BitLocker-VHDX vs. VeraCrypt-Container

Um mit den Bordmitteln von Windows 10 Pro und Education dienstliche Daten sicher auf privaten PCs zu speichern, empfehlen Sie in der c’t-Ausgabe 6/2021 ab Seite 142 unter anderem das Anlegen einer BitLocker-verschlüsselten VHDX-Datei. Ähnliche Container kann man aber auch mit der kostenlosen Software VeraCrypt erzeugen. Warum haben Sie die nicht empfohlen?

Sie können gerne auch VeraCrypt zum Erstellen eines verschlüsselten Containers verwenden. Das Programm hat den Vorteil, dass es auch unter Windows 10 Home funktioniert und zudem auch für Linux und macOS verfügbar ist. BitLocker hat dafür andere Vorteile: So brauchen Sie sich nicht selbst um Updates zu kümmern, weil Windows sie automatisch installiert. Zudem kann eine Bitlocker-verschlüsselte VHDX-Datei dynamisch wachsen. Sie belegt also nur so viel Platz auf der Platte, wie zum Speichern der enthaltenen Dateien wirklich nötig ist. Erst wenn Sie mehr hineinkopieren, wächst sie weiter.

An sich können das auch VeraCrypt-Container, wenn Sie beim Erstellen im Dialog "Volume Format" ein Häkchen vor "Dynamic" setzen. Doch technisch funktioniert das bei VeraCrypt anders: Der Container ist dann keine dynamisch wachsende Datei, sondern ein Sparse File. Das ist eine Datei, die im NTFS-Dateisystem den maximalen Platz zwar von Anfang an reserviert, aber noch nicht belegt. Die Datei bietet also bereits den vollen Adressraum, belegt aber nur die wirklich nötigen Bereiche.

Der Haken daran: Wenn Sie die Datei etwa als Backup oder zum Transport ins Büro auf ein anderes Laufwerk kopieren, landet sie am Ziel nicht als Sparse File, sondern in der maximalen Größe. BitLocker-verschlüsselte VHDX-Dateien sind hingegen dateisystemunabhängig und können in der aktuellen Größe beliebig hin und her kopiert werden. (axv)