Ende-zu-Ende-Verschlüsselung
Ende-zu-Ende-Verschlüsselung (E2EE) schützt Daten durchgängig vom Sender bis zum Empfänger, sodass nur diese beiden Endpunkte den Klartext sehen und keine zwischengeschalteten Server oder Diensteanbieter mitlesen können.
Ende-zu-Ende-Verschlüsselung (E2EE) bezeichnet ein kryptografisches Verfahren, bei dem Daten bereits auf dem Gerät des Senders ver- und erst auf dem Gerät des Empfängers wieder entschlüsselt werden. Auf dem gesamten Übertragungsweg, einschließlich aller zwischengeschalteten Server, Relays und Diensteanbieter, liegen die Inhalte ausschließlich als Chiffrat vor. Damit unterscheidet sich E2EE grundlegend von der reinen Transportverschlüsselung (etwa TLS), bei der die Daten an jedem Vermittlungsknoten kurzzeitig im Klartext vorliegen können. Die zur Entschlüsselung erforderlichen privaten Schlüssel verbleiben dabei stets unter der Kontrolle der Endpunkte und werden dem Anbieter nicht zugänglich gemacht.
Technisch beruht E2EE in der Praxis meist auf hybriden Verfahren: Ein asymmetrisches Schlüsselpaar (Public-Key-Kryptografie) dient dem sicheren Austausch eines symmetrischen Sitzungsschlüssels, mit dem die eigentlichen Nutzdaten performant verschlüsselt werden. Moderne Protokolle wie das Signal-Protokoll ergänzen dies durch Mechanismen wie Perfect Forward Secrecy, bei der für jede Nachricht neue Schlüssel abgeleitet werden, sodass die Kompromittierung eines Schlüssels nicht rückwirkend vergangene Kommunikation offenlegt. Entscheidend für die Vertrauenswürdigkeit ist ein robustes Schlüsselmanagement nebst Verifikation der Schlüsselauthentizität, um Man-in-the-Middle-Angriffe auszuschließen.
Aus Sicht der Informationssicherheit und des Datenschutzes ist E2EE ein wirksamer Stand-der-Technik-Baustein zur Wahrung der Vertraulichkeit und Integrität, der den Kreis potenzieller Mitlesender minimiert und das Risiko bei Server- oder Anbieterkompromittierungen deutlich reduziert. Die DSGVO fordert in Art. 32 geeignete technische Maßnahmen einschließlich Verschlüsselung, und die NIS2-Richtlinie nennt Kryptografie ausdrücklich als Mindestmaßnahme des Risikomanagements. Gleichwohl ersetzt E2EE keine ganzheitliche Sicherheitsarchitektur: Endgerätesicherheit, Schlüsselverwaltung, Metadatenschutz und Verfügbarkeitsaspekte müssen flankierend betrachtet werden, ebenso wie etwaige Vorgaben zur Wiederherstellbarkeit verschlüsselter Daten.
Rechtliche Grundlage
Art. 32 DSGVO (Verschlüsselung als geeignete technische Maßnahme); Art. 21 Abs. 2 lit. h NIS2-Richtlinie (EU) 2022/2555 (Einsatz von Kryptografie und ggf. Verschlüsselung); ISO/IEC 27001 Anhang A (Kryptografie); BSI IT-Grundschutz Baustein CON.1 (Kryptokonzept)
Praxisbeispiel
Ein Informationssicherheitsbeauftragter eines mittelständischen Maschinenbauers führt für den Austausch sensibler Konstruktionsdaten und Vertragsunterlagen mit Zulieferern eine Ende-zu-Ende-verschlüsselte Kollaborationslösung ein. Er stellt sicher, dass die privaten Schlüssel ausschließlich auf den Endgeräten der berechtigten Mitarbeitenden liegen, definiert ein Schlüsselmanagement mit Verifikationsprozess für neue Kontakte und dokumentiert im Kryptokonzept, dass der Diensteanbieter selbst keinen Zugriff auf die Klartextinhalte hat. So weist er gegenüber Auditoren nach, dass die Vertraulichkeit der Daten gemäß Art. 32 DSGVO und den NIS2-Anforderungen auch bei einer Kompromittierung des Cloud-Anbieters gewahrt bleibt.
Häufige Fragen
So unterstützt preeco Sie
Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.
Mehr erfahren