# Ende-zu-Ende-Verschlüsselung, wirklich erklärt > Cuadernos Lacre · Konzept · 18. Mai 2026 > https://solo2.net/de/hefte/articulos/end-to-end-encryption-actually-explained.html Was Anbieter sagen, wenn sie E2EE sagen, und was sie verschweigen. Eine didaktische Erklärung des Mechanismus und seiner Grenzen, ohne Werbehülle. --- > Damit wir uns verstehen: WhatsApp sagt, dass Ihre Nachrichten Ende-zu-Ende verschlüsselt sind. Das ist wahr — und nicht genug. Wenn das Backup ohne zusätzliche Verschlüsselung in iCloud oder Google Drive geht, wird die Verschlüsselung auf Ihrem eigenen Telefon gebrochen. Die operative Frage ist nicht, ob es verschlüsselt ist, sondern wo die Schlüssel liegen. ## Was Verschlüsselung wirklich bedeutet Eine Nachricht zu verschlüsseln bedeutet, sie in etwas zu verwandeln, das für jeden, der nicht über eine bestimmte Information, den sogenannten Schlüssel, verfügt, wie Rauschen aussieht. Der Vorgang erfolgt auf dem Gerät des Absenders und wird mit dem richtigen Schlüssel auf dem Gerät des Empfängers rückgängig gemacht. Dazwischen wandert die Nachricht als eine Folge von Bytes ohne offensichtliche Bedeutung. Das ist die einfache Idee. Der Rest des Artikels befasst sich mit den Nuancen, die sie je nach Fall zu einer echten Garantie oder zu einem Marketing-Etikett machen. Das Adjektiv *Ende-zu-Ende* — auf Englisch *end-to-end*, abgekürzt E2EE — fügt eine Präzisierung hinzu. Die Verschlüsselung erfolgt nicht, damit ein Zwischenserver sie lesen und zustellen kann. Sie erfolgt so, dass nur die beiden Enden — das Gerät des Absenders und das Gerät des Empfängers — den Schlüssel besitzen. Jeder Server, den die Nachricht passiert, sieht das Rauschen, nicht die Nachricht. Dies ist der technische Unterschied zur Verschlüsselung *beim Transport*, bei der der Inhalt verschlüsselt von einem Server zum nächsten wandert, aber jeder Server, den er passiert, ihn entschlüsselt, um ihn weiterzuleiten, wodurch der Klartext vorübergehend wiederhergestellt wird. ## Das Paradoxon des gemeinsamen Geheimnisses Es gibt ein offensichtliches Problem. Damit zwei Personen Nachrichten untereinander verschlüsseln und entschlüsseln können, benötigen beide denselben Schlüssel. Aber wie einigt man sich auf diesen Schlüssel, wenn alles, was man sich schickt, per Definition über einen Kanal läuft, auf dem jemand mithören könnte? Sich auf den Schlüssel in demselben Kanal zu einigen, in dem man ihn später verwenden wird, scheint unmöglich: Wenn der Angreifer ihn bei der Einigung hört, kann er alles Folgende entschlüsseln. Jahrzehntelang löste die klassische Kryptografie dies auf die harte Tour: Die Schlüssel wurden vor Beginn der Nutzung bei physischen Treffen persönlich übergeben. Botschafter trugen Koffer mit Schlüsseln bei sich, die in das Futter ihres Mantels eingenäht waren. In der heutigen E-Mail-Kommunikation ist diese Lösung nicht skalierbar. Wenn wir physisch zu jedem nach Hause gehen müssten, mit dem wir verschlüsselt kommunizieren wollen, würden wir mit niemandem ins Gespräch kommen. Die Frage, die sich die kryptografische Gemeinschaft vor fünfzig Jahren stellte, lautete: Ist es möglich, dass zwei Personen, die sich nicht kennen und nur einen öffentlichen Kanal teilen, in eben diesem öffentlichen Kanal ein Geheimnis vereinbaren, das niemand kennen kann, der den Kanal abhört? ## Die Eleganz von Diffie-Hellman Im Jahr 1976 demonstrierten zwei Mathematiker namens Whitfield Diffie und Martin Hellman etwas scheinbar Unmögliches: dass zwei Personen, die nur über einen öffentlichen Kanal sprechen — einen Kanal, auf dem jeder alles hören kann, was sie sagen —, sich auf ein geheimes Passwort einigen können, ohne dass ein Zuhörer es entdecken kann. Es klingt wie Magie. Ist es aber nicht: Es ist Mathematik. Der Diffie-Hellman-Schlüsselaustausch, wie er seither genannt wird, ist die Grundlage für praktisch die gesamte verschlüsselte Internetkommunikation, und ein halbes Jahrhundert intensiver Nutzung und weltweiter akademischer Prüfung belegen seine Solidität. Wer die visuelle Intuition oder die Mathematik sehen möchte, kann weiterlesen. Wer lieber darauf vertrauen möchte, dass es funktioniert, kann ebenfalls fortfahren, ohne den Faden des Artikels zu verlieren. Für diejenigen, die es sich bildlich vorstellen wollen, gibt es eine bekannte Analogie mit Farben. Stellen Sie sich vor, dass sich Alice und Bruno vor den Augen von Eva, die sie belauscht, öffentlich auf eine Grundfarbe einigen — sagen wir Gelb. Jeder wählt privat eine zweite Geheimfarbe und mischt sein Geheimnis mit dem Gelb. Alice erhält ein bestimmtes Orange; Bruno erhält ein bestimmtes Grün. Sie tauschen die Ergebnisse vor den Augen von Eva aus. Nun mischt jeder die erhaltene Farbe mit seinem eigenen Geheimnis, und beide gelangen zur gleichen Endfarbe, da die Reihenfolge der Mischungen keine Rolle spielt. Eva hat das Gelb und die beiden Zwischenmischungen gesehen, aber nicht die Geheimnisse; ohne eines der Geheimnisse kann sie nicht zur Endfarbe gelangen. Die reale Mathematik ersetzt die Farben durch Exponentiationen in modularen Gruppen oder elliptischen Kurven, aber die Idee ist die gleiche: Das gemeinsame Geheimnis wird in aller Öffentlichkeit aufgebaut, ohne dass jemand im Kanal es rekonstruieren kann. ## Von Diffie-Hellman zum Signal-Protokoll Die Ende-zu-Ende-Verschlüsselung, die heute in professionellen Messaging-Apps verwendet wird, beruht fast ausnahmslos auf einer eleganten und gehärteten Version des Diffie-Hellman-Austauschs. Das Signal-Protokoll, das von Trevor Perrin und Moxie Marlinspike zwischen 2013 und 2016 entwickelt wurde, ist die Referenz. Es kombiniert zwei Schlüsselideen. Die erste ist der Schlüsselaustausch in elliptischen Kurven (X25519), der das ursprüngliche gemeinsame Geheimnis zwischen zwei Geräten erzeugt. Die zweite ist das sogenannte Double Ratchet — das Doppelgetriebe —, das die Schlüssel automatisch mit jeder Nachricht erneuert, so dass die Kompromittierung des Geräts heute keine Entschlüsselung vergangener Nachrichten ermöglicht, und auch keine zukünftiger Nachrichten, sobald das Getriebe gedreht wurde. ## Was Ende-zu-Ende-Verschlüsselung schützt Was E2EE gut schützt, eine korrekte Implementierung vorausgesetzt, ist der Inhalt der Nachricht während des Transports. Ein Zwischenserver, der die verschlüsselten Daten empfängt und weiterleitet, sieht eine Folge unverständlicher Bytes. Ein Angreifer mit Zugriff auf das Kabel, den Router, den WLAN-Zugangspunkt sieht dasselbe. Ein Dienstanbieter, der Kopien des Datenverkehrs aufbewahrt, kann diesen nachträglich nicht lesen. Eine Regierung, die den Dienstbetreiber anweist, den Inhalt herauszugeben, erhält dieselben unverständlichen Bytes, die der Server ursprünglich hatte. Das ist in praktischer Hinsicht viel. Es ist der Unterschied zwischen dem Schreiben eines Briefes in einem undurchsichtigen Umschlag und dem Schreiben auf einer Postkarte. Beide kommen an. Nur einer bewahrt den Inhalt vor dem Postboten. ## Was Ende-zu-Ende-Verschlüsselung nicht schützt Man sollte es genauso gut wissen. E2EE schützt keine Metadaten: Der Server weiß immer noch, dass Benutzer A Daten an Benutzer B sendet, zu welcher Zeit, mit welcher Häufigkeit und von wo aus, auch wenn er nicht weiß, was gesagt wird. Diese Metadaten, wie wir bereits in *Verschlüsseln bedeutet nicht privat zu sein* dargelegt haben, sind oft aussagekräftiger als der Inhalt. Zu wissen, dass jemand an einem Freitag um 22:00 Uhr dreißig Minuten lang eine auf Scheidungen spezialisierte Anwaltskanzlei angerufen hat, erzählt eine Geschichte, die der Inhalt des Anrufs nie erzählt hat. Es ist dieselbe Situation wie die Beobachtung einer Person, die mehrmals eine Onkologie-Klinik betritt und verlässt: Man muss nichts von dem hören, was drinnen gesprochen wird, um sich vorzustellen, was passiert. Ein einzelnes isoliertes Metadatum mag nichts bedeuten; mehrere miteinander verknüpfte zeichnen ein Bild, das der Wahrheit allzu nahe kommt. E2EE schützt die Endpunkte nicht: Wenn das Gerät des Empfängers durch ein Schadprogramm kompromittiert ist, wird die Nachricht für diesen Empfänger normal entschlüsselt und das Schadprogramm liest sie. E2EE schützt nicht vor der Identität des Gesprächspartners an sich: Wenn Alice glaubt, mit Bruno zu sprechen, sich aber ein Angreifer am Anfang eingeschaltet hat (ein *Man-in-the-Middle*) und das Protokoll keine unabhängige Verifizierung beinhaltet, sprechen am Ende beide Parteien mit dem Eindringling und glauben, sie sprächen miteinander. Es gibt eine vierte Sache, die unmissverständlich formuliert werden sollte. E2EE verhindert nicht, dass ein Anbieter, der behauptet, es anzubieten, zusätzlich eine Kopie der unverschlüsselten Nachricht in seinen eigenen Systemen speichert. Die Behauptung „meine Nachrichten sind Ende-zu-Ende verschlüsselt“ und die Behauptung „der Anbieter speichert meinen Inhalt nicht“ sind nicht dasselbe. Eine Anwendung kann die erste Behauptung erfüllen, während sie die zweite verletzt; wir haben dies seit 2018 wiederholt in Schlagzeilen der Presse gesehen. Der Benutzer hat, sofern der Code des Clients nicht verifizierbar ist, keine technische Möglichkeit, den einen Fall ohne Expertenuntersuchung vom anderen zu unterscheiden. Der bekannteste Fall in der breiten Öffentlichkeit: WhatsApp verschlüsselt Nachrichten beim Transport Ende-zu-Ende, aber wenn der Benutzer das Backup in iCloud oder Google Drive ohne zusätzliche Verschlüsselung aktiviert, wird diese Kopie lesbar in der Infrastruktur eines Dritten gespeichert, und die Verschlüsselung wird am Ende des Benutzers selbst aufgebrochen. ## Die Frage, die der Betreiber nicht hören will Eine Anwendung, die behauptet, Ende-zu-Ende zu verschlüsseln, kann technisch gesehen eine von drei Dingen in Bezug auf die Schlüssel tun: Die operative Frage lautet daher nicht, ob etwas verschlüsselt ist, sondern wer die Kontrolle über das Gerät und die Software hat, die die Schlüssel verwaltet. Bei Solo2 befinden sich die Schlüssel ausschließlich in Ihrem Tresor (mit Ihrem Passwort verschlüsselte IndexedDB) und die Software ist verifizierbarer Open Source Code. ## Für den professionellen Leser Ende-zu-Ende-Verschlüsselung ist ein Werkzeug für digitale Souveränität. Aber wie jedes Werkzeug hängt seine Wirksamkeit von der Hand ab, die es führt, und dem Boden, auf dem es steht. 1. Wo werden die kryptografischen Schlüssel generiert und wo befinden sie sich physisch? Wenn der Betreiber auf sie zugreifen kann (auch nur vorübergehend, auch unter dem Vorwand der Wiederherstellung), ist E2EE nur nominell. 2. Gibt es eine unabhängige Verifizierung des Gesprächspartners (Sicherheitsnummern, QR-Codes, Out-of-Band-Vergleich), die einen Man-in-the-Middle-Angriff beim Aufbau des Gesprächs verhindert? 3. Ist der Code des Clients überprüfbar — offen, veröffentlicht, reproduzierbar — oder verlangt er, dass man sich auf das Wort des Anbieters verlässt, was der Client tatsächlich tut? 4. Welche Metadaten generiert und speichert der Dienst, und wie lange? Selbst wenn der Inhalt undurchsichtig ist, können Metadaten einen Großteil der sensiblen Informationen rekonstruieren. Diese vier Fragen verlangen keine fortgeschrittenen technischen Informationen; sie verlangen nach Informationen, die jeder ehrliche Betreiber in seiner öffentlichen Dokumentation beantworten kann. Die Qualität und Präzision der Antwort sagt ebenso viel über das Produkt aus wie die Antwort selbst. --- *Ende-zu-Ende-Verschlüsselung, richtig gemacht, ist eine der feinsten Konstruktionen, die die zeitgenössische Kryptografie für die tägliche Praxis geliefert hat. Die ursprüngliche Idee — zwei Personen können sich über einen öffentlichen Kanal auf ein Geheimnis einigen — stammt von Whitfield Diffie und Martin Hellman, 1976; ein halbes Jahrhundert später leben wir immer noch in deren Konsequenz. Aber wie bei jedem technischen Versprechen hängt sein Wert von der tatsächlichen Einhaltung ab, nicht vom Etikett. Die Frage des ehrlichen Fachmanns lautet nicht „Ist es verschlüsselt?“, sondern „Wer hat die Schlüssel?“. Die Antworten haben unterschiedliche Konsequenzen. Man sollte sie kennen.* ## Quellen und weiterführende Literatur - Diffie, W.; Hellman, M. — *New Directions in Cryptography*, IEEE Transactions on Information Theory, November 1976. Grundlegender Artikel zur Public-Key-Kryptografie. - Perrin, T.; Marlinspike, M. — *The Double Ratchet Algorithm*, öffentliche Spezifikation von Open Whisper Systems, Revision 2016. Basis des Signal-Protokolls und seiner industriellen Ableitungen. - RFC 7748 — Elliptic Curves for Security (IETF, Januar 2016). Normative Spezifikation der Kurven X25519 und X448, die in modernen Schlüsselaustauschen verwendet werden. - Ferguson, N.; Schneier, B.; Kohno, T. — *Cryptography Engineering: Design Principles and Practical Applications* (Wiley, 2010). Kapitel über Schlüsselaustausch und authentifizierte Verschlüsselungsprotokolle. - Verordnung (EU) 2024/1183 über einen Rahmen für eine europäische digitale Identität (eIDAS 2) — etabliert Rahmenbedingungen, in denen die unabhängige Verifizierung des Gesprächspartners institutionelle Unterstützung erhält und in denen die Unterscheidung zwischen nomineller und echter Verschlüsselung unterschiedliche rechtliche Konsequenzen hat. --- *Cuadernos Lacre · Eine Publikation von Menzuri Gestión S.L. · geschrieben von R.Eugenio · herausgegeben vom Team von Solo2.* *https://solo2.net/de/hefte/*