Bei Tresorit sind wir davon überzeugt, dass wirklich sichere, Ende-zu-Ende-verschlüsselte Lösungen nicht einfach abgehakt werden können, wenn sie einmal erreicht sind. Vielmehr sind sie eine dauerhafte Verpflichtung.

Deshalb beauftragen wir regelmäßig unabhängige Audits und Penetrationstests und werden dies ab 2025 jedes Jahr tun. Und heute freuen wir uns, die Ergebnisse der neuesten Evaluierung zu teilen: eine Ende 2025 durchgeführte Schwachstellenanalyse sowie ein Penetrationstest unseres Sicherheits-Frameworks durch einen international renommierten, unabhängigen Auditor.

Was wurde getestet und warum ist das wichtig?

Für diese jüngste Prüfung hat ein unabhängiges Unternehmen einen umfassenden Penetrationstest zur technischen Sicherheitsbewertung von Tresorits Ende-zu-Ende-Verschlüsselung sowie unserer Web-, Mobile- und Desktop-Anwendungen durchgeführt. Getestet wurden ausgewählte Komponenten unserer Produkt-Suite, darunter Tresorit SecureCloud und Tresorit Engage.

Der Test erfolgte nach der Gray-Box-Methodik. Hierfür wurden Testnutzerkonten mit kontrollierten Zugriffsrechten eingerichtet, um realistische Angriffe auf Datensicherheit und Funktionalität unter sicheren, risikofreien Bedingungen zu simulieren.

Das umfasst: 

• Aufdeckung von Sicherheitslücken, Schwachstellen und Mängeln in der Systemarchitektur, die Tresorits Sicherheitsversprechen beeinträchtigen könnten – inklusive Bewertung der damit verbundenen Geschäftsrisiken.
• Bewertung des Informationssicherheits-Designs rund um Tresorit anhand von Leitlinien des Open Web Application Security Project (OWASP) zu Angriffen, Penetrationstests und Best Practices.
• Bereitstellung von klaren, umsetzbaren Empfehlungen, um identifizierte Risiken zu minimieren. 

Letztlich zielen Penetrationstests nicht darauf ab, „Perfektion“ zu beweisen. Sie dienen dazu, Sicherheitsversprechen durch eine strenge, objektive Prüfung zu verifizieren.

Das Ergebnis: Tresorits Vertraulichkeitsversprechen bestätigt

Wir sind stolz darauf, dass die unabhängige Prüfung zu dem Ergebnis gekommen ist, dass Tresorits Aussage zur Ende-zu-Ende-Verschlüsselung stichhaltig ist. Das bedeutet, dass weder Tresorit-Server noch Mitarbeitende auf von Nutzerinnen und Nutzern hochgeladene Daten zugreifen können. Im Bericht heißt es dazu:

„Die Testergebnisse zeigten keine Abweichung von Tresorits Aussagen zur Datenvertraulichkeit.“

Die Untersuchung identifizierte weder kritische noch hochgradige Befunde in Bezug auf Tresorits kryptografische oder andere Komponenten.

Allerdings wurde eine serverseitige Race-Condition-Schwachstelle mittlerer Schwere entdeckt – ohne Auswirkungen auf die Sicherheit Ende-zu-Ende-verschlüsselter Daten – sowie einige weitere Punkte mittlerer und niedriger Schwere. Diese Punkte betreffen aber eher Abläufe oder die Ebene der Benutzeroberfläche als grundlegende strukturelle Sicherheitsmängel – und lassen sich einfach beheben.

Diese Ergebnisse decken sich mit unseren bisherigen internen und externen Prüfungen – darunter frühere Penetrationstests sowie die unabhängige Studie der ETH Zürich, die unser Ende-zu-Ende-Verschlüsselungsdesign im Vergleich mehrerer Anbieter geprüft hat. 

Was das für Sie bedeutet

Vertrauen, dass Ihre Daten privat bleiben.

Da Tresorits Vertraulichkeitsversprechen bestätigt wurde, können Sie sicher sein, dass Ihre Daten vertraulich bleiben. Tresorit setzt konsequent auf client-seitige Verschlüsselung: Dateien werden verschlüsselt, bevor sie Ihr Gerät verlassen, und bleiben für niemanden lesbar – auch nicht für Tresorits eigene Server.

Sicherheit, die mit der Bedrohungslage mitwächst.

Von heutigen Angriffen bis zu den Post-Quanten-Risiken von morgen: Wir entwickeln unsere Kryptografie kontinuierlich weiter, um stets einen Schritt voraus zu sein. Wiederholte unabhängige Tests stellen sicher, dass wir anpassen und nachschärfen, wenn es notwendig ist. 

Transparenz und verantwortlichkeit.

Indem wir Testergebnisse veröffentlichen und offen mit unabhängigen Auditoren zusammenarbeiten, liefern wir klare Belege dafür, dass unsere Sicherheitsversprechen einer Prüfung standhalten – nicht nur intern, sondern auch in Tests unter realistischen Angriffsszenarien.

Fazit

Sicherheit ist für uns nicht einfach ein Feature – sie ist unser Fundament. Der jüngste unabhängige Penetrationstest aus dem Jahr 2025 bestätigt erneut, dass Tresorit ein zuverlässiges und sicheres Zuhause für Ihre sensibelsten Daten bleibt. 

Wir danken den Auditoren für ihre gründliche Arbeit und unserer Community dafür, dass sie uns mit dem Schutz ihrer sensiblen Daten betraut. Während wir unsere Plattform weiter ausbauen und verbessern, bleiben wir Transparenz, strengen Tests sowie höchsten Standards bei Verschlüsselung und Datenschutz uneingeschränkt verpflichtet.

Für weitere Details können Sie sich gerne an unser Support-Team wenden.