Was ist der Unterschied zwischen clientseitiger und serverseitiger Verschlüsselung?

Bei der serverseitigen Verschlüsselung gelangt Ihre Datei zum Anbieter (über TLS), und der Anbieter verschlüsselt sie auf seinen Servern mit Schlüsseln, die er kontrolliert. Weil der Anbieter die Schlüssel besitzt, kann er Ihre Daten technisch lesen, scannen oder unter rechtlichem Zwang offenlegen. Bei der clientseitigen Verschlüsselung wird die Datei zuerst auf Ihrem Gerät verschlüsselt, und nur Sie besitzen den Schlüssel — der Anbieter speichert Chiffretext, den er wirklich nicht öffnen kann. Serverseitig schützt vor externen Hackern; clientseitig schützt zusätzlich vor dem Anbieter selbst und vor jedem, der ihn zwingen kann.

Ist clientseitige Verschlüsselung dasselbe wie Ende-zu-Ende-Verschlüsselung?

Sie überschneiden sich stark. Clientseitige Verschlüsselung beschreibt, wo die Verschlüsselung stattfindet — auf Ihrem Gerät, vor dem Upload. Ende-zu-Ende-Verschlüsselung beschreibt den Weg — die Daten sind nur an den Endpunkten lesbar, niemals dazwischen. In der Praxis setzt eine Zero-Knowledge-Cloud die clientseitige Verschlüsselung um, damit die Daten Ende-zu-Ende geschützt bleiben: auf Ihrem Gerät verschlüsselt, nur auf Ihren Geräten entschlüsselt, dazwischen überall Chiffretext. Der gemeinsame Nenner ist einfach: Nur Sie besitzen den Schlüssel.

Was passiert, wenn ich bei clientseitiger Verschlüsselung mein Passwort vergesse?

Das ist der ehrliche Kompromiss. Weil nur Sie den Schlüssel besitzen und der Anbieter ihn nie sieht, gibt es in der Regel kein Zurücksetzen des Passworts, das Ihre Daten wiederherstellt — wenn Sie das Passwort (und jeden vom Dienst ausgestellten Wiederherstellungsschlüssel) verlieren, sind die verschlüsselten Dateien praktisch unwiederbringlich. Das ist die Kehrseite echter Privatsphäre: Ein Anbieter, der Ihr Passwort zurücksetzen kann, um Ihre Dateien wiederherzustellen, ist ein Anbieter, der sie auch lesen könnte. Bewahren Sie bei clientseitiger Verschlüsselung Ihr Passwort und Ihren Wiederherstellungsschlüssel sicher auf, idealerweise in einem Passwortmanager.

Welche Cloud-Dienste nutzen clientseitige Verschlüsselung?

Mehrere tun es von Haus aus: Proton Drive und Tresorit verschlüsseln standardmäßig auf dem Gerät; pCloud bietet es über sein optionales Crypto-Add-on; MEGA wendet es über das gesamte Konto an. Sie können clientseitige Verschlüsselung auch selbst auf jeder Cloud hinzufügen, mit Tools wie Cryptomator oder VeraCrypt, die einen verschlüsselten Tresor erstellen, bevor die Dateien synchronisiert werden. Gängige Dienste wie Google Drive, Dropbox und iCloud sind in der Regel standardmäßig serverseitig — der Anbieter besitzt die Schlüssel —, achten Sie also gezielt auf „clientseitig“, „Ende-zu-Ende“ oder „Zero-Knowledge“, wenn Ihnen Privatsphäre gegenüber dem Anbieter wichtig ist.

Was ist clientseitige Verschlüsselung? Wie sie funktioniert & warum sie zählt (2026)

Q: Was ist clientseitige Verschlüsselung?

Clientseitige Verschlüsselung bedeutet, dass Ihre Daten auf Ihrem eigenen Gerät — dem Client — verschlüsselt werden, bevor sie irgendwohin gesendet werden. Der Verschlüsselungsschlüssel wird aus Ihrem Passwort (oder einer Schlüsseldatei) abgeleitet und bleibt auf Ihrem Gerät; der Server erhält ihn nie. Wenn Sie also eine Datei hochladen, speichert der Anbieter nur verschlüsselten Chiffretext, den er nicht öffnen, scannen oder in lesbarer Form herausgeben kann. Es ist der technische Mechanismus hinter „Zero-Knowledge“- und „Ende-zu-Ende-verschlüsseltem“ Speicher: Der Dienst transportiert Ihre Daten, ohne sie je lesen zu können.

Wenn ein Cloud-Dienst sagt, Ihre Dateien seien „verschlüsselt“, ist die entscheidende Frage, wer sie entschlüsseln kann. Bei den meisten gängigen Diensten lautet die Antwort: der Anbieter kann es. Clientseitige Verschlüsselung kehrt das um — Ihre Dateien werden auf Ihrem eigenen Gerät verschlüsselt, bevor sie es überhaupt verlassen, sodass das Unternehmen Daten speichert, die es wirklich nicht lesen kann. Dieser Leitfaden erklärt, wie sie funktioniert, wie sie sich von der gewöhnlichen serverseitigen Verschlüsselung unterscheidet, ihre ehrlichen Kompromisse und welche Dienste sie tatsächlich anwenden.

Was clientseitige Verschlüsselung ist

Clientseitige Verschlüsselung bedeutet, dass die Verschlüsselung auf dem Client stattfindet — Ihrem Telefon oder Computer — bevor Ihre Daten hochgeladen werden. Der Schlüssel, der Ihre Dateien sperrt und entsperrt, wird aus Ihrem Passwort abgeleitet und bleibt auf Ihrem Gerät. Der Server erhält ihn nie.

Das Ergebnis: Wenn Sie eine Datei hochladen, besitzt der Anbieter nur Chiffretext — einen verschlüsselten Block, den er nicht öffnen, scannen, indizieren oder in lesbarer Form herausgeben kann. Das ist der technische Mechanismus hinter den Labels „Zero-Knowledge“ und „Ende-zu-Ende-verschlüsselt“, die Sie bei datenschutzorientiertem Speicher sehen.

Wie es Schritt für Schritt funktioniert

Sie geben Ihr Passwort in die App ein. Daraus leitet die App lokal einen Verschlüsselungsschlüssel ab.
Vor jedem Upload verschlüsselt die App die Datei auf Ihrem Gerät mit diesem Schlüssel.
Nur der Chiffretext wird an den Server gesendet (weiterhin über TLS, also auch bei der Übertragung verschlüsselt).
Wenn Sie die Datei öffnen, kommt der Chiffretext zurück und wird auf Ihrem Gerät mit Ihrem Schlüssel entschlüsselt.

Zu keinem Zeitpunkt existiert die lesbare Datei — oder der Schlüssel — auf den Servern des Anbieters. Genau das ist der Sinn: Der Dienst ist ein Bote für versiegelte Umschläge, die er nicht entsiegeln kann.

Clientseitige vs. serverseitige Verschlüsselung

Hier wohnt die meiste Verwirrung über „Ist es privat?“:

Serverseitige Verschlüsselung — Ihre Datei wird hochgeladen, dann verschlüsselt der Anbieter sie auf seinen Servern mit Schlüsseln, die er kontrolliert. Gut gegen externe Hacker und gestohlene Festplatten, aber der Anbieter kann Ihre Daten weiterhin lesen, scannen oder offenlegen. Das ist die Standardeinstellung bei Google Drive, Dropbox und iCloud.
Clientseitige Verschlüsselung — Ihre Datei wird zuerst auf Ihrem Gerät verschlüsselt, und nur Sie besitzen den Schlüssel. Der Anbieter speichert Chiffretext, den er nicht lesen kann. Gut gegen Hacker und den Anbieter selbst (und die rechtlichen Anforderungen, die ihm zugestellt werden können).

Der einzige Unterschied, der zählt, ist, wer den Schlüssel besitzt. Für die Speichermodell-Variante dieser Unterscheidung siehe Ende-zu-Ende vs. Zero-Knowledge-Cloud-Speicher.

Ein Vorhängeschloss über einer in Binärcode dargestellten Weltkarte

Was sie schützt — und was nicht

Schützt: den Inhalt Ihrer Dateien vor dem Anbieter, seinen Mitarbeitern, jedem, der seine Server kompromittiert, und jedem, der ihn rechtlich zwingt. Sie alle sehen nur Chiffretext.

Schützt in der Regel nicht:

Manche Metadaten — je nach Dienst können Dateigrößen, Zeitstempel oder Ordnerstrukturen für den Anbieter weiterhin sichtbar sein, selbst wenn die Inhalte es nicht sind.
Ein kompromittiertes Gerät — wenn Schadsoftware oder jemand mit Zugang Ihr entsperrtes Gerät verwendet, wird die Verschlüsselung an dem Punkt umgangen, an dem die Dateien entschlüsselt werden: dem Endpunkt.
Ein verlorenes Passwort — weil nur Sie den Schlüssel besitzen, gibt es in der Regel keine Wiederherstellung, wenn Sie Ihr Passwort und Ihren Wiederherstellungsschlüssel verlieren (siehe FAQ). Echte Privatsphäre und „der Anbieter kann es für mich zurücksetzen“ schließen sich gegenseitig aus.

Clientseitige Verschlüsselung ist mächtig, nicht total — sie sichert Ihre Daten im Ruhezustand und bei der Übertragung, nicht die Geräte, die die Schlüssel besitzen.

Welche Dienste sie tatsächlich anwenden

Manche bauen sie von Haus aus ein; bei anderen fügen Sie sie selbst hinzu:

Eingebaut — Proton Drive und Tresorit verschlüsseln standardmäßig auf dem Gerät; pCloud bietet es über das optionale Crypto-Add-on; MEGA wendet es über das gesamte Konto an.
Selbst hinzufügen — Tools wie Cryptomator oder VeraCrypt erstellen einen verschlüsselten Tresor über jeder Cloud, sodass Dateien clientseitig verschlüsselt werden, bevor sie synchronisiert werden. Siehe unseren Vergleich Cryptomator vs. VeraCrypt.

Gängige Dienste wie Google Drive, Dropbox und iCloud sind in der Regel standardmäßig serverseitig. Wenn Ihnen Privatsphäre gegenüber dem Anbieter wichtig ist, achten Sie gezielt auf clientseitig, Ende-zu-Ende oder Zero-Knowledge. Vergleichen Sie die Optionen in unserem Leitfaden bester kostenloser verschlüsselter Cloud-Speicher.

Choix éditorial

4.5 / 5

Clientseitig verschlüsselter Speicher → pCloud + Crypto

Schweizer Jurisdiktion · Dateien auf Ihrem Gerät mit dem Crypto-Add-on verschlüsselt (Zero-Knowledge) · Lifetime-Pläne

Société suisse depuis 2013Satisfait ou remboursé 10jFree 10 GB

Voir l'offre

Wie Sie prüfen, ob ein Dienst es wirklich tut

Marketingsprache ist schlüpfrig. Ein paar ehrliche Prüfungen:

Sagt er „clientseitig“, „Ende-zu-Ende“ oder „Zero-Knowledge“ — nicht nur „verschlüsselt“ oder „sicher“?
Warnt er, dass ein verlorenes Passwort verlorene Daten bedeutet? Diese Warnung ist ein gutes Zeichen — sie bedeutet, dass sie es nicht zurücksetzen können, also es auch nicht lesen können.
Ist die Verschlüsselung standardmäßig aktiviert oder ein Add-on (wie pCloud Crypto), das Sie aktivieren müssen?
Ist der Client quelloffen oder unabhängig auditiert? Überprüfbarer Code schlägt ein Versprechen.

Wenn ein Anbieter Ihnen Ihre Dateien nach einer simplen „Passwort vergessen“-E-Mail zeigen kann, waren Ihre Daten nie clientseitig verschlüsselt.

Das Fazit

Clientseitige Verschlüsselung ist der Mechanismus, der „privaten“ Cloud-Speicher tatsächlich privat macht: Ihre Dateien werden auf Ihrem eigenen Gerät gesperrt, und nur Sie besitzen den Schlüssel, sodass der Anbieter Chiffretext speichert, den er nicht lesen kann. Sie schlägt die gewöhnliche serverseitige Verschlüsselung, weil sie vor dem Anbieter selbst schützt — um den Preis echter Verantwortung für Ihr Passwort. Für wirklich private Speicherung achten Sie auf clientseitig / Zero-Knowledge von Haus aus, oder fügen Sie sie selbst mit einem Tresor-Tool hinzu. Um zunächst das Gesamtbild zu verstehen, beginnen Sie mit was Cloud-Speicher ist.

Redaktioneller Leitfaden auf Grundlage der Funktionsweise der clientseitigen Verschlüsselung (Schlüssel auf dem Gerät, Speicherung nur von Chiffretext) und ihrer dokumentierten Kompromisse (Metadaten, Endpunktsicherheit, keine Passwort-Wiederherstellung). Der kommerzielle Link trägt das Attribut rel="sponsored nofollow"; eine Affiliate-Provision kann anfallen, ohne Mehrkosten für Sie.

Choix éditorial

4.5 / 5

Store your files privately → pCloud

Swiss privacy · 10 GB free · optional zero-knowledge Crypto