Verschlüsselung im Ruhezustand vs. Ende-zu-Ende
"Verschlüsselt im Ruhezustand" und "Ende-zu-Ende-verschlüsselt" klingen ähnlich, schützen aber vor völlig unterschiedlichen Bedrohungen. Lernen Sie den technischen Unterschied, die tatsächlich abgedeckten Bedrohungsszenarien und warum Verwechslung teuer werden kann.
Scrollen Sie durch die Feature-Seiten von zehn beliebigen Formular-Buildern und Sie finden das Wort "Verschlüsselung" auf neun davon. Sehen Sie genauer hin, bemerken Sie etwas Aufschlussreiches: Die meisten sagen nie, welche Art. "Ihre Daten sind verschlüsselt" ist keine Spezifikation — es ist ein Gefühl. Und in der Welt des Datenschutzes ist diese Mehrdeutigkeit genau der Ort, an dem die echten Kosten entstehen.
Es gibt zwei grundlegend unterschiedliche Verschlüsselungsmodelle im üblichen Gebrauch: Verschlüsselung im Ruhezustand (at rest) und Ende-zu-Ende-Verschlüsselung. Sie klingen ähnlich, beide verwenden starke Algorithmen und beide erzeugen Chiffretext auf der Festplatte. Aber sie lösen völlig unterschiedliche Probleme — und wenn Sie das falsche Modell für den Datenleck wählen, dem Sie morgen gegenüberstehen, kann der Preis achtstellig werden.
Für wen dieser Artikel gedacht ist
Für alle, die eine Plattform auswählen, die sensible Daten speichert — insbesondere Entscheidungsträger, IT-Verantwortliche, Datenschutzbeauftragte und Einkauf. Sie brauchen keinen kryptographischen Hintergrund; der Fokus liegt darauf, wovor jedes Modell in der Praxis schützt.
Die beiden Modelle, in klarer Sprache
Verschlüsselung im Ruhezustand
Die Daten kommen im Klartext (über HTTPS) am Server an, der Server verarbeitet sie, und bevor sie auf die Festplatte geschrieben werden, verschlüsselt der Server sie mit einem Schlüssel, den der Server kontrolliert. Wenn die Daten benötigt werden, verwendet der Server denselben Schlüssel zur Entschlüsselung. Die Verschlüsselung ist real, aber der Server besitzt sowohl die Daten als auch den Schlüssel in den entscheidenden Momenten.
Ende-zu-Ende-Verschlüsselung
Die Daten werden auf dem Gerät des Absenders verschlüsselt, bevor sie jemals übertragen werden. Der Chiffretext reist über HTTPS und wird als Chiffretext auf dem Server gespeichert. Der Server hält nie den Entschlüsselungsschlüssel. Nur der vorgesehene Empfänger — mit einem Schlüssel auf seinem eigenen Gerät — kann den Klartext lesen. Der Server wird von einem Verwahrer der Daten zu einem Kurier von Chiffretext reduziert.
Die Formulierungsfalle
Achten Sie auf Formulierungen wie "verschlüsselt während der Übertragung und im Ruhezustand". Dieser Satz trifft technisch auf fast jedes SaaS am Markt zu und ist vollständig damit vereinbar, dass der Server Ihre Daten jederzeit lesen kann. Es ist kein Synonym für Ende-zu-Ende-Verschlüsselung.
Wo die beiden Modelle tatsächlich auseinandergehen
Die Frage, die Sie zu jedem Verschlüsselungsschema stellen sollten, lautet: Wer kann die Daten entschlüsseln, und unter welchen Umständen? Verschlüsselung im Ruhezustand antwortet: "der Server — wann immer er will." Ende-zu-Ende antwortet: "nur der Empfänger — und nur auf seinem eigenen Gerät." Die Lücke zwischen diesen beiden Antworten ist der Ort, an dem die meisten realen Datenlecks stattfinden.
| Szenario | Verschlüsselung im Ruhezustand | Ende-zu-Ende-Verschlüsselung |
|---|---|---|
| Jemand stiehlt die Festplatte physisch aus dem Rechenzentrum | Geschützt — Festplatte ohne Schlüssel nutzlos | Geschützt |
| Angreifer dringt in den App-Server ein und zieht die Datenbank | Offen — App-Prozess hat den Schlüssel im Speicher | Geschützt — es verlässt nur Chiffretext |
| Böswilliger / gezwungener / kompromittierter Mitarbeiter des Anbieters | Offen — er hat den Entschlüsselungsschlüssel | Geschützt — er hat keinen Schlüssel |
| Behördliche Vorladung beim Anbieter | Anbieter muss lesbare Daten herausgeben | Anbieter kann nur Chiffretext herausgeben |
| Falsch konfigurierter Speicher-Bucket oder offenes Backup | Offen | Geschützt — nur Chiffretext |
| Unternehmensübernahme, neuer Eigentümer ändert die Richtlinie | Offen unter der neuen Richtlinie | Weiter geschützt — kein Schlüssel zum Aushändigen |
Verschlüsselung im Ruhezustand ist im Wesentlichen eine physische Sicherheitskontrolle, die als digitale auftritt. Sie schützt einen engen Angriffsvektor sinnvoll — den Verlust oder Diebstahl des physischen Mediums — und darüber hinaus wenig. Praktisch jedes Datenleck, über das Sie in den Nachrichten gelesen haben, geschah über die Anwendungsebene, wo Verschlüsselung im Ruhezustand keinen Schutz bietet.
Warum der Unterschied buchstäblich Millionen kosten kann
Laut dem IBM Cost of a Data Breach Report 2024 erreichten die globalen Durchschnittskosten eines Datenlecks 4,88 Millionen USD — der höchste je verzeichnete Wert. Datenlecks im Gesundheitswesen lagen im Schnitt bei 9,77 Millionen USD, und Datenlecks mit Kunden-PII waren in jeder Branche die teuerste Kategorie.
Aber Schlagzeilenzahlen verbergen die Struktur der Kosten. Ein einzelnes Datenleck treibt Ausgaben in vier unterschiedlichen Kategorien:
- Erkennung und Untersuchung — Forensik, Eindämmung, externe Berater
- Benachrichtigung und Reaktion — Information der Betroffenen, Behördenmeldung, Kreditüberwachung
- Regulatorische Sanktionen — DSGVO-Bussen bis zu 4 % des weltweiten Jahresumsatzes, nDSG-Strafsanktionen bis zu CHF 250'000 für verantwortliche Personen
- Entgangenes Geschäft und Reputation — Abwanderung, verzögerte Deals, Wiederaufbau des Vertrauens
Hier der entscheidende Teil: Sowohl unter DSGVO als auch unter dem Schweizer nDSG kann, wenn die kompromittierten Daten für Unbefugte unverständlich gemacht wurden — also Ende-zu-Ende-verschlüsselt sind und die Schlüssel geschützt bleiben — eine individuelle Benachrichtigung entbehrlich sein, und Aufsichtsbehörden bewerten den Vorfall typischerweise als materiell weniger schwer. Diese eine Unterscheidung kann ein Datenleck von einer neunstelligen Katastrophe zu einem eingedämmten internen Vorfall machen.
DSGVO Art. 34(3)(a) und nDSG Art. 24
Beide Regelungen nennen ausdrücklich Verschlüsselung, die Daten unverständlich macht, als Faktor, der die Pflicht zur individuellen Benachrichtigung im Falle eines Datenlecks aufheben kann. Verschlüsselung im Ruhezustand erfüllt diesen Test nicht, wenn der Server zusammen mit seinen Schlüsseln kompromittiert wurde — Ende-zu-Ende-Verschlüsselung schon.
Wie jüngste Datenlecks tatsächlich aussahen
Ohne konkrete Vorfälle zu nennen — die meisten sind laufende Verfahren mit rechtlicher Sensibilität — hier das Muster, das sich in fast jedem grossen Datenleck der letzten Dekade wiederholt:
Erstkompromittierung
Ein Angreifer erlangt gültige Zugangsdaten (Phishing, Token-Diebstahl, Lieferketten-Kompromittierung) oder nutzt eine Anwendungsschwachstelle aus.
Privilegien-Eskalation
Er bewegt sich lateral zu einem Dienstkonto mit Lesezugriff auf die Datenbank — demselben Konto, das auch die Anwendung legitim verwendet.
Datenexfiltration
Er fragt die Datenbank ab. Jede Zeile wird im Klartext gelesen, weil die Anwendung sie so benötigt. Verschlüsselung im Ruhezustand ist auf dieser Ebene transparent — sie bietet keinerlei Hürde für einen Angreifer mit gültigem Anwendungszugriff.
Entdeckung (Tage bis Monate später)
Das Leck wird entdeckt. Die Untersuchung beginnt. Meldepflichten werden ausgelöst. Rechts-, PR- und Behebungskosten beginnen sich aufzutürmen.
Die stille Lehre ist: "Im Ruhezustand verschlüsselt" hat in diesem Muster nicht ein einziges Opfer geschützt. Die Verschlüsselung war real, die Zertifizierung war gültig, und die Daten waren trotzdem offengelegt. Ende-zu-Ende-Verschlüsselung ist das Modell, das in Schritt 3 das Ergebnis ändert: Der Angreifer liest die Datenbank und erhält Chiffretext, den er nicht verwenden kann.
Wann Verschlüsselung im Ruhezustand trotzdem die richtige Wahl ist
Dieser Artikel ist kein Argument dafür, dass Verschlüsselung im Ruhezustand nutzlos ist. Sie hat eine legitime, wichtige Rolle — nur nicht diejenige, die ihr die meisten Marketing-Seiten zuweisen.
- Betriebsdaten, die der Dienst selbst ständig lesen muss — Suchindizes, aggregierte Analytik, operative Metriken
- Systeme, bei denen der Server der vorgesehene Leser ist — CRMs, bei denen Mitarbeiter die Daten legitim abfragen, E-Commerce-Inventar, Logging-Infrastruktur
- Einhaltung grundlegender Anforderungen wie PCI-DSS-Klauseln zum Ruhezustand oder die "addressable" HIPAA-Verschlüsselungsspezifikation, wo serverseitig gehaltene Schlüssel akzeptabel sind
- Abwehr des physischen Diebstahls von Hardware — ein legitimer, wenn auch seltenerer Angriffsvektor
Die entscheidende Frage ist: Muss der Server diese Daten lesen, um seine Aufgabe zu erfüllen? Wenn ja, ist Verschlüsselung im Ruhezustand angemessen, und Ende-zu-Ende ist unmöglich. Wenn nein — was bei den meisten Formulareingaben, sicheren Nachrichten, privaten Dateien und sensiblen Datensätzen der Fall ist — ist Ende-zu-Ende das Modell, nach dem Sie fragen sollten.
Sieben Fragen an jeden Anbieter, der "Verschlüsselung" behauptet
Der schnellste Weg, Marketing-Texte zu durchschneiden, ist, spezifische technische Fragen zu stellen. Ein ehrlicher Anbieter beantwortet sie direkt; eine ausweichende Antwort ist selbst eine Information.
- Wo, physisch und logisch, existieren meine Klartextdaten zu irgendeinem Zeitpunkt?
- Welche Ihrer Prozesse oder Mitarbeiter können meine Daten entschlüsseln, wenn sie es wollen?
- Wenn Sie morgen eine rechtmässige Vorladung für meine Daten erhielten, was könnten Sie herausgeben?
- Im Falle eines Servereinbruchs — wären die gestohlenen Daten für den Angreifer lesbar?
- Haben Sie die technische Möglichkeit, meine Daten zurückzusetzen oder wiederherzustellen, wenn ich meine Zugangsdaten verliere?
- Wer kontrolliert die Verschlüsselungsschlüssel, und wo werden sie gespeichert?
- Kann ich Ihre Verschlüsselungsaussagen durch unabhängige Audits, Open-Source-Code oder beobachtbares Netzwerkverhalten überprüfen?
Wenn die Antwort auf Frage 5 "ja, wir können Ihre Daten wiederherstellen" lautet, dann hält der Anbieter per Definition Schlüssel, und das System ist nicht Ende-zu-Ende-verschlüsselt. Das ist nicht per se schlecht — es bedeutet nur, dass Sie es als vertrauensbasiertes System bewerten sollten, nicht als Zero-Knowledge-System.
Wo Schweizerform steht
Schweizerform wurde standardmässig Ende-zu-Ende-verschlüsselt gebaut. So würden wir die sieben Fragen oben ehrlich beantworten:
- Ihr Klartext existiert an zwei Orten: im Browser des Befragten im Moment der Einreichung und in Ihrem Browser, wenn Sie die Einreichung ansehen. Er existiert nie auf unseren Servern.
- Keiner unserer Prozesse oder Mitarbeiter kann Ihre Daten entschlüsseln — wir halten die Schlüssel nicht.
- Eine rechtmässige Vorladung würde verschlüsselten Chiffretext, verschlüsseltes Schlüssel-Umhüllungsmaterial und Metadaten liefern. Keine Klartextantworten.
- Ein Servereinbruch würde Chiffretext offenlegen. Kein Angreifer in diesem Szenario kann die Einreichungen lesen.
- Wir können Ihre Daten nicht wiederherstellen, wenn Sie Ihren Zugangscode verlieren — das ist eine bewusste Eigenschaft, keine Einschränkung, die wir übersehen haben. Wiederherstellung erfordert den im Voraus eingerichteten Wiederherstellungs-Flow.
- Die Schlüssel werden von Ihnen kontrolliert. Der private RSA-Schlüssel des Formulars wird mit einem aus Ihrem Zugangscode abgeleiteten Schlüssel verschlüsselt, und dieser Code erreicht unsere Server nie.
- Sie können die verschlüsselte Nutzlast in den Entwicklertools des Browsers selbst überprüfen — der Netzwerk-Tab bei jeder Einreichung zeigt nur Chiffretext.
Das Fazit
Verschlüsselung im Ruhezustand und Ende-zu-Ende-Verschlüsselung sind nicht zwei Punkte auf demselben Spektrum. Sie sind zwei verschiedene Antworten auf zwei verschiedene Fragen. Die erste ist eine Ware, die fast jedes SaaS bietet; die zweite ist eine bewusste Architekturentscheidung, die das Ergebnis eines Datenlecks massgeblich verändert.
Für die meisten operativen Systeme reicht Verschlüsselung im Ruhezustand aus. Für Formulare, die sensible Daten erfassen — medizinisch, juristisch, finanziell, HR, Whistleblower — reicht sie nicht. In diesen Bereichen kann der Unterschied zwischen den beiden Modellen tatsächlich in Millionen gemessen werden: in vermiedenen Bussen, nicht erforderlichen Meldungen und nicht verlorenem Vertrauen.
Schweizerform bietet Ende-zu-Ende-Verschlüsselung standardmässig in jedem Tarif, einschliesslich dem kostenlosen — mit Schweizer Hosting und nDSG-konformer Architektur vom ersten Tag an.
Haftungsausschluss: Dieser Artikel ist allgemeine Information, keine rechtliche, regulatorische oder Compliance-Beratung. Die rechtlichen Rahmen (DSGVO, nDSG, HIPAA, PCI DSS) werden konzeptionell zusammengefasst; Ausnahmen und Pflichten bei Datenschutzverletzungen hängen vom konkreten Sachverhalt und der jurisdiktionalen Auslegung ab. Die zitierten Kostenzahlen sind branchenweite Durchschnittswerte, keine Schätzungen Ihrer konkreten Risikoexposition. Für Entscheidungen mit sensiblen oder regulierten Daten ziehen Sie eine qualifizierte Rechts- oder Compliance-Fachperson in Ihrer Jurisdiktion bei.