Priviy
cloud-chiffre-comparisonINFO

Ist Box sicher im Jahr 2026? Ehrliche Antwort und private Alternativen

Ist Box sicher? Es verschlüsselt Dateien bei der Übertragung und im Ruhezustand, bietet starke Unternehmenskontrollen (KeySafe, Shield, SSO) und viel Compliance - solide gegen Außenstehende. Aber standardmäßig ist es nicht zero-knowledge: Box hält die Schlüssel und unterliegt US-Recht. Was das bedeutet und wie du deine Dateien wirklich privat machst.

Von Eric Gerard · Redakteur · Priviy3 Min. LesezeitPhoto: Pexels

Wahrscheinlich ist dir Box schon bei der Arbeit begegnet: Es ist einer der großen Namen im Enterprise-Cloud-Content-Management, rund um Zusammenarbeit, Workflows und Admin-Kontrolle gebaut. Aber „von großen Firmen genutzt“ ist nicht dasselbe wie „privat“, die eigentliche Frage lautet also: Ist Box wirklich sicher, und sicher vor wem? Dieser Leitfaden gibt eine ehrliche Antwort und zeigt, wie du deine Dateien wirklich privat machst.

Was Box wirklich schützt

Box nimmt Grundsicherheit ernst und ist gegen Bedrohungen von außen stark.

  • Verschlüsselung bei Übertragung und im Ruhezustand - Dateien laufen über TLS und werden mit AES-256 auf Box-Servern verschlüsselt gespeichert.
  • Zwei-Faktor und SSO - Box unterstützt 2FA und Enterprise-Single-Sign-on (SAML), was Kontoübernahmen deutlich erschwert.
  • Feingliedrige Admin-Kontrollen - Administratoren setzen Ordnerrechte, ablaufende Freigabelinks, Gerätevertrauen und sehr genaue Zugriffsrichtlinien.
  • Viel Compliance - Box trägt Zertifizierungen wie HIPAA, FedRAMP, PCI DSS, ISO 27001 und DSGVO-Ausrichtung, ein wichtiger Grund für den Einsatz in regulierten Branchen.

Ein Laptop auf einem Tisch zeigt ein Schloss-Symbol über einer Weltkarte mit der Aufschrift „Secured“ - eine beruhigende Oberfläche, doch die eigentliche Frage ist, wer die Verschlüsselungsschlüssel hält.
Ein Laptop auf einem Tisch zeigt ein Schloss-Symbol über einer Weltkarte mit der Aufschrift „Secured“ - eine beruhigende Oberfläche, doch die eigentliche Frage ist, wer die Verschlüsselungsschlüssel hält.

Die Enterprise-Extras: KeySafe und Shield

Zwei kostenpflichtige Add-ons bringen Box weiter als die meisten Consumer-Clouds. Box KeySafe lässt eine Organisation ihre eigenen Verschlüsselungsschlüssel verwalten (gestützt auf einen Schlüsselverwaltungsdienst) und liefert ein Audit-Protokoll jeder Schlüsselnutzung - nützlich für Compliance und zum Entziehen von Zugriff. Box Shield ergänzt Bedrohungserkennung, Anomalie-Warnungen und klassifizierungsbasierte Zugriffskontrollen. Das sind echte Enterprise-Stärken.

Der Privatsphäre-Haken: Box ist nicht zero-knowledge

Hier ist die ehrliche Grenze. Standardmäßig hält Box die Verschlüsselungsschlüssel. Das treibt Suche, Vorschauen, Freigabe und Admin-Wiederherstellung an - bedeutet aber auch, dass Box deine Inhalte technisch lesen kann und als US-Unternehmen nach Gesetzen wie dem CLOUD Act zur Herausgabe lesbarer Daten gezwungen werden kann. „Verschlüsselt“ heißt hier verschlüsselt gegen Außenstehende, nicht gegen den Anbieter.

Auch KeySafe macht Box nicht zero-knowledge: Die Schlüssel werden weiterhin genutzt, um deine Dateien auf Box-Seite zu verarbeiten. Das unterscheidet sich von clientseitiger, Zero-Knowledge-Verschlüsselung, bei der der Anbieter nur Chiffretext sieht und nie einen nutzbaren Schlüssel hält.

Wie du Dateien auf Box wirklich privat machst

Wenn du Dateien willst, die nur du öffnen kannst, behalte den Schlüssel auf deinem Gerät:

  • Vor dem Hochladen verschlüsseln mit einem kostenlosen, quelloffenen Werkzeug wie Cryptomator. Es legt einen verschlüsselten Tresor in deinem Box-Ordner an, sodass nur Chiffretext hochgeladen wird und nur du das Passwort hältst.
  • Nutze einen Zero-Knowledge-Anbieter für deine sensibelsten Daten, bei dem clientseitige Verschlüsselung der Standard und kein Add-on ist.
Choix éditorial
4.5 / 5

Lieber zero-knowledge? pCloud + Crypto

Schweizer Jurisdiktion · Clientseitige Verschlüsselung mit dem Crypto-Add-on · Lifetime-Pläne

Société suisse depuis 2013Satisfait ou remboursé 10jFree 10 GB
Voir l'offre

Das Fazit

Box ist eine wirklich sichere, compliance-bereite Plattform für die Zusammenarbeit im Unternehmen und hält gegen Angreifer von außen gut stand. Was es standardmäßig nicht ist: privat vor Box selbst - der Anbieter hält die Schlüssel und untersteht der US-Jurisdiktion. Wenn das für eine bestimmte Datei zählt, verschlüssele sie clientseitig, bevor sie Box erreicht, oder speichere sie bei einem Zero-Knowledge-Dienst - dann bedeuten „sicher“ und „privat“ endlich dasselbe.

Häufig gestellte Fragen

Ist Box sicher?
Gegen Angreifer von außen ja: Box ist einer der sichereren Mainstream-Clouds. Es verschlüsselt Dateien bei der Übertragung (TLS) und im Ruhezustand (AES-256), unterstützt Zwei-Faktor-Authentifizierung und SSO, bietet feingliedrige Admin-Rechte und trägt schwere Zertifizierungen (HIPAA, FedRAMP, ISO 27001, DSGVO). Der Haken: Das ist „sicher gegen Außenstehende“, nicht „privat vor Box“. Standardmäßig hält Box die Schlüssel, kann also technisch auf deine Inhalte zugreifen und kann nach US-Recht zur Herausgabe lesbarer Daten gezwungen werden. Für Zusammenarbeit im Unternehmen stark; für Daten, die nur du lesen sollst, nicht zero-knowledge.
Nutzt Box Ende-zu-Ende-Verschlüsselung?
Nein, nicht standardmäßig. Box verschlüsselt Daten bei der Übertragung und im Ruhezustand, und Box verwaltet diese Schlüssel, das Modell ist also serverseitige Verschlüsselung, nicht Ende-zu-Ende. Das schützt vor Abfangen und gestohlenen Festplatten, aber weil Box die Schlüssel hält, kann es (und wer es rechtlich dazu zwingt) auf die Inhalte zugreifen. Echte Ende-zu-Ende- oder Zero-Knowledge-Verschlüsselung, bei der nur du den Schlüssel hältst, ist bei Box nicht der Standard. Du kannst sie ergänzen, indem du Dateien vor dem Hochladen lokal verschlüsselst.
Ist Box zero-knowledge?
Nein. Selbst mit dem Unternehmens-Add-on zur Schlüsselverwaltung (KeySafe) werden die Schlüssel genutzt, um deine Inhalte auf Box-Seite zu verarbeiten, Box ist also kein Zero-Knowledge-Dienst wie pCloud Crypto, Tresorit oder ein Cryptomator-Tresor. KeySafe gibt einer Organisation mehr Kontrolle und ein Audit-Protokoll über die Schlüsselnutzung, was für Compliance wertvoll ist, aber es ist nicht dasselbe wie clientseitige Verschlüsselung, bei der der Anbieter nie einen nutzbaren Schlüssel oder deinen Klartext sieht.
Ist Box HIPAA- und DSGVO-konform?
Box wird in regulierten Branchen breit eingesetzt und unterstützt Compliance mit Rahmenwerken wie HIPAA, FedRAMP, PCI DSS, ISO 27001 und der DSGVO und unterzeichnet für Gesundheitskunden einen Auftragsverarbeitungsvertrag. „Compliance-bereit“ ist aber nicht „privat by design“: Diese Rahmenwerke regeln, wie Daten behandelt und geschützt werden, nicht, ob der Anbieter sie lesen kann. Box kann es, sofern du nicht zuerst clientseitig verschlüsselst.
Wie mache ich Dateien auf Box wirklich privat?
Verschlüssele sie selbst, bevor sie Box erreichen. Ein kostenloses, quelloffenes Werkzeug wie Cryptomator legt einen verschlüsselten Tresor in deinem Box-Ordner an, sodass nur Chiffretext hochgeladen wird und nur du den Schlüssel hältst. Alternativ nutze für wirklich sensible Daten einen Zero-Knowledge-Anbieter, dessen clientseitige Verschlüsselung der Standard ist. In beiden Fällen ist das Ziel dasselbe: Der Schlüssel verlässt nie deine Kontrolle.
Choix éditorial
4.5 / 5

Verschlüsselter Cloud-Speicher → pCloud

Sitz in der Schweiz · clientseitiges Crypto-Add-on · Lifetime-Tarife

Société suisse depuis 2013Satisfait ou remboursé 10jFree 10 GB
Voir l'offre