Tools

Dateien in der Cloud zu speichern ist praktisch, doch das Wort „verschlüsselt“ auf der Marketingseite eines Anbieters kann sehr Unterschiedliches bedeuten. Zu verstehen, welche Art von Verschlüsselung ein Dienst bietet, macht den Unterschied zwischen Dateien, die nur Sie lesen können, und Dateien, die auch der Anbieter – oder wer immer ihn dazu zwingt – lesen kann. Diese Unterscheidung sollten Sie gut begriffen haben, bevor Sie einem Dienst irgendetwas Sensibles anvertrauen.

Zwei Arten der Cloud-Verschlüsselung

Die häufigste Form ist die Verschlüsselung im Ruhezustand, bei der der Anbieter Ihre Dateien auf seinen Servern verschlüsselt, aber auch die Schlüssel besitzt. Das schützt Ihre Daten, falls jemand eine Festplatte aus dem Rechenzentrum stiehlt, schützt sie aber nicht vor dem Anbieter selbst, vor einem böswilligen Mitarbeiter oder vor einer gerichtlichen Anordnung, die den Anbieter zur Herausgabe lesbarer Kopien verpflichtet. Das ist echter Schutz gegen einige Bedrohungen und kein Schutz gegen andere.

Ende-zu-Ende-Verschlüsselung, manchmal Zero-Knowledge- oder clientseitige Verschlüsselung genannt, ist das stärkste Modell. Hier werden Ihre Dateien auf Ihrem eigenen Gerät verschlüsselt, bevor sie versendet werden, mit einem Schlüssel, den der Anbieter nie sieht. Der Anbieter speichert nur einen Chiffretext, den er nicht lesen kann, sodass er selbst nicht auf Ihre Dateien zugreifen kann. Der Kompromiss: Verlieren Sie Ihr Passwort oder Ihren Wiederherstellungsschlüssel, gibt es in der Regel keine Möglichkeit für den Anbieter, Ihre Daten wiederherzustellen – die Eigenschaft, die Sie schützt, sorgt zugleich dafür, dass niemand Sie retten kann.

Dienste, die Ende-zu-Ende verschlüsseln

Mehrere Dienste bieten echte Ende-zu-Ende-Verschlüsselung. Proton Drive, das zur in der Schweiz ansässigen Proton-Suite gehört, verschlüsselt Dateien per Konzept Ende-zu-Ende. pCloud bietet eine optionale clientseitige Verschlüsselungsfunktion, vermarktet als pCloud Crypto, für Dateien in seinem verschlüsselten Ordner. Tresorit und andere streben dasselbe Zero-Knowledge-Modell an. Das Gemeinsame: Die Verschlüsselung findet auf Ihrem Gerät statt, nicht nur auf den Servern des Anbieters.

• Verschlüsselung im Ruhezustand: Der Anbieter besitzt die Schlüssel und kann Ihre Dateien lesen
• Ende-zu-Ende / Zero-Knowledge: auf Ihrem Gerät verschlüsselt, vom Anbieter nicht lesbar
• Proton Drive (Ende-zu-Ende per Konzept) und pCloud Crypto (optional) sind Beispiele dafür
• Zero-Knowledge = keine Passwort-Wiederherstellung – bewahren Sie Ihren Schlüssel sicher auf
• Mehrschichtig: Speicher für den Massenmarkt fürs Gewöhnliche, verschlüsselt fürs Sensible

Die gängigen Dienste für den Massenmarkt belegen einen anderen Punkt des Spektrums, und das gehört ehrlich gesagt. Große Speicherdienste verschlüsseln Daten in der Regel unterwegs und im Ruhezustand mit Schlüsseln, die sie kontrollieren, was für Bequemlichkeit und Schutz vor externem Diebstahl taugt, aber keine Ende-zu-Ende-Verschlüsselung ist. Wenn Ihr Ziel ist, dass der Anbieter Ihre Dateien nicht lesen kann, erfüllen diese Dienste das standardmäßig nicht, ganz gleich welche beruhigende Sprache verwendet wird.

Wählen Sie nach dem, was Sie schützen

Zwischen diesen Modellen zu wählen hängt davon ab, was Sie schützen und welches Maß an Wiederherstellungssicherheit Sie wollen. Für gewöhnliche, nicht sensible Dateien ist eine praktische Verschlüsselung im Ruhezustand bei einem vertrauenswürdigen Anbieter völlig vernünftig. Für Dokumente, die Sie wirklich privat halten müssen – Finanzunterlagen, Ausweisdokumente, persönliche Aufzeichnungen –, ist Ende-zu-Ende-Verschlüsselung das Modell, das das Versprechen tatsächlich hält, sofern Sie die Verantwortung für Ihre Schlüssel übernehmen.

Was auch immer Sie wählen, einige praktische Punkte gelten. Bewahren Sie eine Sicherung Ihres Verschlüsselungspassworts oder Ihres Wiederherstellungsschlüssels an einem sicheren Ort auf, denn bei Zero-Knowledge-Diensten gibt es kein Zurücksetzen. Bedenken Sie, dass Dateinamen und Ordnerstruktur je nach Dienst manchmal weniger geschützt sind als der Inhalt. Und erkennen Sie an, dass eine starke Speicherverschlüsselung eine Datei nicht mehr schützt, sobald Sie eine lesbare Kopie davon mit jemand anderem teilen.

Ein mehrschichtiger, praktischer Ansatz

Es hilft auch, darüber nachzudenken, wo Ihr Vertrauen letztlich ruht. Bei der Verschlüsselung im Ruhezustand vertrauen Sie auf die Ehrlichkeit des Anbieters und seine Widerstandsfähigkeit gegen rechtlichen Druck; bei der Ende-zu-Ende-Verschlüsselung vertrauen Sie eher der Mathematik und Ihrer eigenen Schlüsselverwaltung. Keines von beiden beseitigt Vertrauen vollständig, aber sie legen es in sehr unterschiedliche Hände, und zu wissen, welche Sie bevorzugen, macht die Wahl zwischen Diensten weit klarer.

Ein vernünftiger Ansatz für die meisten Menschen ist ein mehrschichtiger Ansatz. Nutzen Sie praktischen Speicher für den Massenmarkt für die Masse gewöhnlicher Dateien, bei denen Zugriff und Teilen im Vordergrund stehen, und reservieren Sie einen Ende-zu-Ende-verschlüsselten Dienst oder einen verschlüsselten Ordner für die kleine Gruppe von Dokumenten, die wirklich privat bleiben müssen. So erhalten Sie Bequemlichkeit dort, wo sie hilft, und echte Privatsphäre dort, wo sie zählt, ohne vorzugeben, ein einziges Werkzeug erledige alles.

Wenn Sie eine einzige Empfehlung für den Anfang wollen, ist eine Ende-zu-Ende-verschlüsselte Option wie Proton Drive oder ein verschlüsselter pCloud-Ordner die sicherste Standardwahl für sensible Inhalte, weil der Anbieter nicht lesen kann, was Sie speichern. Bauen Sie Ihre Gewohnheit für die Dateien, die zählen, darum herum auf, bewahren Sie Ihren Wiederherstellungsschlüssel an einem sicheren Ort auf, und Sie haben einen Cloud-Speicher, dessen Privatsphäre auf Kryptografie statt auf einem Versprechen ruht.