Kein Klauen in den Clouds

28. August 2025

Cloud-Dienste sind das beste und bequemste Mittel gegen die Angst, Daten zu verlieren. Das Problem: Die eigenen Daten werden bei Dropbox & Co. zwar verschlüsselt, aber den Sicherheitsschlüssel, um sie wieder aufzusperren, behalten die Cloud-Anbieter für sich. Er kann also gestohlen, kopiert oder missbraucht werden. Um uneingeladene Mitleserinnen und Mitleser oder Datendiebinnen und Datendiebe sicher auszusperren, muss man die Verschlüsselung selbst in die Hand nehmen. Und das ist einfacher als möglicherweise gedacht. Wir stellen zwei gute und praktikable Verschlüsselungstools vor.

VeraCrypt ist ein quelloffenes Verschlüsselungssystem: Es kann also von jeder und jedem genutzt und verbessert werden. Die kostenfreie Software ist unter anderem für Mac, Windows und Linux erhältlich. VeraCryt macht einen Teil oder die gesamte Festplatte zu einem Datentresor – einem Container. Für die Installation wie auch für die Verschlüsselung externer Speichermedien, etwa einen USB-Stick, braucht man Administratorrechte auf dem Computer. Wenn man die nicht hat oder bekommen kann, etwa weil man den Rechner im Büro benutzt, kann man alternativ auf Cryptomator (siehe unten) zurückgreifen.

Zunächst erstellt man ein Volume. Dabei kann man wählen, ob man ein Laufwerk oder die Systempartition verschlüsseln will. Für den Anfang und für den Einsatz in der Cloud empfiehlt sich die Standardeinstellung: eine verschlüsselte Containerdatei. Dabei handelt es sich um ein virtuelles Laufwerk, das als Datei abgespeichert wird. Nun legt man Namen und Speicherort des Datentresors fest – also etwa den Ordner des präferierten Cloud-Dienstes. Im nächsten Schritt kann man unter diversen Verschlüsselungsverfahren wählen. Voreingestellt ist der 256 Bit Advanced Encryption Standard (AES). Dieser Verschlüsselungsstandard ist in den USA für staatliche Dokumente mit höchstem Geheimhaltungsgrad zugelassen. Um einen einzelnen dieser Schlüssel knacken zu können, müssten Milliarden Computer 13,8 Milliarden Jahre rechnen, also so lange wie vom Urknall bis in unsere Gegenwart. Im folgenden Schritt legt man die Größe des Datentresors fest. Hier sollte man ein wenig großzügiger kalkulieren. Wenn man also acht Gigabyte verschlüsseln will, nimmt man zehn, um ein wenig Puffer zu haben. Nun gilt es, ein sicheres Passwort festzulegen (mehr dazu im Kastentext). VeraCrypt empfiehlt mindestens 20 Zeichen. Gibt man ein kürzeres ein, hakt das Programm noch mal nach.

Um den Datensafe aufzuschließen, öffnet man zunächst VeraCrypt. Dann wählt man die entsprechende Datei aus und hängt sie in eins der freien Laufwerke ein. Nach der Eingabe des Passworts wird der Ordner aufgeschlossen – und mit einem Doppelklick geöffnet. Nun kann man Dateien dorthin kopieren, verschieben oder neue Dateien speichern.

Wichtig: Bei jeder noch so kleinen Änderung wird der komplette Container neu in die Cloud geladen. Ändert man in einem 20-Gigabyte-Ordner in einem Word-Dokument ein Komma, kann die Synchronisierung eine Weile dauern. Wer also ohnehin nur Dokumente oder Tabellen in dem Datentresor ablegen will, kann ihn von vorneherein auch etwas kleiner anlegen, um den Upload abzukürzen. Besonders wichtig: Wenn man vergisst, den Tresor nach getaner Arbeit zu schließen, und das eigene Endgerät wird geklaut, könnten die Diebinnen und Diebe auf die sensiblen Daten zugreifen. Daher kann und sollte man in den „Voreinstellungen“ festlegen, dass der Datensafe nach einer bestimmten Zeit der Inaktivität oder auch beim Wechsel in den Energiesparmodus automatisch geschlossen wird.

Der verschlüsselte Container kann wie jeder andere Cloud-Ordner auf dem üblichen Wege für Familienmitglieder oder Kolleginnen und Kollegen freigegeben werden. Die müssen entsprechend VeraCrypt auf ihrem Rechner installieren und können dann über die Eingabe des Passworts auf den Datensafe zugreifen.

Cryptomator ist ebenfalls quelloffen und für Windows, Mac und Linux gratis beziehungsweise gegen eine freiwillige Spende zu haben. Die mobilen Versionen für Android oder iOS kosten einmalig 19,99 Euro. Teams ab einer gewissen Größe, die Wert auf direkten Support und ein zertifiziertes Datencenter in Europa legen, können ein Abo abschließen. Anders als bei VeraCrypt kann man in dem Tool nicht unter verschiedenen Verschlüsselungsmethoden wählen. Genutzt wird der oben genannte AES-Standard, der Cyberkriminellen ohne Zeitmaschine mit Sicherheit standhält. Überhaupt bietet Cryptomator deutlich weniger Feineinstellungen, an denen Verschlüsselungsprofis herumdrehen können, dafür allen Einsteigerinnen und Einsteigern mehr Übersichtlichkeit. Ein weiterer Komfortvorteil gegenüber VeraCrypt: Cryptomator setzt auf datenbasierte Verschlüsselung. Packt man also ein neues Dokument in den Datentresor oder ändert ein bestehendes, wird nur diese Datei und nicht der komplette Ordner hochgeladen – die Synchronisierung geht also wesentlich flotter vonstatten.

Das Vorgehen ist ähnlich wie bei VeraCrypt: Nach dem Programmstart wählt man zunächst einen Ort, an dem der Tresor abgelegt werden soll, etwa direkt in der Dropbox – das Tool ist kompatibel mit allen großen Cloud-Diensten. Nachdem man einen Namen und ein Passwort festgelegt hat, kann man auch einen Wiederherstellungsschlüssel anlegen, für den Fall, dass man das eigene Passwort vergisst oder verliert. Dieser Schlüssel besteht aus einer langen Kette zufälliger Begriffe und sollte in einem Passwortmanager (siehe Kasten) oder auf einem USB-Stick gesichert werden. Alternativ kann man ihn auch ganz altmodisch ausdrucken und an einem sicheren Ort verstauen.

Dazu wählt man in Cryptomator den gewünschten Tresor und gibt das Passwort ein. Dann wird er als virtuelles Laufwerk im Windows-Explorer oder im Apple-Finder angezeigt und kann befüllt werden. Bearbeitet man gerade ein Dokument in Word, Pages oder Excel, kann man es aber auch direkt aus dem Programm heraus im Tresor abspeichern. Praktisch: Der geöffnete Tresor wird im Verzeichnis des Computers auch unter dem Cryptomator-Symbol – einem kleinen Roboter mit Schlüsselbauch – angezeigt, so ist er auf den ersten Blick zu finden. Wichtig: Über die „Tresoroptionen“ kann und sollte man festlegen, dass der Tresor nach einer bestimmten Zeit der Untätigkeit automatisch geschlossen wird.

Das funktioniert wie bei VeraCrypt: Zunächst muss man den Tresor über den Cloud-Dienst für die entsprechende Person freigeben, dann das Passwort auf einem sicheren Kanal übermitteln – etwa digital über eine verschlüsselte Mail oder noch besser in einer analogen Begegnung. Für Teams bietet Cryptomator außerdem eine weitere Option: Über den sogenannten Cryptomator-Hub kann jedes Teammitglied ein eigenes Passwort verwenden. Das reduziert das Risiko, dass ein gemeinsames Passwort innerhalb eines großen Teams doch einmal auf unsicheren Wegen weitergegeben wird und von Cyberkriminellen abgefangen werden kann.Das funktioniert wie bei VeraCrypt: Zunächst muss man den Tresor über den Cloud-Dienst für die entsprechende Person freigeben, dann das Passwort auf einem sicheren Kanal übermitteln – etwa digital über eine verschlüsselte Mail oder noch besser in einer analogen Begegnung. Für Teams bietet Cryptomator außerdem eine weitere Option: Über den sogenannten Cryptomator-Hub kann jedes Teammitglied ein eigenes Passwort verwenden. Das reduziert das Risiko, dass ein gemeinsames Passwort innerhalb eines großen Teams doch einmal auf unsicheren Wegen weitergegeben wird und von Cyberkriminellen abgefangen werden kann.