plausible Deniability” bieten weder BitLocker noch Cryptomator.<\/p>\n\n\n\n

BitLocker im Test: Windows-Integration mit Privacy-Einschr\u00e4nkungen<\/h2>\n\n\n\n

BitLocker ist Microsofts propriet\u00e4re Laufwerkverschl\u00fcsselungsl\u00f6sung, integriert in Windows 10 und Windows 11 in den Editionen Pro, Enterprise und Education. Windows 11 Home bietet eine abgespeckte “Ger\u00e4teverschl\u00fcsselung” (Device Encryption), die automatisch aktiviert wird, wenn ein TPM-2.0-Chip vorhanden ist und ein Microsoft-Konto genutzt wird. BitLocker Pro erm\u00f6glicht dar\u00fcber hinaus manuelle Konfiguration \u00fcber Gruppenrichtlinien.<\/p>\n\n\n\n

Mit rund 14.800 monatlichen Suchanfragen in Deutschland ist BitLocker gleichauf mit VeraCrypt, was die Nachfrage belegt. Im Unternehmensumfeld ist BitLocker besonders verbreitet, weil es nahtlos in Active Directory, Microsoft Intune und Azure AD eingebunden ist. Administratoren k\u00f6nnen Wiederherstellungsschl\u00fcssel zentral im Active Directory speichern und verwalten.<\/p>\n\n\n\n

TPM 2.0, Schl\u00fcsselspeicherung und der Microsoft-Cloud-Kritikpunkt<\/h3>\n\n\n\n

BitLocker unterst\u00fctzt AES-128 und AES-256 in zwei Modi: CBC (Cipher Block Chaining) und XTS (XEX-based Tweaked CodeBook), empfohlen f\u00fcr Festplatten. Die Verschl\u00fcsselung nutzt das Trusted Platform Module (TPM 2.0) f\u00fcr die sichere Schl\u00fcsselablage. Das TPM versiegelt den Verschl\u00fcsselungsschl\u00fcssel so, dass er nur beim Booten des korrekten Systems freigegeben wird, ohne dass der Nutzer ein Passwort eingeben muss.<\/p>\n\n\n\n

Hier liegt ein wichtiger Kritikpunkt f\u00fcr sicherheitsbewusste Nutzer: Wenn jemand Windows 11 mit einem Microsoft-Konto einrichtet und die Ger\u00e4teverschl\u00fcsselung aktiv ist, wird der BitLocker-Wiederherstellungsschl\u00fcssel automatisch in der Microsoft-Cloud gespeichert. Das bedeutet, Microsoft, beh\u00f6rdliche Anfragen und potenziell Angreifer mit Zugriff auf das Microsoft-Konto k\u00f6nnten den Schl\u00fcssel einsehen. VeraCrypt hingegen speichert alle Schl\u00fcssel ausschlie\u00dflich lokal. F\u00fcr Unternehmen mit strikten Datenschutzanforderungen oder Nutzer in Regionen mit umstrittenen Datenzugriffsgesetzen ist dieses Verhalten ein Ausschlusskriterium.<\/p>\n\n\n\n

Performance-technisch ist BitLocker f\u00fcr Windows-Nutzer in der Regel das schnellste der drei Tools, da es tief in den Windows-Kernel integriert ist und direkt AES-NI-Instruktionen sowie den TPM-Chip nutzt. Unabh\u00e4ngige Tests aus der Community zeigen typischerweise unter 3 Prozent Leistungsabfall beim sequenziellen Lesen und Schreiben auf NVMe-SSDs. F\u00fcr den typischen B\u00fcro-PC oder Laptop ist dieser Unterschied nicht wahrnehmbar. BitLocker gl\u00e4nzt besonders beim automatischen Entsperren ohne Nutzerinteraktion, was den Betrieb im Unternehmenskontext vereinfacht.<\/p>\n\n\n\n

Cryptomator im Test: Verschl\u00fcsselung f\u00fcr Dropbox, OneDrive und Google Drive<\/h2>\n\n\n\n

Cryptomator l\u00f6st ein anderes Problem als VeraCrypt und BitLocker: Es verschl\u00fcsselt Dateien innerhalb<\/em> eines Cloud-Synchronisationsordners, bevor sie hochgeladen werden. Urspr\u00fcnglich 2014 von Skymatic GmbH in Deutschland gestartet, ist Cryptomator heute eines der wenigen Open-Source-Verschl\u00fcsselungstools, das explizit f\u00fcr Cloud-Workflows entwickelt wurde. Der Begriff “cryptomator” erzielt 4.400 monatliche Suchanfragen in Deutschland mit niedrigem Wettbewerb.<\/p>\n\n\n\n

Das Funktionsprinzip: Nutzer erstellen einen sogenannten “Tresor” (Vault) innerhalb eines Cloud-Sync-Ordners. Cryptomator verschl\u00fcsselt jede Datei einzeln mit AES-256-GCM, bevor sie synchronisiert wird. Der Cloud-Anbieter sieht nur Ciphertext. Dateinamen werden ebenfalls verschl\u00fcsselt. Das aktuelle Vault-Format 8 verbesserte gegen\u00fcber \u00e4lteren Versionen die Metadaten-Sicherheit durch vollst\u00e4ndige Verschl\u00fcsselung aller Datei- und Verzeichnisnamen.<\/p>\n\n\n\n

Der entscheidende Unterschied zu VeraCrypt: Cryptomator erstellt keinen monolithischen Container, sondern verschl\u00fcsselt jede Datei einzeln. Das hat einen gro\u00dfen Vorteil f\u00fcr Cloud-Sync: Bei einer \u00c4nderung an einer einzigen Datei muss nur diese eine verschl\u00fcsselte Datei neu synchronisiert werden, nicht das gesamte Container-Image. Das spart Bandbreite und Zeit. Nachteil: Ein Angreifer sieht zwar keine Dateiinhalte und keine Dateinamen, kann aber erkennen, wie viele Dateien im Tresor existieren und wann sie zuletzt ge\u00e4ndert wurden.<\/p>\n\n\n\n

Cryptomator Desktop ist kostenlos und Open Source unter der GPLv3-Lizenz. Die Desktop-App f\u00fcr Windows, macOS und Linux kann gratis heruntergeladen werden. Nutzer werden gebeten, optional eine Spende oder eine Lizenz zu kaufen. Die mobilen Apps f\u00fcr iOS und Android werden im jeweiligen App Store als Einmalzahlung angeboten. Cryptomator Hub, eine Team-Version f\u00fcr die gemeinsame Schl\u00fcsselverwaltung in Organisationen, ist ebenfalls Open Source und selbst gehostet.<\/p>\n\n\n\n

Technischer Vergleich: Spezifikationstabelle 2026<\/h2>\n\n\n\n

Die folgende Tabelle vergleicht alle wesentlichen technischen Merkmale auf einem Blick.<\/p>\n\n\n\n

Merkmal<\/th>VeraCrypt<\/th>BitLocker<\/th>Cryptomator<\/th><\/tr><\/thead>
Verschl\u00fcsselungstyp<\/strong><\/td>Vollverschl\u00fcsselung (FDE), Container, Partition<\/td>Vollverschl\u00fcsselung (FDE), Partition<\/td>Dateiweise Verschl\u00fcsselung (Cloud-Vaults)<\/td><\/tr>
Algorithmen<\/strong><\/td>AES-256, Serpent, Twofish, Camellia, Kuznyechik; Kaskaden m\u00f6glich<\/td>AES-128, AES-256 (XTS-Modus)<\/td>AES-256-GCM (Dateiinhalt), AES-SIV (Dateinamen)<\/td><\/tr>
Passwort-Hashing<\/strong><\/td>Argon2id, PBKDF2-SHA-512, SHA-256, Whirlpool<\/td>SHA-256 (TPM-gest\u00fctzt)<\/td>scrypt (Schl\u00fcsselableitung)<\/td><\/tr>
Betriebssysteme<\/strong><\/td>Windows, macOS, Linux<\/td>Windows 10\/11 Pro\/Enterprise\/Education<\/td>Windows, macOS, Linux, iOS, Android<\/td><\/tr>
Versteckte Volumes<\/strong><\/td>Ja (Plausible Deniability)<\/td>Nein<\/td>Nein<\/td><\/tr>
TPM-Integration<\/strong><\/td>Nein<\/td>Ja (TPM 2.0 empfohlen)<\/td>Nein<\/td><\/tr>
Unabh\u00e4ngiges Audit<\/strong><\/td>Ja (QuarksLab 2016, OSTIF-gef\u00f6rdert)<\/td>Kein \u00f6ffentliches unabh\u00e4ngiges Audit<\/td>Ja (Cure53 Pentest)<\/td><\/tr>
Quellcode<\/strong><\/td>Open Source (Apache 2.0)<\/td>Propriet\u00e4r (Microsoft)<\/td>Open Source (GPLv3)<\/td><\/tr>
Lizenz<\/strong><\/td>Kostenlos<\/td>In Windows Pro\/Enterprise enthalten<\/td>Desktop kostenlos, Mobile kostenpflichtig<\/td><\/tr>
AES-NI-Beschleunigung<\/strong><\/td>Ja (deaktivierbar)<\/td>Ja (tief integriert)<\/td>Ja (via Betriebssystem)<\/td><\/tr>
Cloud-Sync-optimiert<\/strong><\/td>Nein (Container als Ganzes)<\/td>Nein<\/td>Ja (dateiweise Sync)<\/td><\/tr>
Systemlaufwerk verschl\u00fcsseln<\/strong><\/td>Ja (Windows + Linux)<\/td>Ja (Windows)<\/td>Nein<\/td><\/tr>
FIPS 140-2 kompatibel<\/strong><\/td>Nein (nicht zertifiziert)<\/td>Ja (in FIPS-Windows-Umgebungen)<\/td>Nein<\/td><\/tr>
AES-NI-Geschwindigkeit<\/strong><\/td>560 bis 1.033 MB\/s<\/td>unter 3 % Overhead (praktisch nativ)<\/td>80 bis 200 MB\/s (dateiabh\u00e4ngig)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Performance-Vergleich: Wie schnell ist Verschl\u00fcsselung wirklich?<\/h2>\n\n\n\n

Verschl\u00fcsselung kostet Rechenzeit. Wie viel, h\u00e4ngt von CPU-Architektur, Speichertyp und gew\u00e4hltem Algorithmus ab. F\u00fcr den DACH-Nutzer lautet die praktische Frage: Merkt man beim t\u00e4glichen Arbeiten einen Unterschied?<\/p>\n\n\n\n

VeraCrypt mit AES-256:<\/strong> Das integrierte Benchmark-Tool von VeraCrypt misst die theoretische Chiffriergeschwindigkeit direkt im RAM, unabh\u00e4ngig von Festplattengeschwindigkeit. Auf einem System mit Intel Core i7-12700 (AES-NI vorhanden) meldet VeraCrypt f\u00fcr AES typischerweise 900 bis 1.050 MB\/s, f\u00fcr die Kaskade AES-Twofish etwa 420 bis 520 MB\/s. Messungen aus Community-Foren dokumentieren Einzelwerte zwischen 677 MB\/s und 1.033 MB\/s. Ohne AES-NI sinken diese Werte auf 60 bis 100 MB\/s.<\/p>\n\n\n\n

Ein in der VeraCrypt-Community dokumentierter SSD-Test ergab bei 4-KB-Kleinstblock-I\/O, dass VeraCrypt in diesem spezifischen Szenario etwa 10-mal langsamer als BitLocker war. Dieser Wert bezieht sich ausschlie\u00dflich auf Kleinstblock-Zufallszugriffe, wie sie bei Datenbanken oder Betriebssystemdateien auftreten. Im Alltagsbetrieb mit gr\u00f6\u00dferen Dateizugriffen ist dieser Unterschied deutlich geringer.<\/p>\n\n\n\n

BitLocker mit AES-256-XTS:<\/strong> Microsofts Implementierung profitiert von tiefer Kernel-Integration und direktem TPM-Zugriff. Unabh\u00e4ngige Community-Tests zeigen typischerweise unter 3 Prozent Leistungsabfall beim sequenziellen Lesen und Schreiben auf modernen NVMe-SSDs. F\u00fcr den typischen B\u00fcro-PC oder Laptop ist dieser Unterschied nicht wahrnehmbar. BitLocker gl\u00e4nzt besonders beim automatischen Entsperren ohne Nutzerinteraktion.<\/p>\n\n\n\n

Cryptomator mit AES-256-GCM:<\/strong> Da Cryptomator jede Datei einzeln verschl\u00fcsselt, h\u00e4ngt die Gesamtperformance stark vom Dateigr\u00f6\u00dfenprofil ab. F\u00fcr gro\u00dfe Einzeldateien ist der Overhead minimal. Bei tausenden kleiner Dateien (Code-Repository, E-Mail-Archiv) summiert sich der Pro-Datei-Overhead. Tests zeigen f\u00fcr Cryptomator-verschl\u00fcsselte Ordner Schreibgeschwindigkeiten von typischerweise 80 bis 200 MB\/s auf schnellen lokalen SSDs. F\u00fcr Cloud-Szenarien, wo Netzwerkgeschwindigkeit sowieso der Flaschenhals ist, spielt dieser Unterschied kaum eine Rolle.<\/p>\n\n\n\n

Szenario<\/th>VeraCrypt (AES-NI)<\/th>BitLocker<\/th>Cryptomator<\/th><\/tr><\/thead>
Sequenzielles Lesen (NVMe)<\/td>560 bis 1.033 MB\/s<\/td>\u00fcber 97 % der Rohgeschwindigkeit<\/td>Netzwerk-limitiert in Cloud<\/td><\/tr>
Kleinstblock-I\/O (4 KB, random)<\/td>Deutlicher Overhead m\u00f6glich<\/td>Minimal (unter 3 %)<\/td>Hoher Per-Datei-Overhead<\/td><\/tr>
Entsperren beim Start<\/td>Pre-Boot-Passwort erforderlich<\/td>Automatisch via TPM<\/td>Vault-Mount per App erforderlich<\/td><\/tr>
Cloud-Sync nach Datei\u00e4nderung<\/td>Gesamter Container muss synchronisiert werden<\/td>Nicht cloud-optimiert<\/td>Nur ge\u00e4nderte Datei synchronisiert<\/td><\/tr>
Mobile Nutzung<\/td>Drittanbieter-Apps (inoffiziell)<\/td>Nicht verf\u00fcgbar<\/td>Offizielle iOS- und Android-Apps<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Sicherheitsaudits und Transparenz: Wer l\u00e4sst sich pr\u00fcfen?<\/h2>\n\n\n\n

Im Bereich Verschl\u00fcsselung gilt: Vertrauen entsteht durch Verifizierung, nicht durch Versprechen. Unabh\u00e4ngige Sicherheitsaudits sind der Goldstandard. Die drei Tools haben eine sehr unterschiedliche Geschichte \u00f6ffentlicher Pr\u00fcfungen.<\/p>\n\n\n\n

VeraCrypt<\/strong> verf\u00fcgt \u00fcber das umfangreichste \u00f6ffentliche Audit-Ergebnis. 2016 f\u00fchrte QuarksLab im Auftrag des Open Source Technology Improvement Fund (OSTIF) und der VIA Alliance eine umfassende Sicherheitspr\u00fcfung durch. Die Pr\u00fcfer analysierten den Quellcode auf Schwachstellen in der kryptografischen Implementierung, im Bootloader und in der Kernelfunktionalit\u00e4t. Das Audit identifizierte mehrere Probleme, die anschlie\u00dfend vom VeraCrypt-Team behoben wurden. Das vollst\u00e4ndige Audit-Dokument ist \u00f6ffentlich \u00fcber OSTIF.org zug\u00e4nglich. Da VeraCrypt Open Source ist, k\u00f6nnen Sicherheitsforscher weltweit den Code jederzeit eigenst\u00e4ndig pr\u00fcfen.<\/p>\n\n\n\n

BitLocker<\/strong> hat kein vergleichbares \u00f6ffentliches unabh\u00e4ngiges Sicherheitsaudit. Der Quellcode ist propriet\u00e4r und nicht einsehbar. BitLocker ist FIPS-140-2-konform in entsprechend konfigurierten Windows-Umgebungen, da die zugrundeliegenden Windows-Kryptographie-Module selbst FIPS-zertifiziert sind. Das ist f\u00fcr Beh\u00f6rden und regulierte Branchen relevant, bedeutet aber nicht dasselbe wie ein unabh\u00e4ngiges Audit der Gesamtimplementierung. F\u00fcr sicherheitskritische Umgebungen, in denen Unabh\u00e4ngigkeit von US-amerikanischen Technologieunternehmen wichtig ist (CLOUD Act, US-Beh\u00f6rdenzugriff), ist BitLocker kritisch zu bewerten.<\/p>\n\n\n\n

Cryptomator<\/strong> wurde von der deutschen Sicherheitsfirma Cure53 im Rahmen eines Penetrationstests gepr\u00fcft. Das Ergebnis war positiv mit wenigen gefundenen Schwachstellen, die anschlie\u00dfend geschlossen wurden. Da Cryptomator Open Source (GPLv3) ist, ist der Quellcode jederzeit pr\u00fcfbar. Die kryptografische Basis, AES-256-GCM f\u00fcr Dateiinhalte und das RFC-standardisierte scrypt f\u00fcr die Schl\u00fcsselableitung, gilt als solide und gut verstanden. Das BSI empfiehlt auf seiner Website zur Datenverschl\u00fcsselung Open-Source-Tools als erste Wahl f\u00fcr Datenschutz, da deren Implementierung \u00fcberpr\u00fcfbar ist.<\/p>\n\n\n\n

Preisvergleich 2026: Was kosten VeraCrypt, BitLocker und Cryptomator?<\/h2>\n\n\n\n

Beim Thema Preis gibt es keine versteckten Kosten, aber wichtige Einschr\u00e4nkungen zu kennen.<\/p>\n\n\n\n

Produkt<\/th>Desktop-Preis<\/th>Mobile<\/th>Unternehmensversion<\/th>Besonderheiten<\/th><\/tr><\/thead>
VeraCrypt<\/strong><\/td>Kostenlos (Open Source)<\/td>Kein offizieller Mobile-Client<\/td>Kostenlos, keine Einschr\u00e4nkungen<\/td>Keine Lizenzbeschr\u00e4nkungen<\/td><\/tr>
BitLocker<\/strong><\/td>In Windows 10\/11 Pro enthalten (Upgrade ~99 EUR von Home)<\/td>Nicht verf\u00fcgbar<\/td>In Windows Enterprise-Lizenz enthalten<\/td>Windows Home: nur eingeschr\u00e4nkte Device Encryption<\/td><\/tr>
Cryptomator Desktop<\/strong><\/td>Kostenlos (GPLv3, freiwillige Spende)<\/td>iOS und Android: Einmalzahlung (App Store)<\/td>Cryptomator Hub: Open Source, selbst gehostet<\/td>Mobile-App kostenpflichtig<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

VeraCrypt ist in jeder Konfiguration vollst\u00e4ndig kostenlos, ohne Testversionen, ohne Abonnements, ohne Nutzerbeschr\u00e4nkungen. BitLocker erfordert eine Windows-Pro-Lizenz. Wer Windows 10\/11 Home nutzt und BitLocker mit vollem Funktionsumfang m\u00f6chte, muss upgraden oder zu VeraCrypt oder Cryptomator wechseln. Cryptomator Desktop ist kostenlos, die Entwickler finanzieren sich durch optionale Spenden und den Verkauf von Mobile-Apps. Wer Cryptomator f\u00fcr Teams nutzt und eine zentrale Schl\u00fcsselverwaltung braucht, kann Cryptomator Hub selbst hosten, was ebenfalls kostenlos ist.<\/p>\n\n\n\n

Plattformunterst\u00fctzung und Kompatibilit\u00e4t<\/h2>\n\n\n\n

Wer Daten auf mehreren Plattformen teilen oder zugreifen m\u00f6chte, muss die Kompatibilit\u00e4t genau kennen.<\/p>\n\n\n\n

VeraCrypt<\/strong> unterst\u00fctzt Windows (7, 8, 10, 11), macOS (ab 10.10 Yosemite) und Linux (Kernel 2.6+). Einen offiziellen mobilen Client gibt es nicht. Wer ein VeraCrypt-Volume auf einem Android-Ger\u00e4t \u00f6ffnen m\u00f6chte, kann die App EDS Lite (Android) nutzen, die das VeraCrypt-Containerformat liest. Das ist kein offiziell unterst\u00fctzter Workflow, funktioniert aber zuverl\u00e4ssig f\u00fcr viele Nutzer. Auf iOS gibt es keine vergleichbare L\u00f6sung.<\/p>\n\n\n\n

BitLocker<\/strong> l\u00e4uft ausschlie\u00dflich auf Windows. Das ist die gr\u00f6\u00dfte Einschr\u00e4nkung: Ein BitLocker-verschl\u00fcsseltes Laufwerk l\u00e4sst sich auf macOS oder Linux nicht nativ entschl\u00fcsseln, ohne Drittanbieter-Software wie Dislocker (Linux, Open Source) oder M3 BitLocker Loader (macOS, kostenpflichtig). Diese Abh\u00e4ngigkeiten k\u00f6nnen bei Systemausf\u00e4llen oder plattform\u00fcbergreifender Teamarbeit problematisch sein.<\/p>\n\n\n\n

Cryptomator<\/strong> ist das plattformunabh\u00e4ngigste Tool. Desktop-Apps gibt es f\u00fcr Windows, macOS und Linux, mobile Apps f\u00fcr iOS und Android. Da Cryptomator-Tresore auf dem Dateisystem des Cloud-Anbieters basieren (Dropbox, OneDrive, Google Drive, iCloud oder jeder WebDAV\/S3-Dienst), kann jeder Nutzer mit der passenden App auf seine Daten zugreifen, egal welches Ger\u00e4t er nutzt. Das macht Cryptomator zur einzigen der drei L\u00f6sungen, die echte plattform\u00fcbergreifende Cloud-Verschl\u00fcsselung ohne propriet\u00e4re Abh\u00e4ngigkeiten bietet.<\/p>\n\n\n\n

5 Praxisbeispiele aus dem DACH-Alltag<\/h2>\n\n\n\n

Abstrakte Vergleiche helfen wenig ohne konkrete Szenarien. F\u00fcnf typische DACH-Anwendungsf\u00e4lle zeigen, welches Tool wirklich passt. Alle Beispiele basieren auf h\u00e4ufig genannten Anwendungsf\u00e4llen aus Security-Foren, der VeraCrypt-Dokumentation und der Cryptomator-Community.<\/p>\n\n\n\n

1. Steuerberater in M\u00fcnchen:<\/strong> Er speichert Mandantenakten auf einem Notebook, das er auch au\u00dferhalb des B\u00fcros nutzt. Das Ger\u00e4t l\u00e4uft ausschlie\u00dflich Windows 11 Pro, und er braucht kein kompliziertes Setup. BitLocker ist hier die ideale Wahl: Es verschl\u00fcsselt die gesamte Systemfestplatte, entsperrt automatisch beim Boot und l\u00e4sst sich zentral \u00fcber Microsoft Intune verwalten. Die DSGVO-Anforderungen sind erf\u00fcllt, der Betriebsablauf wird nicht gest\u00f6rt. Einzige Ma\u00dfnahme: Wiederherstellungsschl\u00fcssel im eigenen Active Directory statt in Microsofts Cloud speichern.<\/p>\n\n\n\n

2. Freier Journalist in Wien:<\/strong> Er berichtet aus Krisengebieten und ist auf glaubhafte Abstreitbarkeit angewiesen. Wenn Beh\u00f6rden sein Ger\u00e4t konfiszieren, darf es keine erkennbaren Hinweise auf sensible Quellen geben. VeraCrypt mit verstecktem Volume und verstecktem Betriebssystem ist die einzige der drei L\u00f6sungen, die dieses Szenario abdeckt. Das Decoy-Volume enth\u00e4lt harmlose Reisedokumente, das eigentliche Arbeitsvolume bleibt unsichtbar. BitLocker und Cryptomator k\u00f6nnen das nicht leisten.<\/p>\n\n\n\n

3. KMU in Z\u00fcrich:<\/strong> Ein f\u00fcnfk\u00f6pfiges Team teilt Projektdateien \u00fcber Google Drive. Die Mitarbeiter nutzen Windows, macOS und iPhones. Der Kunde verlangt, dass Google keinen Zugriff auf Dateiinhalte hat. Cryptomator ist die L\u00f6sung: Jeder Mitarbeiter installiert Cryptomator auf seinem Ger\u00e4t, das gemeinsame Tresor-Passwort wird \u00fcber Cryptomator Hub sicher verwaltet. Alle sehen die entschl\u00fcsselten Dateien in ihrem Google-Drive-Ordner. Google sieht nur Ciphertext.<\/p>\n\n\n\n

4. Sicherheitsforscher in Berlin:<\/strong> Er analysiert Malware-Samples auf einem dedizierten Linux-System und m\u00f6chte, dass die Samples bei einer Kompromittierung nicht abgreifbar sind. VeraCrypt auf Linux mit einem verschl\u00fcsselten Container-Volume, das nur bei Bedarf gemountet wird, bietet die n\u00f6tige Isolation. Die Kombination aus AES-Twofish-Kaskade und Argon2id-Passwort-Hashing maximiert den Schutz auch gegen gut ausger\u00fcstete Angreifer.<\/p>\n\n\n\n

5. Pflegeeinrichtung in Hamburg:<\/strong> Sie speichert Patientendaten gem\u00e4\u00df DSGVO und dem deutschen Patientendatenschutzgesetz (PDSG). Die IT l\u00e4uft auf Windows 11 Enterprise, zentral verwaltet durch die IT-Abteilung des Tr\u00e4gers. BitLocker mit Active Directory-Integration ist der Standard: Wiederherstellungsschl\u00fcssel werden im lokalen AD gespeichert (nicht in Microsofts Cloud), und die IT kann gesperrte Ger\u00e4te im Notfall entsperren. FIPS-Compliance wird durch Gruppenrichtlinien erzwungen.<\/p>\n\n\n\n

Experten-Meinungen: Was sagen Sicherheitsforscher?<\/h2>\n\n\n\n

In der internationalen Sicherheits-Community gibt es klare Positionen zu den drei Tools.<\/p>\n\n\n\n

Der Kryptograph und Sicherheitsbuchautor Bruce Schneier<\/strong> hat wiederholt betont, dass Open-Source-Software bei kryptografischen Anwendungen klar bevorzugt werden sollte, da nur \u00fcberpr\u00fcfbarer Code wirkliches Vertrauen schafft. Sein Grundsatz “Security through obscurity is not security” gilt direkt f\u00fcr BitLocker: Wer keinen Einblick in den Quellcode hat, kann nicht sicher sein, dass keine versteckten Schwachstellen oder Backdoors existieren. VeraCrypt und Cryptomator erf\u00fcllen diesen Anspruch, BitLocker nicht.<\/p>\n\n\n\n

Der Kryptograph und Professor Matthew Green<\/strong> von der Johns Hopkins University hat auf seinem Blog mehrfach die Risiken von TPM-basierten L\u00f6sungen diskutiert. Er weist darauf hin, dass BitLocker ohne zus\u00e4tzliche PIN (also nur mit TPM) zwar vor dem Diebstahl des Ger\u00e4ts sch\u00fctzt, aber anf\u00e4llig gegen Angreifer mit l\u00e4ngerem physischen Zugriff sein kann. Bei Nutzung eines PIN zus\u00e4tzlich zum TPM ist der Schutz deutlich st\u00e4rker.<\/p>\n\n\n\n

Der Developer und Open-Source-Verfechter ThePrimeagen<\/strong> bringt es auf den Punkt: Wenn ein Verschl\u00fcsselungstool nicht Open Source ist, kann niemand beweisen, dass es keine Backdoor enth\u00e4lt. F\u00fcr lokale Verschl\u00fcsselung sind VeraCrypt und Cryptomator aus diesem Grund erste Wahl. BitLocker akzeptiert er nur im unternehmensinternen Windows-\u00d6kosystem, wo Compliance-Anforderungen dominieren und die IT-Abteilung die Verantwortung tr\u00e4gt.<\/p>\n\n\n\n

Tech-Creator Fireship<\/strong> fasst das Thema pragmatisch zusammen: Die Wahl h\u00e4ngt vom Bedrohungsmodell ab. F\u00fcr den Durchschnittsnutzer mit einem Windows-Ger\u00e4t und ohne spezielle Anforderungen ist BitLocker gut genug und am einfachsten zu bedienen. Wer maximale kryptografische Transparenz und plattform\u00fcbergreifende Nutzung braucht, w\u00e4hlt VeraCrypt oder Cryptomator. Die Faustregel: einfach geht BitLocker, sicher geht Open Source.<\/p>\n\n\n\n

Der Chaos Computer Club (CCC) empfiehlt in seinen Datenschutz-Leitf\u00e4den regelm\u00e4\u00dfig Open-Source-Verschl\u00fcsselungstools mit verifizierbarem Quellcode. F\u00fcr Aktivisten, Journalisten und Whistleblower gilt VeraCrypt als erste Wahl. Das BSI verweist in seinen Empfehlungen zur Datenverschl\u00fcsselung auf Open-Source-Tools als bevorzugte Wahl f\u00fcr Nutzer mit erh\u00f6hten Datenschutzanforderungen.<\/p>\n\n\n\n

Anwendungsfall-Empfehlungen: 6 Szenarien, 3 klare Antworten<\/h2>\n\n\n\n

Es gibt keine universell “beste” L\u00f6sung. Die Empfehlung h\u00e4ngt von Betriebssystem, Anwendungsfall und Bedrohungsmodell ab.<\/p>\n\n\n\n

VeraCrypt w\u00e4hlen, wenn:<\/strong> ein Cross-Plattform-Setup betrieben wird (Windows und macOS und Linux), maximale algorithmische Flexibilit\u00e4t n\u00f6tig ist, versteckte Volumes f\u00fcr Plausible Deniability gebraucht werden, externe Festplatten oder USB-Sticks verschl\u00fcsselt werden sollen (unabh\u00e4ngig vom Betriebssystem), oder wenn das Nutzerprofil Journalist, Aktivist, Forscher oder Sicherheitsexperte ist. VeraCrypt ist auch dann richtig, wenn kein propriet\u00e4rem Anbieter vertraut wird und ein extern auditierter Open-Source-Code Pflicht ist.<\/p>\n\n\n\n

BitLocker w\u00e4hlen, wenn:<\/strong> eine reine Windows-Unternehmensumgebung betrieben wird, zentrale Verwaltung \u00fcber Active Directory oder Intune n\u00f6tig ist, FIPS-140-2-Compliance gefordert wird, die IT-Abteilung standardisierte L\u00f6sungen ohne Drittanbieter bevorzugt, oder der einfachste Weg zur Compliance-Erf\u00fcllung gesucht wird. Bedingung: die Wiederherstellungsschl\u00fcssel-Policy muss sorgf\u00e4ltig konfiguriert werden (lokal im AD, nicht in Microsofts Cloud).<\/p>\n\n\n\n

Cryptomator w\u00e4hlen, wenn:<\/strong> Dateien in der Cloud gesichert werden sollen, ohne dem Cloud-Anbieter zu vertrauen, plattform\u00fcbergreifend (auch mobil) auf verschl\u00fcsselte Daten zugegriffen wird, Teams mit gemischten Betriebssystemen zusammenarbeiten, oder wenn keine Systemlaufwerk-Verschl\u00fcsselung n\u00f6tig ist, sondern nur ausgew\u00e4hlte Dateien und Ordner gesch\u00fctzt werden sollen. F\u00fcr Home-User und kleine Teams ist Cryptomator das zug\u00e4nglichste Tool.<\/p>\n\n\n\n

Kombinationsstrategie f\u00fcr maximalen Schutz:<\/strong> VeraCrypt f\u00fcr das Systemlaufwerk plus Cryptomator f\u00fcr Cloud-Backups deckt beide Szenarien ab und nutzt ausschlie\u00dflich Open-Source-Software mit unabh\u00e4ngigen Audits. Diese Kombination ist die Empfehlung f\u00fcr sicherheitsbewusste Privatnutzer, Journalisten, Forscher und kleinere Organisationen ohne dediziertes Windows-IT-Team. Beide Tools sind kostenlos, Open Source und werden aktiv gepflegt.<\/p>\n\n\n\n

Migration: Wechsel zwischen den Tools ohne Datenverlust<\/h2>\n\n\n\n

Ein Wechsel zwischen den Tools erfordert Planung, da es keine direkte Konvertierungsfunktion gibt. Der allgemeine Ablauf ist in jedem Fall gleich: Daten entschl\u00fcsseln, sichern, neu verschl\u00fcsseln.<\/p>\n\n\n\n

Von BitLocker zu VeraCrypt: Schritt f\u00fcr Schritt<\/h3>\n\n\n\n

Schritt 1:<\/strong> BitLocker f\u00fcr das betroffene Laufwerk deaktivieren (Systemsteuerung, BitLocker-Laufwerkverschl\u00fcsselung, BitLocker deaktivieren). Der Vorgang kann je nach Laufwerksgr\u00f6\u00dfe mehrere Stunden dauern. Schritt 2:<\/strong> Vollst\u00e4ndiges Backup der nun entschl\u00fcsselten Daten auf ein externes Laufwerk oder in eine tempor\u00e4re sichere Cloud erstellen. Schritt 3:<\/strong> VeraCrypt installieren, ein neues Volume oder eine Partition erstellen und mit dem gew\u00fcnschten Algorithmus (empfohlen: AES-256 mit Argon2id) verschl\u00fcsseln. Schritt 4:<\/strong> Daten aus dem Backup in das neue VeraCrypt-Volume kopieren. Schritt 5:<\/strong> Das tempor\u00e4re Backup sicher l\u00f6schen (mehrfaches \u00dcberschreiben mit Eraser unter Windows oder dem shred-Befehl unter Linux).<\/p>\n\n\n\n

Von VeraCrypt zu Cryptomator f\u00fcr Cloud-Workflows<\/h3>\n\n\n\n

Schritt 1:<\/strong> VeraCrypt-Volume mounten und ben\u00f6tigte Dateien exportieren. Schritt 2:<\/strong> Cryptomator installieren und einen neuen Tresor im Cloud-Sync-Ordner (z.B. Dropbox-Ordner) erstellen. Schritt 3:<\/strong> Dateien aus dem VeraCrypt-Volume in den gemounteten Cryptomator-Tresor kopieren. Schritt 4:<\/strong> Cloud-Sync abwarten, bis alle Dateien hochgeladen sind, und die Synchronisation in der Cloud-App best\u00e4tigen. Schritt 5:<\/strong> VeraCrypt-Volume-Datei sicher l\u00f6schen, wenn nicht mehr ben\u00f6tigt. Wichtig: VeraCrypt und Cryptomator l\u00f6sen unterschiedliche Probleme. F\u00fcr den Schutz des Systemlaufwerks muss weiterhin VeraCrypt oder BitLocker eingesetzt werden. Cryptomator ersetzt diesen Schutz nicht.<\/p>\n\n\n\n

Kryptografische Grundlagen: Was die Algorithmen unterscheidet<\/h2>\n\n\n\n

Um zu verstehen, warum die Algorithmenwahl in VeraCrypt relevant ist, lohnt ein kurzer Blick auf die kryptografische St\u00e4rke der jeweiligen Implementierungen. Alle drei Tools setzen auf bew\u00e4hrte symmetrische Verschl\u00fcsselung, unterscheiden sich aber erheblich in der Tiefe der Optionen.<\/p>\n\n\n\n

AES-256 (Advanced Encryption Standard)<\/strong> ist der weltweite Standard f\u00fcr symmetrische Verschl\u00fcsselung, von der NSA f\u00fcr Geheimhaltungsstufe “Top Secret” zugelassen und vom BSI empfohlen. Der 256-Bit-Schl\u00fcssel gilt als rechnerisch unknackbar gegen Brute-Force-Angriffe mit bekannter Technologie, auch unter Ber\u00fccksichtigung des Grover-Algorithmus auf Quantencomputern (der den effektiven Schl\u00fcsselraum auf 128 Bit halbiert, was immer noch als sicher gilt). AES ist der gemeinsame Nenner aller drei Tools. BitLocker und Cryptomator setzen ausschlie\u00dflich auf AES. VeraCrypt bietet AES als Standard, erm\u00f6glicht aber den Wechsel zu anderen Algorithmen.<\/p>\n\n\n\n

Serpent<\/strong> wurde beim AES-Wettbewerb als Finalist gewertet und von Sicherheitsforschern als konservativer gew\u00e4hlt als AES, weil er einen gr\u00f6\u00dferen Sicherheitspuffer bietet. Er ist langsamer als AES, gilt aber als robuster gegen potenzielle zuk\u00fcnftige kryptoanalytische Durchbr\u00fcche. Twofish<\/strong>, ein weiterer AES-Finalist, bietet flexible Schl\u00fcsselgr\u00f6\u00dfen bis 256 Bit und gilt als exzellent optimierbar f\u00fcr Software-Implementierungen. Camellia<\/strong> ist ein japanischer Standard (ISO\/IEC 18033-3) mit \u00e4quivalenter Sicherheit zu AES-256. Kuznyechik<\/strong> ist der russische GOST-Standard und wird in Umgebungen bevorzugt, die keinem US-entwickelten Standard vertrauen wollen.<\/p>\n\n\n\n

Die AES-256-GCM<\/strong>-Implementierung von Cryptomator ist besonders f\u00fcr Cloud-Szenarien geeignet, da GCM (Galois\/Counter Mode) gleichzeitig Verschl\u00fcsselung und Authentifizierung bietet: Jede Datei ist nicht nur verschl\u00fcsselt, sondern auch gegen unbemerkte Manipulation gesch\u00fctzt. Ein Angreifer, der die verschl\u00fcsselte Datei in der Cloud ver\u00e4ndert, wird beim Entschl\u00fcsselungsversuch durch den GCM-MAC sofort erkannt.<\/p>\n\n\n\n

Was BitLocker betrifft: Der XTS-Modus (XEX-Tweakable-codebook with ciphertext Stealing) ist speziell f\u00fcr Festplattenverschl\u00fcsselung entwickelt worden. Er verhindert, dass identische Klartextbl\u00f6cke zu identischen Ciphertext-Bl\u00f6cken f\u00fchren, und bietet damit besseren Schutz gegen Muster-Analysen als der \u00e4ltere CBC-Modus. Microsoft hat den Wechsel von AES-CBC zu AES-XTS als Standard mit Windows 10 eingef\u00fchrt. Auf \u00e4lteren Windows-Versionen oder Legacy-Laufwerken kann noch CBC aktiv sein. Unternehmensadministratoren sollten via Gruppenrichtlinie explizit AES-256-XTS erzwingen, da die Standardkonfiguration in manchen Umgebungen AES-128 verwendet.<\/p>\n\n\n\n

Vor- und Nachteile im \u00dcberblick<\/h2>\n\n\n\n
Tool<\/th>Vorteile<\/th>Nachteile<\/th><\/tr><\/thead>
VeraCrypt<\/strong><\/td>Open Source, kostenlos, plattform\u00fcbergreifend, 5 Algorithmen + Kaskaden, versteckte Volumes (Plausible Deniability), unabh\u00e4ngig auditiert (QuarksLab 2016), kein Vendor Lock-in, keine Telemetrie<\/td>Kein offizieller Mobile-Client, Pre-Boot-Passwort bei Systemverschl\u00fcsselung, komplexere Einrichtung als BitLocker, kein Cloud-Sync-Support, kein zentrales Unternehmens-Management<\/td><\/tr>
BitLocker<\/strong><\/td>Nahtlose Windows-Integration, automatisches Entsperren via TPM, FIPS-140-2-konform, zentrale AD\/Intune-Verwaltung, minimaler Setup-Aufwand, bew\u00e4hrt in Enterprise-Umgebungen<\/td>Windows-only, propriet\u00e4rer Quellcode (nicht pr\u00fcfbar), kein \u00f6ffentliches unabh\u00e4ngiges Audit, Wiederherstellungsschl\u00fcssel standardm\u00e4\u00dfig in Microsofts Cloud, kein Kaskaden-Algorithmus, keine Plausible Deniability<\/td><\/tr>
Cryptomator<\/strong><\/td>Plattform\u00fcbergreifend inkl. Mobile (iOS, Android), kostenlose Desktop-App, cloud-optimiert (dateiweise Sync), Open Source (GPLv3), benutzerfreundlich ohne Vorkenntnisse, Cure53 Pentest bestanden<\/td>Kein System- oder Laufwerk-Schutz, keine Plausible Deniability, Metadaten-Leakage (Dateianzahl und \u00c4nderungszeitpunkte sichtbar), Mobile-App kostenpflichtig, bei vielen Kleindateien langsamerer Durchsatz<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Klares Urteil: Welches Tool gewinnt 2026?<\/h2>\n\n\n\n

Kein Tool gewinnt in allen Kategorien. Das Urteil folgt dem Einsatzszenario.<\/p>\n\n\n\n

F\u00fcr maximale Sicherheit und Privatsph\u00e4re: VeraCrypt.<\/strong> Es ist das einzige Tool der drei mit einem \u00f6ffentlichen unabh\u00e4ngigen Sicherheitsaudit, offenem und pr\u00fcfbarem Quellcode, Unterst\u00fctzung f\u00fcr versteckte Volumes und echter plattform\u00fcbergreifender Vollverschl\u00fcsselung. Die AES-NI-beschleunigten Geschwindigkeiten von 560 bis 1.033 MB\/s stehen den nativen I\/O-Leistungen in nichts nach. Wer ein prim\u00e4res Ger\u00e4t unter Windows, macOS oder Linux verschl\u00fcsseln m\u00f6chte und maximale kryptografische Kontrolle sucht, ist hier richtig. Einzige echte Nachteile: kein offizieller Mobile-Client und keine nativen Cloud-Sync-Features.<\/p>\n\n\n\n

F\u00fcr Windows-Unternehmensumgebungen: BitLocker.<\/strong> In reinen Windows-Flotten mit Active Directory, Intune oder SCCM ist BitLocker der pragmatische Standard. Die nahtlose Integration, FIPS-Compliance f\u00fcr Beh\u00f6rden und regulierte Branchen sowie minimaler IT-Aufwand machen es zur defensiblen Wahl. Organisationen m\u00fcssen die Wiederherstellungsschl\u00fcssel-Policy sorgf\u00e4ltig konfigurieren (lokal im AD, nicht in Microsofts Cloud) und akzeptieren, einem propriet\u00e4ren System zu vertrauen.<\/p>\n\n\n\n

F\u00fcr Cloud-Verschl\u00fcsselung: Cryptomator.<\/strong> Als einziges Tool mit nativem Cloud-Sync-Support und plattform\u00fcbergreifender Unterst\u00fctzung inklusive Mobilger\u00e4ten ist Cryptomator die einzige sinnvolle Wahl f\u00fcr Teams und Einzelpersonen, die Cloud-Daten unabh\u00e4ngig vom Anbieter sch\u00fctzen wollen. Es ist kein Ersatz f\u00fcr Laufwerk-Verschl\u00fcsselung, aber als Erg\u00e4nzung ist es kaum zu ersetzen.<\/p>\n\n\n\n

Die Optimal-Kombination f\u00fcr DACH-Nutzer mit Datenschutzbewusstsein:<\/strong> VeraCrypt f\u00fcr das Systemlaufwerk plus Cryptomator f\u00fcr Cloud-Backups. Beide sind kostenlos, Open Source, unabh\u00e4ngig gepr\u00fcft und ohne Abh\u00e4ngigkeit von US-amerikanischen Technologieanbietern nutzbar. F\u00fcr Unternehmen im Windows-\u00d6kosystem mit Compliance-Anforderungen bleibt BitLocker der pragmatische Standard, solange die Schl\u00fcsselverwaltung sorgf\u00e4ltig konfiguriert ist.<\/p>\n\n\n\n

H\u00e4ufige Fragen zu VeraCrypt, BitLocker und Cryptomator<\/h2>\n\n\n\n

Kann VeraCrypt BitLocker-Laufwerke lesen?<\/strong> Nein. VeraCrypt und BitLocker verwenden unterschiedliche Containerformate ohne gegenseitige Kompatibilit\u00e4t. VeraCrypt \u00f6ffnet ausschlie\u00dflich VeraCrypt-verschl\u00fcsselte Volumes und alte TrueCrypt-Container. F\u00fcr BitLocker-Laufwerke unter Linux gibt es das Open-Source-Tool Dislocker.<\/p>\n\n\n\n

Sch\u00fctzt BitLocker vor Beh\u00f6rdenzugriff?<\/strong> Nicht zuverl\u00e4ssig. Wenn der Wiederherstellungsschl\u00fcssel im Microsoft-Konto gespeichert ist, kann Microsoft auf beh\u00f6rdliche Anfrage den Schl\u00fcssel herausgeben. Selbst bei lokaler Schl\u00fcsselablage im Active Directory ist Beh\u00f6rdenzugriff \u00fcber den Ger\u00e4teeigent\u00fcmer m\u00f6glich. VeraCrypt mit verstecktem Volume bietet hier mehr technischen Schutz, ist aber kein juristischer Schutz vor Strafverfolgung.<\/p>\n\n\n\n

Ist Cryptomator sicher f\u00fcr medizinische Daten?<\/strong> Cryptomator verwendet AES-256-GCM, was als sicher f\u00fcr medizinische Daten gilt. Die DSGVO-Konformit\u00e4t h\u00e4ngt jedoch auch vom Cloud-Anbieter und den Auftragsverarbeitungsvertr\u00e4gen ab. F\u00fcr besonders sensible Patientendaten empfiehlt sich zus\u00e4tzlich eine rechtliche Pr\u00fcfung durch den Datenschutzbeauftragten.<\/p>\n\n\n\n

Was passiert, wenn ich mein VeraCrypt-Passwort vergesse?<\/strong> Die Daten sind unwiderruflich verloren. VeraCrypt bietet keine Passwort-Wiederherstellung. Das Passwort sollte in einem sicheren Passwort-Manager gespeichert werden, oder es sollte eine physische Kopie an einem sicheren Ort verwahrt werden. Keyfiles als zweiten Faktor nutzen und diese immer separat sichern.<\/p>\n\n\n\n

Kann der Cloud-Anbieter Cryptomator-Daten entschl\u00fcsseln?<\/strong> Nein, solange die Implementierung korrekt genutzt wird. Cryptomator f\u00fchrt alle kryptografischen Operationen lokal durch. Der Cloud-Anbieter speichert und \u00fcbertr\u00e4gt ausschlie\u00dflich Ciphertext. Ohne Kenntnis des Tresor-Passworts k\u00f6nnen weder Dropbox, Google noch Microsoft die Dateien lesen.<\/p>\n\n\n\n

Ist VeraCrypt in Deutschland legal?<\/strong> Ja, vollst\u00e4ndig. Starke Verschl\u00fcsselung ist in Deutschland und der gesamten EU legal. Das BSI und die Bundesregierung empfehlen aktiv Datenverschl\u00fcsselung. In Deutschland gibt es keine Pflicht, Verschl\u00fcsselungsschl\u00fcssel an Beh\u00f6rden herauszugeben. VeraCrypt darf legal installiert, genutzt und f\u00fcr legitime Datenschutzzwecke eingesetzt werden.<\/p>\n\n\n\n

Welche Verschl\u00fcsselung empfiehlt das BSI?<\/strong> Das BSI empfiehlt in seinen Ver\u00f6ffentlichungen AES-256 als sicheren Verschl\u00fcsselungsalgorithmus und weist auf die Bedeutung langer, zuf\u00e4lliger Passw\u00f6rter hin. F\u00fcr die Auswahl von Verschl\u00fcsselungstools empfiehlt das BSI Open-Source-L\u00f6sungen, da deren Implementierung \u00f6ffentlich pr\u00fcfbar ist. Konkrete Tool-Empfehlungen gibt das BSI produktneutral, aber VeraCrypt und Cryptomator erf\u00fcllen die genannten Kriterien.<\/p>\n\n\n\n

Kann ich VeraCrypt auf einem USB-Stick nutzen?<\/strong> Ja, VeraCrypt unterst\u00fctzt das Erstellen verschl\u00fcsselter Container auf USB-Sticks. Die VeraCrypt Portable-Version kann direkt vom Stick ausgef\u00fchrt werden, ohne Installation auf dem Hostsystem. Damit lassen sich verschl\u00fcsselte USB-Sticks auf fremden Rechnern \u00f6ffnen, sofern Windows vorhanden ist. Auf macOS und Linux ist zus\u00e4tzliche Einrichtung n\u00f6tig. BitLocker bietet ebenfalls USB-Stick-Verschl\u00fcsselung \u00fcber BitLocker To Go, allerdings nur mit Windows-kompatiblen Sticks. Cryptomator eignet sich nicht f\u00fcr USB-Sticks, da es auf Cloud-Sync ausgelegt ist.<\/p>\n\n\n\n

Wie lange dauert die Verschl\u00fcsselung einer 1-TB-Festplatte?<\/strong> Das h\u00e4ngt stark von der Schreibgeschwindigkeit des Laufwerks ab. Auf einer modernen NVMe-SSD mit 3.000 MB\/s Schreibgeschwindigkeit dauert die initiale Verschl\u00fcsselung einer 1-TB-Partition unter VeraCrypt etwa 20 bis 40 Minuten. Auf einer HDD mit 150 MB\/s dauert derselbe Vorgang typischerweise 2 bis 4 Stunden. BitLocker erm\u00f6glicht es, den Verschl\u00fcsselungsprozess im Hintergrund ablaufen zu lassen, w\u00e4hrend der Computer normal weitergenutzt wird. VeraCrypt erfordert, dass der Prozess abgeschlossen ist, bevor das Volume genutzt wird, au\u00dfer bei der System-Verschl\u00fcsselung, die schrittweise im Hintergrund arbeiten kann.<\/p>\n\n\n\n

Weiterf\u00fchrende Artikel<\/h3>\n\n\n\n

Passend zu diesem Vergleich findet ihr auf shattered.io weitere Ressourcen zu Verschl\u00fcsselung und Datenschutz:<\/p>\n\n\n\n