Gemeinsam an Dokumenten arbeiten, ohne dass der Anbieter mitlesen kann
Die meisten Online-Office-Werkzeuge verschlüsseln nur die Leitung, auf dem Server liegt Ihr Text im Klartext. Echte Ende-zu-Ende-Verschlüsselung verschiebt den Schlüssel in Ihren Browser. Was das praktisch bedeutet und wo die Grenzen liegen.
Inhalt dieses Beitrags
- Problem
- Kurze Antwort
- So funktioniert es
- Der Schlüssel bleibt bei Ihnen
- Zusammenarbeit trotz Verschlüsselung
- Offener Code als Vertrauensanker
- Abgelehnte Alternativen und Mythen
- Wie Dernium hier hilft
- Häufige Fragen
- Ist Ende-zu-Ende-Verschlüsselung nicht unbequem?
- Können Behörden die Inhalte trotzdem anfordern?
- Was passiert mit meinen Dokumenten, wenn ich Dernium nicht mehr nutzen möchte?
- Worin unterscheidet sich das von einem normalen Cloud-Office?
Problem
Wer im Team an Texten, Tabellen oder Präsentationen arbeitet, nutzt meist ein Online-Office eines großen Anbieters. Die Bequemlichkeit hat einen selten ausgesprochenen Preis: Auf dessen Servern liegen Ihre Inhalte in aller Regel für den Anbieter lesbar. "Verschlüsselt" bezieht sich dann nur auf die Übertragung zwischen Browser und Server, nicht auf die Speicherung. Der Betreiber kann mitlesen, ein Gericht kann ihn dazu verpflichten, und in vielen Fällen sitzt dieser Betreiber außerhalb der EU. Auch "Ende-zu-Ende" Verschlüsselung hilft Ihnen nicht wenn der Anbieter sich als das legitime andere Ende sieht.
Für vertrauliche Sitzungsprotokolle, Vertragsentwürfe, Personaldaten oder Forschungsnotizen ist das ein strukturelles Risiko, kein theoretisches.
Für wen ist das? Für Organisationen, die gemeinsam an vertraulichen Dokumenten arbeiten und nicht darauf vertrauen wollen, dass der Anbieter es schon nicht lesen wird.
Kurze Antwort
Echte Ende-zu-Ende-Verschlüsselung (E2E) bedeutet, dass der Schlüssel in Ihrem Browser entsteht und den Server nie erreicht. Der Anbieter speichert nur unlesbares Chiffrat.
- Der Server sieht zu keinem Zeitpunkt Klartext, auch der Betreiber nicht.
- Eine behördliche Herausgabe-Anordnung führt technisch nur zu Chiffrat, nicht zu Inhalt.
- Gemeinsames Bearbeiten in Echtzeit funktioniert trotzdem, inklusive Versionsverlauf.
- Sie exportieren jederzeit in offene Standard-Formate und können den Anbieter verlustfrei verlassen.
- Der Unterschied zur bloßen Transport-Verschlüsselung ist nachprüfbar, weil der Browser-Code offen liegt.
So funktioniert es
Der Schlüssel bleibt bei Ihnen
Beim Anlegen eines Dokuments erzeugt Ihr Browser einen Schlüssel. Verschlüsselt wird lokal, bevor irgendetwas zum Server geht; entschlüsselt wird ebenfalls lokal. Der Server verwaltet nur verschlüsselte Blöcke und reicht sie zwischen den Mitarbeitenden hin und her. Geteilt wird ein Dokument über einen Link, der den Schlüssel im Adress-Anteil hinter dem Doppelkreuz trägt - dieser Teil wird vom Browser ausgewertet, aber nicht an den Server gesendet. Wer den Link nicht hat, hat auch den Schlüssel nicht.
Zusammenarbeit trotz Verschlüsselung
Echtzeit-Bearbeitung und Verschlüsselung schließen sich nicht aus. Die Änderungen mehrerer Personen werden im Browser zusammengeführt und erst danach verschlüsselt abgelegt. Versionsverlauf, Kommentare und Konfliktauflösung laufen auf der entschlüsselten Sicht im Browser; der Server sieht weiterhin nur Chiffrat. Das technische Fundament dafür ist die im Browser eingebaute Web Cryptography API, also kein selbstgebautes Krypto-Bastelwerk.
Offener Code als Vertrauensanker
Dass der Server nichts mitliest, ist keine Behauptung, sondern im offenen Quellcode nachvollziehbar. Die Basis ist CryptPad, ein seit 2014 entwickeltes Open-Source-Projekt für vertrauliche Zusammenarbeit. Offenheit bis in den Browser-Code hinein bedeutet: Fachkundige können prüfen, wann verschlüsselt wird und dass der Schlüssel den Server nicht erreicht. Verschlüsselung, die man nachsehen kann, ist mehr wert als ein Logo, das Sicherheit verspricht.
Abgelehnte Alternativen und Mythen
"Unsere Daten sind verschlüsselt" ist die häufigste Halbwahrheit in diesem Feld. Meist meint sie nur die Transportverschlüsselung (TLS) auf dem Weg zum Server. Das schützt gegen Mitleser auf der Leitung, nicht gegen den Betreiber selbst. Auch der Hinweis auf eine "EU-Region" eines großen Anbieters löst das Problem nicht, solange der Mutterkonzern außerhalb der EU sitzt und auf den Klartext zugreifen kann. E2E ist die einzige Variante, bei der die Frage "Kann der Anbieter mitlesen?" technisch mit Nein beantwortet wird. Der ehrliche Preis: Geht der einzige Schlüssel zu einem Dokument verloren, kann auch der Betreiber ihn nicht wiederherstellen - das ist die Kehrseite echter Schlüssel-Hoheit.
Wie Dernium hier hilft
Dernium Office setzt dieses Modell als betriebenen Dienst um: Text, Tabelle, Präsentation, Whiteboard, Formulare und Kanban gemeinsam im Browser, mit echter E2E auf CryptPad-Basis, betrieben in deutschen Rechenzentren. Der Schlüssel entsteht bei Ihnen, der Server sieht nur Chiffrat, auch wir als Betreiber nicht. Export nach Word, Excel, PowerPoint, OpenDocument und PDF hält Sie wechselbereit. Erweiterungen, die wir bauen, geben wir in das offene CryptPad-Projekt zurück. Für kurzlebige Einmal-Inhalte, die nach dem Lesen verschwinden sollen, gibt es das verwandte Dernium Note; fürs vertrauliche Annotieren von Bildern Dernium Stift. Gegenüber DSGVO Art. 32 ist serverseitiges Chiffrat ohne Betreiber-Zugriff die strikteste verfügbare Schutzklasse. Hinweis zur Einordnung: CryptPad ist eine Marke von XWiki SAS; Dernium betreibt einen davon unabhängigen Dienst auf dieser quelloffenen Basis.
Häufige Fragen
Ist Ende-zu-Ende-Verschlüsselung nicht unbequem?
Im Alltag merken Sie davon nichts. Sie öffnen ein Dokument, schreiben, teilen einen Link - die Verschlüsselung läuft unsichtbar. Aber bei Ihnen lokal - das ist der entscheidende Unterschied. Der einzige spürbare Unterschied ist, dass ein verlorener Schlüssel nicht vom Anbieter zurückgeholt werden kann. Die Unkenntnis des Anbieters über die tatsächlichen Inhalte verschiebt die Verantwortung (den Schlüssel sicher aufzubewahren) mehr zu Ihnen.
Können Behörden die Inhalte trotzdem anfordern?
Anfordern ja, aber lesen nein. Da auf dem Server nur Chiffrat liegt, kann eine Herausgabe technisch nur Chiffrat ergeben. Das gilt unabhängig davon, aus welchem Land die Anfrage kommt.
Was passiert mit meinen Dokumenten, wenn ich Dernium nicht mehr nutzen möchte?
Sie exportieren jederzeit in offene Standard-Formate und nehmen Ihre Inhalte verlustfrei mit. Weil das Fundament Open Source ist, gibt es keine technische Hürde, den Anbieter zu wechseln.
Worin unterscheidet sich das von einem normalen Cloud-Office?
Beim normalen Cloud-Office liegt Ihr Text auf dem Server lesbar, und der Betreiber vertraut Ihnen zu, dass er nicht hineinschaut. Bei echtem E2E kann er es technisch nicht, weil er den Schlüssel nie bekommt.