Ja. Aber das Wort “verschlüsselt” verbirgt eine ganze Menge, und der Teil, den es verbirgt, ist der einzige, auf den es ankommt.
Fast jeder Cloud-Dienst verschlüsselt deine Dateien. Google Drive, Dropbox, iCloud und OneDrive verwürfeln deine Daten bei der Übertragung und noch einmal, während sie auf ihren Festplatten liegen, und sie werben auch damit. Was sie eher nicht auf die Startseite schreiben: Sie halten auch die Schlüssel. Die Dateien sind verschlossen, und der Anbieter behält eine Kopie des Schlüssels in der Tasche. Die eigentliche Frage lautet also nie “ist meine Cloud verschlüsselt”. Sie lautet “wer kann sie aufschließen”.
Drei Wege, deine Cloud wirklich zu verschlüsseln
Sobald du den Unterschied kennst, hast du drei ehrliche Optionen.
Wechsle zu einem Zero-Knowledge-Anbieter. Die sauberste Lösung ist Speicher, der von Anfang an so gebaut ist. Proton Drive und Filen sind quelloffen und auditiert, Tresorit gehört der Schweizerischen Post, und Internxt läuft aus Spanien unter EU-Recht. Sie verhalten sich wie Dropbox, deine Dateien sind nur zufällig für das Unternehmen, das sie hält, unlesbar. Die vollständige Rangliste findest du unter verschlüsselter Cloud-Speicher.
Behalte deine aktuelle Cloud, verschlüssele vor dem Sync. Wenn du beruflich an Google Drive oder iCloud gebunden bist, musst du nicht umziehen. Cryptomator erstellt einen verschlüsselten Tresor in deinem bestehenden Speicherordner. Dateien werden zuerst auf deinem Gerät verschlüsselt, dann synchronisieren sich die verwürfelten Versionen wie alles andere nach oben. Es ist quelloffen, unabhängig auditiert und läuft auf jeder Plattform, du erhältst also Zero-Knowledge-Schutz als Schicht über einer Cloud, für die du ohnehin schon bezahlst. Mehr Optionen unter sichere Dateiverschlüsselung.
Verschließe eine einzelne Datei in deinem Browser. Für den Einzelfall, eine Steuererklärung, die du per E-Mail verschickst, oder ein Dokument, das in einen gemeinsamen Speicher wandert, versiegelt unser eigener VERNAM-Verschlüsseler eine Datei vollständig in deinem Browser hinter einer Passphrase. Es wird nichts hochgeladen, und der Code ist für jeden offen einsehbar.
”Verschlüsselt” bedeutet zwei völlig verschiedene Dinge
Es gibt zwei Arten von verschlüsseltem Cloud-Speicher, und sie liegen Welten auseinander.
Die erste Art ist Verschlüsselung, bei der der Anbieter den Schlüssel behält. Deine Dateien sind auf den Servern des Unternehmens verwürfelt, aber das Unternehmen kann sie entwürfeln, wann immer es nötig ist: um dir eine Vorschau zu zeigen, um nach verbotenen Inhalten zu scannen, um dein Passwort zurückzusetzen oder um auf eine richterliche Anordnung zu reagieren. Mainstream-Speicher funktioniert so. Das Schloss ist echt, aber du bist nicht der Einzige, der einen Schlüssel hält.
Die zweite Art ist Zero-Knowledge-Verschlüsselung, auch Ende-zu-Ende genannt. Deine Dateien werden auf deinem eigenen Gerät verschlüsselt, mit einem Schlüssel, der aus einem nur dir bekannten Passwort abgeleitet wird, bevor irgendetwas deinen Computer verlässt. Der Anbieter speichert Daten, die er wirklich nicht lesen kann. Ein Datenleck oder eine gerichtliche Anordnung fördert nichts zutage außer verwürfelten Bytes. Genau das meinen Leute, wenn sie sagen, eine Cloud sei wirklich privat.
So erkennst du, welche Art du hast
Du musst kein Whitepaper lesen. Eine Frage sortiert fast jeden Dienst: Wenn du dein Passwort vergisst, kann der Anbieter deine Dateien zurückholen?
Wenn die Antwort ja lautet, sie können dein Konto und deine Daten wiederherstellen, dann halten sie einen Schlüssel zu deinen Dateien, und jeder, der sie dazu zwingen kann, ebenfalls. Wenn die Antwort nein lautet, wenn der Verlust deines Passworts bedeutet, dass die Daten wirklich weg sind, dann ist das die Signatur echter Zero-Knowledge-Verschlüsselung. Dieselbe Einschränkung, die dich aussperren kann, sperrt auch alle anderen aus. Ein Anbieter, der deine Uploads scannt, von jedem Dokument reichhaltige Vorschauen erzeugt oder anbietet, verlorene Dateien wiederherzustellen, sagt dir zwischen den Zeilen, dass er lesen kann, was du speicherst.
Der Kompromiss, den niemand erwähnt
Echte Verschlüsselung schneidet in beide Richtungen. Wenn der Anbieter deine Dateien nicht lesen kann, kann der Anbieter sie auch nicht retten. Verlierst du dein Passwort oder deinen Wiederherstellungsschlüssel, sind die Daten endgültig weg, und kein Support-Ticket bringt sie zurück. Das ist kein Fehler. Es ist der ganze Sinn der Sache, und es ist der Preis dafür, die einzige Person zu sein, die deine eigenen Dateien öffnen kann.
Schütze also den Schlüssel, als wäre er die Daten, denn praktisch ist er es. Bewahre dein Passwort in einem Passwort-Manager auf, schreibe den Wiederherstellungscode auf, den der Dienst dir gibt, und lege diesen Code an einem sicheren Ort offline ab. Tu das, und “lässt sich Cloud-Speicher verschlüsseln” ist keine Frage mehr über deinen Anbieter, sondern eine Frage über dich, und genau dort sollte sie hingehören.