Cloud-Anbieter verschlüsseln Ihre Daten – aber das bedeutet nicht, dass sie sie nicht lesen können
Wenn Google sagt, dass Ihre Google Drive-Dateien verschlüsselt sind, meinen sie damit: verschlüsselt während der Übertragung und im Ruhezustand – mit ihren Schlüsseln. Google kann Ihre Dateien entschlüsseln. Ebenso jede Strafverfolgungsbehörde mit einer gültigen rechtlichen Anforderung oder jeder Insider mit ausreichenden Zugriffsrechten. Das ist keine Verschwörungstheorie – so funktioniert serverseitige Verschlüsselung.
Cryptomator löst genau dieses Problem. Es ist ein Open-Source-Tool zur clientseitigen Verschlüsselung, das Ihre Cloud-Dateien verschlüsselt, bevor sie Ihr Gerät verlassen. Der Cloud-Anbieter speichert nur Ciphertext. Er sieht niemals den Klartext, besitzt keine Schlüssel, und eine Vorladung an ihn bringt nichts.
2026 beläuft sich der durchschnittliche Schaden durch eine Datenpanne laut IBM Cost of a Data Breach Report auf 4,88 Mio. USD. Cloud-Fehlkonfigurationen sind nach wie vor der häufigste Erstangriffspunkt. Die Frage ist nicht mehr, ob Sie sensible Cloud-Daten clientseitig verschlüsseln sollten. Die Frage ist, warum Sie es noch nicht tun.
Was Cryptomator wirklich tut und wie
Cryptomator erstellt einen verschlüsselten Tresor über jedem beliebigen Cloud-Speicheranbieter: Google Drive, Dropbox, OneDrive, iCloud, Nextcloud und viele mehr. Jede Datei wird lokal mit AES-256-GCM verschlüsselt, bevor sie synchronisiert wird. Dateinamen werden mit AES-SIV verschlüsselt, was Metadatenlecks verhindert.
Der Hauptschlüssel wird durch eine Passphrase geschützt, die mit scrypt gestreckt wird. Dieser Hauptschlüssel gelangt nie in die Cloud. Selbst bei einer vollständigen Kompromittierung Ihres Cloud-Anbieters bleiben Ihre Klartextdaten sicher.
Die Tresorstruktur
Beim Erstellen eines Cryptomator-Tresors sehen Sie eine masterkey.cryptomator-Datei neben einem d/-Verzeichnis voller verschlüsselter Dateiblobs. Ihr Cloud-Sync-Client behandelt dies wie jeden anderen Ordner – keine speziellen Kernel-Erweiterungen, kein FUSE auf Mobilgeräten, keine API-Änderungen beim Anbieter erforderlich.
Cryptomator vs. Google Drive-Verschlüsselung
Google Drive-Verschlüsselung schützt gut gegen externe Angreifer auf Netzwerkebene. Aber Google verwaltet die Schlüssel. Das bedeutet: Google-Mitarbeiter können auf Ihre Daten zugreifen, Strafverfolgungsbehörden können entschlüsselte Dateien anfordern, und eine Kompromittierung des Schlüsselverwaltungssystems gefährdet alles.
Google Workspace bietet clientseitige Verschlüsselung für Unternehmenskunden, ist aber auf teure Tarife beschränkt. Cryptomator ist kostenlos, Open-Source und durch Cure53 geprüft. Das 2024er Audit fand keine kritischen Schwachstellen.
Praktische Einrichtung
Laden Sie den Cryptomator-Binary von cryptomator.org herunter und verifizieren Sie die GPG-Signatur. Erstellen Sie einen neuen Tresor in Ihrem Cloud-Sync-Ordner. Wählen Sie eine starke Passphrase mit mindestens 20 Zeichen und speichern Sie sie in Ihrem Passwort-Manager. Aktivieren Sie Auto-Lock, um den Tresor bei Inaktivität automatisch zu sperren.
Für Teams empfiehlt sich Cryptomator Hub: jedes Teammitglied hat seinen eigenen Schlüssel, Zugriff kann widerrufen werden. Es ist auf Keycloak aufgebaut und unterstützt OIDC.
Cryptomator im größeren Sicherheitskontext
Cryptomator löst ein spezifisches Problem. Ein vollständiges Cloud-Sicherheitsprogramm braucht mehr. CSPM erkennt Fehlkonfigurationen wie offene S3-Buckets. Secret Detection verhindert, dass Secrets in die Cloud gelangen. Policy-as-Code macht alle Kontrollen auditierbar für DSGVO oder SOC 2.
Für Containerworkloads sorgt Container Image Scanning dafür, dass Anwendungen, die in Ihre Tresore schreiben, keine eigenen Schwachstellen mitbringen. Und Cloud Inventory stellt sicher, dass Sie wissen, welche Daten wo liegen.
Fazit: Cryptomator ist 2026 das beste Tool für clientseitige Cloud-Verschlüsselung – aber nur eine Schicht. Kombinieren Sie es mit einem ganzheitlichen Ansatz, wie ihn SECRAILS bietet.

