Grundlagen

Zero-Knowledge-Verschlüsselung einfach erklärt

15. April 2026·6 Minuten Lesezeit·Key Nest Redaktion
Auf den Punkt
  • Zero-Knowledge bedeutet: Der Anbieter kann Ihre Passwörter nicht entschlüsseln – auch wenn er wollte.
  • Die Verschlüsselung passiert lokal auf Ihrem Gerät, der Server sieht nur unlesbares Chiffrat.
  • Ohne Zero-Knowledge ist ein Cloud-Passwort-Manager bei einem Server-Hack vollständig offen.
  • Der Preis: Es gibt keinen „Passwort vergessen"-Button. Recovery muss vorab geplant werden.

Was „Zero-Knowledge" eigentlich bedeutet

Der Begriff stammt ursprünglich aus der Kryptografie und beschreibt ein Verfahren, bei dem eine Partei einer anderen beweisen kann, eine Information zu kennen, ohne diese Information selbst preiszugeben. Im Kontext von Passwort-Managern hat er sich für eine etwas andere – aber verwandte – Eigenschaft eingebürgert: Der Anbieter hat zu keinem Zeitpunkt Zugriff auf die unverschlüsselten Daten seiner Kunden.

Praktisch heißt das: Selbst wenn die Server gehackt würden, ein Mitarbeiter böse Absichten hätte oder eine Behörde Zugriff verlangte – der Anbieter kann schlicht nichts herausgeben, was er nicht hat. Die Daten existieren auf den Servern nur als verschlüsseltes Chiffrat, und der Schlüssel liegt nicht beim Anbieter, sondern beim Nutzer.

Wie das technisch funktioniert

Der Ablauf ist erstaunlich einfach, und gerade deshalb robust:

  1. Sie wählen ein Master-Passwort. Dieses verlässt Ihr Gerät nie.
  2. Aus dem Master-Passwort wird mit einer Key Derivation Function (üblich: Argon2id oder PBKDF2 mit hoher Iterationszahl) ein Verschlüsselungs-Key abgeleitet.
  3. Mit diesem Key werden Ihre Passwörter lokal auf Ihrem Gerät verschlüsselt – meist mit AES-256-GCM oder XChaCha20-Poly1305.
  4. Nur der verschlüsselte Datensatz wird an den Server übertragen.
  5. Beim Abruf passiert das Gleiche rückwärts: Server liefert Chiffrat, Ihr Gerät entschlüsselt es lokal.

Wichtig: Der Server bekommt nie das Master-Passwort, nie den abgeleiteten Schlüssel und nie die Klartext-Daten. Was er sieht, ist mathematisch unlesbar.

Was passiert, wenn ein Anbieter nicht Zero-Knowledge ist

Einige Passwort-Manager – vor allem Browser-integrierte – verschlüsseln zwar grundsätzlich, der Schlüssel liegt aber technisch beim Anbieter oder ist mit dem Cloud-Konto verknüpft. Das hat zwei unschöne Konsequenzen:

  • Server-Kompromittierung wird zur Katastrophe. Wer den Server kontrolliert, kontrolliert die Daten – die Verschlüsselung schützt nicht mehr.
  • Behördenanfragen und interne Zugriffe sind technisch möglich. Der Anbieter könnte Ihre Daten lesen, ob er es tut oder nicht.

Ein gut implementiertes Zero-Knowledge-Modell schließt diese Risiken architektonisch aus – nicht durch ein Versprechen, sondern durch fehlende Möglichkeit.

Was Zero-Knowledge nicht kann

So wichtig die Eigenschaft ist – sie ist kein Allheilmittel. Folgende Risiken bleiben:

  • Schwache Master-Passwörter. Wenn Ihr Master-Passwort „sommer2024" lautet, hilft auch die beste Verschlüsselung nicht – ein Angreifer probiert es einfach durch.
  • Malware auf Ihrem Gerät. Wer Ihren Computer kontrolliert, sieht den entschlüsselten Klartext, sobald Sie ihn anzeigen.
  • Phishing. Wenn Sie Ihr Master-Passwort auf einer gefälschten Login-Seite eingeben, ist es weg – egal wie sicher der Anbieter ist.

Worauf bei der Wahl achten

Wenn Sie einen Passwort-Manager bewerten, fragen Sie konkret:

  • Wird das Master-Passwort jemals übertragen?
  • Welche Key-Derivation-Function wird verwendet und mit wie vielen Iterationen?
  • Gibt es ein veröffentlichtes Whitepaper zur Verschlüsselungsarchitektur?
  • Existiert ein „Passwort vergessen"-Reset durch den Anbieter? Wenn ja: kein echtes Zero-Knowledge.

Key Nest probieren

Der sichere Passwort-Tresor für Teams. Zero-Knowledge, DSGVO-konform, Server in Deutschland. In Minuten startklar, ohne IT-Abteilung.

Tarife ansehen