Remote- und Hybridarbeit haben nicht nur verändert, wo wir arbeiten, sondern auch, wie sensible Daten geteilt werden. Finanzberichte werden per Freigabelink verschickt statt über interne Laufwerke. Personalunterlagen werden von zu Hause aus bearbeitet. Externe Partner arbeiten direkt in Cloud-Plattformen mit. Das macht die Zusammenarbeit schneller und einfacher – verschiebt aber gleichzeitig die Kontrolle über sensible Informationen zunehmend in die Cloud.

Je mehr Daten zwischen Mitarbeitenden, Geräten und externen Partnern ausgetauscht werden, desto wichtiger wird eine entscheidende Frage: Wer kann auf die Daten zugreifen?

Viele Cloud-Dienste verschlüsseln Daten zwar während der Übertragung und Speicherung. Das bedeutet jedoch nicht automatisch, dass die Inhalte vor dem Cloud-Anbieter selbst geschützt sind. Entscheidend ist deshalb nicht nur, ob Daten verschlüsselt werden, sondern auch, wer die Verschlüsselungsschlüssel kontrolliert und ob der Anbieter die Daten im Klartext einsehen kann.

Cloud-Speicher mit echter Ende-zu-Ende-Verschlüsselung (E2EE) stellt sicher, dass nur autorisierte Personen auf Dateien zugreifen können. Nicht der Anbieter, nicht unbefugte Dritte und auch keine Angreifer im Falle einer Sicherheitsverletzung.

Welche Risiken birgt herkömmlicher Cloud-Speicher?

Cloud-Speicher vereinfacht die Zusammenarbeit und reduziert Infrastrukturkosten. Dank flexibler Abonnementmodelle können Unternehmen genau die Kapazitäten nutzen, die sie benötigen, ohne hohe Anfangsinvestitionen tätigen zu müssen. Der Preis für diese Flexibilität liegt jedoch häufig in der Kontrolle über sensible Daten.

1. Der Anbieter kann auf Ihre Daten zugreifen

Wenn Sie Cloud-Speicher nutzen, „mieten“ Sie Speicherplatz auf den Servern des Anbieters. Die meisten Cloud-Anbieter verschlüsseln Dateien sowohl während der Übertragung zwischen Nutzern und Servern („in transit“) als auch während der Speicherung auf ihren Servern („at rest“), um Daten vor externen Bedrohungen zu schützen. Die Verwaltung der Verschlüsselungsschlüssel liegt jedoch meist ebenfalls beim Anbieter.

Dies ist häufig erforderlich, um Funktionen wie die folgenden bereitzustellen:

  • Volltextsuche in Dateien
  • Echtzeit-Zusammenarbeit und Dokumentvorschauen
  • Integrationen mit anderen Produktivitätstools

Um diese Funktionen zu ermöglichen, werden Dateien auf den Systemen des Anbieters entschlüsselt, sobald auf sie zugegriffen wird. In der Praxis bedeutet dies, dass der Anbieter technisch in der Lage ist, auf die Inhalte zuzugreifen. Im Falle einer Sicherheitsverletzung oder eines Insider-Vorfalls könnten die Daten daher im Klartext offengelegt werden.

Das Ergebnis ist eine oft unterschätzte Abhängigkeit: Die Sicherheit Ihrer Daten ist nur so stark wie die internen Sicherheitsmaßnahmen Ihres Anbieters.

2. Risiken durch Speicherort und Compliance

Dank globaler Cloud-Infrastrukturen können Dateien in mehreren Rechtsräumen gespeichert oder verarbeitet werden. Für Unternehmen, die personenbezogene oder andere sensible Daten verarbeiten, entstehen dadurch Herausforderungen im Hinblick auf unterschiedliche regulatorische Anforderungen:

  • Die DSGVO beschränkt die Übermittlung personenbezogener Daten außerhalb der EU bzw. des EWR, sofern keine geeigneten Schutzmaßnahmen bestehen.
  • Vorschriften wie NIS2 und DORA verlangen stärkere technische Kontrollen hinsichtlich Datenzugriff, Resilienz und Drittparteienrisiken.
  • Gesetze in anderen Rechtsräumen (z. B. der US CLOUD Act, HIPAA oder CCPA) können beeinflussen, wie Daten offengelegt oder zugänglich gemacht werden.
  • Audits verlangen häufig den Nachweis darüber, wo Daten gespeichert, verarbeitet und abgerufen werden.

Ohne Transparenz und Kontrolle über Datenstandorte und Zugriffe wird Compliance schnell zu einer reaktiven statt zu einer strategischen Aufgabe.

In modernen Cloud-Umgebungen wird Compliance nicht mehr allein dadurch bestimmt, wo Daten gespeichert werden, sondern wie sie über verschiedene Rechtsräume hinweg zugegriffen, übertragen und kontrolliert werden.

3. Unkontrollierte Freigaben über Links

„Per Link teilen“ gehört zu den praktischsten – aber auch zu den risikoreichsten – Funktionen moderner Cloud-Lösungen.

In der Praxis genügt oft ein kleiner Fehler:

  • Ein Link zu einem vertraulichen Bericht wird an weitere Personen weitergeleitet.
  • Ein Freigabelink bleibt lange nach Projektende aktiv.
  • Eine Datei wird geöffnet, ohne dass der Absender davon erfährt.

Was als einfache Zusammenarbeit beginnt, kann schnell in unkontrollierten Zugriff münden. Ein einzelner falsch konfigurierter Link kann sensible Dokumente extern zugänglich machen – ohne Warnmeldung und oft ohne nachvollziehbare Spur.

4. Sicherheitsrisiken durch Endgeräte

Cloud-Speicher ermöglicht den Zugriff von überall – vom Büro-Laptop, dem Heim-PC oder dem Smartphone zwischen zwei Meetings.

Diese Flexibilität bringt im Arbeitsalltag jedoch auch verborgene Risiken mit sich:

  • Ein verlorenes Smartphone hat weiterhin Zugriff auf synchronisierte Dateien und Ordner.
  • Ein kompromittiertes privates Gerät lädt unbemerkt manipulierte Dateien hoch.
  • Ehemalige Mitarbeitende können sich Wochen später noch anmelden, weil ihre Zugriffsrechte nie entfernt wurden.

Ohne klare Kontrolle darüber, wer auf Daten zugreifen darf – und von welchen Geräten aus –, werden Berechtigungen schwer nachvollziehbar und noch schwerer organisationsweit durchsetzbar.

Die Risiken herkömmlicher Cloud-Speicher

Wie funktioniert Cloud-Verschlüsselung?

Cloud-Verschlüsselung wandelt Dateien mithilfe kryptografischer Verfahren in unlesbare Daten um. Nur Personen mit dem richtigen Entschlüsselungsschlüssel können daraus wieder lesbare Inhalte machen.

Der entscheidende Unterschied liegt darin, wo die Verschlüsselung stattfindet und wer die Schlüssel kontrolliert.

Standardmäßige Cloud-Verschlüsselung (in transit und at rest Verschlüsselung)

In einem herkömmlichen Cloud-Modell werden Dateien während der Übertragung zwischen Nutzern und Servern – meist über HTTPS/TLS – geschützt. Sobald sie die Server des Anbieters erreichen, werden sie entschlüsselt, verarbeitet und anschließend erneut verschlüsselt gespeichert. Wird die Datei später geöffnet, erfolgt die Entschlüsselung wiederum auf den Servern des Anbieters, bevor die Daten an den Nutzer übertragen werden.

Dieses Modell ermöglicht komfortable Funktionen wie Suche, Vorschauen oder Integrationen. Gleichzeitig bedeutet es jedoch, dass der Anbieter auf die Daten zugreifen kann.

Ende-zu-Ende-Verschlüsselung (E2EE)

Dateien werden bereits auf dem Gerät des Nutzers verschlüsselt und bleiben während Speicherung und Übertragung verschlüsselt. Erst auf dem Gerät des vorgesehenen Empfängers werden sie entschlüsselt.

Der Cloud-Anbieter sieht oder verarbeitet die Inhalte daher niemals im Klartext. Zugriff erhalten ausschließlich autorisierte Nutzer mit den entsprechenden Schlüsseln.

Zero-Knowledge-Architektur

Eine Zero-Knowledge-Architektur geht noch einen Schritt weiter. Die Verschlüsselungsschlüssel werden vollständig auf Client-Seite erzeugt und verwaltet – beispielsweise in der App oder im Browser des Nutzers – und sind dem Anbieter niemals zugänglich. Authentifizierung und Schlüsselverwaltung erfolgen, ohne Passwörter oder Schlüssel an den Server offenzulegen.

Das bedeutet: Der Anbieter kann weder auf Ihre Daten zugreifen noch sie zurücksetzen oder wiederherstellen – selbst im Falle einer Sicherheitsverletzung.

Während Ende-zu-Ende-Verschlüsselung sicherstellt, dass Daten nur vom vorgesehenen Empfänger entschlüsselt werden können, sorgt eine Zero-Knowledge-Architektur dafür, dass der Anbieter niemals Zugriff auf Verschlüsselungsschlüssel oder Dateiinhalte erhält.

Die wichtigsten Unterschiede zwischen Verschlüsselungsmodellen

 
Standard-Cloud-Verschlüsselung
Ende-zu-Ende-Verschlüsselung (E2EE)
Zero-Knowledge-E2EE
Wo findet die Verschlüsselung statt?
Auf den Servern des Anbieters
Auf den Geräten der Nutzer
Auf den Geräten der Nutzer
Wer kontrolliert die Schlüssel?
Der Anbieter
Anbieter oder gemeinsam verwaltet
Ausschließlich der Nutzer
Kann der Anbieter auf die Daten zugreifen?
Ja
Nein, sofern der Anbieter die Schlüssel nicht kontrolliert
 
Nein, unter keinen Umständen

Welche Vorteile bietet Ende-zu-Ende-verschlüsselter Cloud-Speicher?

Sicheres Dateiteilen ohne Kontrollverlust

Dateien werden oft unter Zeitdruck oder aus Gewohnheit über vertraute Kanäle geteilt – selbst wenn es sich um sensible Informationen handelt. Verträge werden an externe Partner versendet, Projektdokumente mit Dienstleistern geteilt und Finanzunterlagen an Prüfer weitergegeben.

Mit Zero-Knowledge-Ende-zu-Ende-Verschlüsselung schützt die Freigabe nicht nur die Datei selbst, sondern kontrolliert auch, wer sie tatsächlich öffnen kann:

  • Zugriffe werden gezielt bestimmten Empfängern gewährt.
  • Verschlüsselungsschlüssel werden sicher im Hintergrund ausgetauscht.
  • Freigabelinks können durch Passwortschutz, Ablaufdaten oder E-Mail-Verifizierung abgesichert werden.

Die Kontrolle bleibt beim Absender – unabhängig davon, wohin die Datei gelangt.

Zugriffsmanagement, das tatsächliche Rollen abbildet

Im Arbeitsalltag ändern sich Zugriffsanforderungen ständig. Neue Teammitglieder kommen hinzu, externe Partner benötigen temporären Zugriff, Mitarbeitende wechseln Rollen oder verlassen das Unternehmen.

Mit echten Ende-zu-Ende-verschlüsselten Lösungen lassen sich Zugriffe präzise steuern:

  • Einzelne Personen können lediglich Leserechte erhalten, während andere bearbeiten oder freigeben dürfen.
  • Zugriffsrechte lassen sich bei Rollenwechseln sofort entziehen.
  • Teams können nachvollziehen, wer wann auf welche Datei zugegriffen hat.

Das ist besonders wichtig bei sensiblen Daten wie Personalakten, Rechtsdokumenten oder Finanzberichten, bei denen Zugriffe sowohl beschränkt als auch nachvollziehbar sein müssen.

Schutz vor Datenpannen

Verschlüsselung dient als letzte Verteidigungslinie, wenn etwas schiefläuft – etwa durch Fehlkonfigurationen oder erfolgreiche Angriffe auf die Cloud-Infrastruktur.

Bei Zero-Knowledge-Ende-zu-Ende-Verschlüsselung können Angreifer zwar möglicherweise gespeicherte Dateien erreichen. Was sie erhalten, sind jedoch verschlüsselte Daten statt lesbarer Dokumente. Ohne die Entschlüsselungsschlüssel bleiben die Inhalte unzugänglich.

Dadurch verändert sich die Tragweite einer Sicherheitsverletzung grundlegend. Anstatt sensible Informationen offenzulegen, bleibt der Vorfall auf verschlüsselte Daten beschränkt, die nicht verwertbar sind.

Ende-zu-Ende-Verschlüsselung verhindert nicht jede Sicherheitsverletzung – sie verhindert jedoch, dass aus einer Sicherheitsverletzung automatisch ein Datenleck wird.

Einfachere Einhaltung von Datenschutzvorgaben

Vorschriften wie DSGVO, NIS2 und DORA verlangen, dass Unternehmen die Kontrolle über Speicherung, Zugriff und Weitergabe sensibler Daten nachweisen können.

Echte Ende-zu-Ende-Verschlüsselung unterstützt dies, indem sie sicherstellt, dass:

  • nur autorisierte Nutzer auf Daten zugreifen können,
  • die Kontrolle über die Schlüssel bei den berechtigten Personen bleibt,
  • Zugriffe und Freigaben nachvollziehbar und auditierbar sind.

Dadurch können Unternehmen den Schutz sensibler Daten nicht nur behaupten, sondern auch nachweisen.

Best Practices für Ende-zu-Ende-verschlüsselten Cloud-Speicher

1. Sensible Daten identifizieren und klassifizieren

Beginnen Sie mit den Daten, die für Angreifer und Aufsichtsbehörden besonders relevant sind: personenbezogene Informationen und andere geschäftskritische Daten.

Dazu gehören personenbezogene Daten wie:

  • Namen
  • Geburtsdaten
  • Ausweis- oder Identifikationsnummern
  • Telefonnummern
  • E-Mail-Adressen
  • Zahlungsinformationen
  • Gesundheitsdaten

Ebenso sollten sensible Unternehmensinformationen wie Finanzdaten, geistiges Eigentum oder HR-Unterlagen klassifiziert werden.

Ohne klare Datenklassifizierung landen sensible Informationen häufig in weniger sicheren Werkzeugen – insbesondere bei der Zusammenarbeit mit externen Partnern oder bereichsübergreifenden Teams.

2. Jeden Nutzer und jedes Gerät verifizieren

In verteilten Arbeitsumgebungen sollte der Zugriff nicht nur einer Person, sondern auch einem verifizierten Gerät zugeordnet sein. Mindestens erforderlich sind:

  • Multi-Faktor-Authentifizierung (MFA)
  • Verifizierte Freigaben an externe Empfänger, beispielsweise über bekannte E-Mail-Adressen oder Einmalcodes
  • Transparenz und Kontrolle auf Geräteebene, damit verlorene oder nicht verwaltete Geräte nicht dauerhaft vertrauenswürdig bleiben

So wird verhindert, dass Zugänge über geteilte Konten, kompromittierte Anmeldedaten oder unverwaltete Geräte missbraucht werden.

3. Das Least-Privilege-Prinzip anwenden

Ende-zu-Ende-verschlüsselter Cloud-Speicher entfaltet seine volle Wirkung in Kombination mit dem Least-Privilege-Prinzip. Nicht jeder benötigt Zugriff auf jede Datei, jeden Ordner oder jede Aktion. Rollenbasierte Zugriffskontrollen (RBAC) helfen dabei, Berechtigungen gezielt einzuschränken.

Für eine konsistente Verwaltung empfiehlt sich zudem die Integration mit Active Directory oder Single Sign-on (SSO). So können Zugriffsrechte zentral angepasst werden, wenn sich Rollen ändern oder Mitarbeitende das Unternehmen verlassen.

4. Den gesamten Datenlebenszyklus verschlüsseln

Verschlüsselung sollte nicht erst beginnen, wenn eine Datei die Cloud erreicht.

Sensible Daten sollten geschützt bleiben:

  • bei ihrer Erstellung auf dem Endgerät,
  • während der Übertragung,
  • während der Speicherung,
  • bei der externen Freigabe,
  • sowie beim Versand per E-Mail.

Greift die Verschlüsselung nur während der Übertragung oder nur während der Speicherung, können Daten an anderen Stellen des Workflows weiterhin exponiert werden.

5. Einen Zero-Knowledge-Anbieter wählen

Eine Zero-Knowledge-Lösung verschlüsselt nicht nur Dateien, sondern ist so konzipiert, dass der Anbieter grundsätzlich keinen Zugriff auf sensible Daten hat.

In der Praxis bedeutet das, dass der Anbieter:

  • Verschlüsselungsschlüssel niemals unverschlüsselt an seine Server überträgt,
  • Passwörter nicht so speichert, dass ein Wiederherstellen des Zugriffs möglich wäre,
  • keinen Zugriff auf geteilte Schlüssel besitzt,
  • kryptografische Prüfmechanismen verwendet, um Manipulationen an Dateien zu erkennen.

Eine Zero-Knowledge-Architektur eliminiert Vertrauen in den Anbieter als Sicherheitsannahme und ersetzt es durch kryptografische Garantien.

Wo Tresorit ins Spiel kommt

Für Unternehmen, die mit sensiblen Informationen arbeiten, besteht die Herausforderung nicht nur darin, Daten sicher zu speichern, sondern auch sicher zusammenzuarbeiten – ohne die Kontrolle zu verlieren oder Arbeitsabläufe auszubremsen.

Genau dafür wurde Tresorit entwickelt: als Zero-Knowledge- und Ende-zu-Ende-verschlüsselte Plattform für die Arbeit mit sensiblen Dateien, die Zusammenarbeit mit externen Stakeholdern, den sicheren Dokumentenaustausch, digitale Freigabeprozesse und verschlüsselte E-Mail-Kommunikation.

Der Schutz sensibler Informationen erfolgt im Hintergrund und ist in vertraute Arbeitsabläufe integriert. Teams können Dateien teilen, prüfen, freigeben, signieren und kommunizieren, ohne Reibungsverluste oder unbeabsichtigte Offenlegung von Inhalten.

Indem Tresorit die Daten selbst schützt – und nicht nur die zugrunde liegende Infrastruktur –, wird sichere Zusammenarbeit über Organisationsgrenzen hinweg praktisch umsetzbar.

Erfahren Sie mehr über Tresorit SecureCloud für Unternehmen.

Erstellt im Januar 2023 und zuletzt aktualisiert im Juli 2026, um aktuelle Best Practices für Verschlüsselung und Anforderungen an die sichere Zusammenarbeit in der Cloud widerzuspiegeln.