Secrails LogoSECRAILS
Zurück zum BlogCloud-Sicherheit

Cryptomator: Der vollständige Leitfaden zur clientseitigen Cloud-Verschlüsselung 2026

secrails··9 Min.
Cloud SecurityEncrypted Cloud StorageCloud EncryptionData PrivacyCSPM
Cryptomator verschlüsselter Tresor über Cloud-Anbieter-Icons mit AES-Schlüsseln in Blau und Cyan

Cloud-Anbieter verschlüsseln Ihre Daten – aber das bedeutet nicht, dass sie sie nicht lesen können

Wenn Google sagt, dass Ihre Google Drive-Dateien verschlüsselt sind, meinen sie damit: verschlüsselt während der Übertragung und im Ruhezustand – mit ihren Schlüsseln. Google kann Ihre Dateien entschlüsseln. Ebenso jede Strafverfolgungsbehörde mit einer gültigen rechtlichen Anforderung oder jeder Insider mit ausreichenden Zugriffsrechten. Das ist keine Verschwörungstheorie – so funktioniert serverseitige Verschlüsselung.

Cryptomator löst genau dieses Problem. Es ist ein Open-Source-Tool zur clientseitigen Verschlüsselung, das Ihre Cloud-Dateien verschlüsselt, bevor sie Ihr Gerät verlassen. Der Cloud-Anbieter speichert nur Ciphertext. Er sieht niemals den Klartext, besitzt keine Schlüssel, und eine Vorladung an ihn bringt nichts.

2026 beläuft sich der durchschnittliche Schaden durch eine Datenpanne laut IBM Cost of a Data Breach Report auf 4,88 Mio. USD. Cloud-Fehlkonfigurationen sind nach wie vor der häufigste Erstangriffspunkt. Die Frage ist nicht mehr, ob Sie sensible Cloud-Daten clientseitig verschlüsseln sollten. Die Frage ist, warum Sie es noch nicht tun.

Was Cryptomator wirklich tut und wie

Cryptomator erstellt einen verschlüsselten Tresor über jedem beliebigen Cloud-Speicheranbieter: Google Drive, Dropbox, OneDrive, iCloud, Nextcloud und viele mehr. Jede Datei wird lokal mit AES-256-GCM verschlüsselt, bevor sie synchronisiert wird. Dateinamen werden mit AES-SIV verschlüsselt, was Metadatenlecks verhindert.

Der Hauptschlüssel wird durch eine Passphrase geschützt, die mit scrypt gestreckt wird. Dieser Hauptschlüssel gelangt nie in die Cloud. Selbst bei einer vollständigen Kompromittierung Ihres Cloud-Anbieters bleiben Ihre Klartextdaten sicher.

Die Tresorstruktur

Beim Erstellen eines Cryptomator-Tresors sehen Sie eine masterkey.cryptomator-Datei neben einem d/-Verzeichnis voller verschlüsselter Dateiblobs. Ihr Cloud-Sync-Client behandelt dies wie jeden anderen Ordner – keine speziellen Kernel-Erweiterungen, kein FUSE auf Mobilgeräten, keine API-Änderungen beim Anbieter erforderlich.

Cryptomator vs. Google Drive-Verschlüsselung

Google Drive-Verschlüsselung schützt gut gegen externe Angreifer auf Netzwerkebene. Aber Google verwaltet die Schlüssel. Das bedeutet: Google-Mitarbeiter können auf Ihre Daten zugreifen, Strafverfolgungsbehörden können entschlüsselte Dateien anfordern, und eine Kompromittierung des Schlüsselverwaltungssystems gefährdet alles.

Google Workspace bietet clientseitige Verschlüsselung für Unternehmenskunden, ist aber auf teure Tarife beschränkt. Cryptomator ist kostenlos, Open-Source und durch Cure53 geprüft. Das 2024er Audit fand keine kritischen Schwachstellen.

Praktische Einrichtung

Laden Sie den Cryptomator-Binary von cryptomator.org herunter und verifizieren Sie die GPG-Signatur. Erstellen Sie einen neuen Tresor in Ihrem Cloud-Sync-Ordner. Wählen Sie eine starke Passphrase mit mindestens 20 Zeichen und speichern Sie sie in Ihrem Passwort-Manager. Aktivieren Sie Auto-Lock, um den Tresor bei Inaktivität automatisch zu sperren.

Für Teams empfiehlt sich Cryptomator Hub: jedes Teammitglied hat seinen eigenen Schlüssel, Zugriff kann widerrufen werden. Es ist auf Keycloak aufgebaut und unterstützt OIDC.

Cryptomator im größeren Sicherheitskontext

Cryptomator löst ein spezifisches Problem. Ein vollständiges Cloud-Sicherheitsprogramm braucht mehr. CSPM erkennt Fehlkonfigurationen wie offene S3-Buckets. Secret Detection verhindert, dass Secrets in die Cloud gelangen. Policy-as-Code macht alle Kontrollen auditierbar für DSGVO oder SOC 2.

Für Containerworkloads sorgt Container Image Scanning dafür, dass Anwendungen, die in Ihre Tresore schreiben, keine eigenen Schwachstellen mitbringen. Und Cloud Inventory stellt sicher, dass Sie wissen, welche Daten wo liegen.

Fazit: Cryptomator ist 2026 das beste Tool für clientseitige Cloud-Verschlüsselung – aber nur eine Schicht. Kombinieren Sie es mit einem ganzheitlichen Ansatz, wie ihn SECRAILS bietet.

Frequently Asked Questions

Ist Cryptomator wirklich sicher für die Speicherung sensibler Geschäftsdaten?

Ja, für sein definiertes Bedrohungsmodell. Cryptomator verwendet AES-256-GCM für Dateiinhalte und AES-SIV für Dateinamen, mit einem scrypt-gestreckten Hauptschlüssel, der das Gerät nie verlässt. Das Cure53-Audit von 2024 fand keine kritischen Schwachstellen. Es schützt vor anbieterseitiger Kompromittierung, aber nicht vor einem kompromittierten Endgerät.

Funktioniert Cryptomator mit Google Drive und OneDrive?

Ja. Cryptomator funktioniert mit jedem Cloud-Speicheranbieter, der als lokaler Ordner erscheint – einschließlich Google Drive, OneDrive, Dropbox, iCloud Drive und Nextcloud. Sie erstellen den Tresor im Sync-Ordner, und der Cloud-Client synchronisiert die verschlüsselten Inhalte wie alle anderen Dateien. Keine spezielle Integration erforderlich.

Was ist der Unterschied zwischen Cryptomator und VeraCrypt für Cloud-Speicher?

VeraCrypt erstellt verschlüsselte Container-Dateien oder verschlüsselt ganze Volumes. Bei jeder Dateiänderung muss der gesamte Container neu hochgeladen werden – unpraktisch für Cloud-Sync. Cryptomator verschlüsselt jede Datei einzeln, sodass nur geänderte Dateien synchronisiert werden. Für Cloud-Speicher ist Cryptomator fast immer die richtige Wahl.

Können DDoS-Angriffe verschlüsselten Cloud-Speicher beeinträchtigen und wie schützt man sich?

DDoS-Angriffe können die Verfügbarkeit von Cloud-Speicher beeinträchtigen – insbesondere L7-Angriffe auf API-Gateways oder Presigned-URL-Endpunkte. Cryptomator adressiert Vertraulichkeit, nicht Verfügbarkeit. Die Verteidigung umfasst Rate Limiting mit AWS WAF oder Cloudflare und kurze Presigned-URL-Ablaufzeiten. Der Vorteil: Cryptomator stellt sicher, dass kompromittierte Endpunkte nur Ciphertext liefern.

Ist Cryptomator DSGVO-konform für Datenverschlüsselungsanforderungen?

Cryptomator unterstützt die Konformität mit DSGVO Artikel 32, der geeignete technische Maßnahmen verlangt. AES-256-GCM mit clientseitig gehaltenen Schlüsseln gilt als starke technische Kontrolle. Selbst bei einer Vorladung des Cloud-Anbieters bleiben Daten ohne Passphrase unlesbar. DSGVO-Konformität ist jedoch breiter — Sie benötigen weiterhin Zugriffskontrollen und Auftragsverarbeitungsverträge.

Ist Ihr Cloud-Speicher wirklich sicher?

Clientseitige Verschlüsselung ist nur eine Schicht. Erfahren Sie, wie SECRAILS CSPM Ihre gesamte Cloud-Sicherheitslage in Echtzeit überwacht.

Cloud Posture Management entdecken