Cryptomator schließt kritische Lücke in Team-Plattform Hub

Kritische Sicherheitslücke in Cryptomator Hub erfordert sofortige Updates. Das Open-Source-Verschlüsselungstool hat eine Notfallaktualisierung veröffentlicht, die einen Angriff auf Sitzungstoken verhindert. Die Ende-zu-Ende-Verschlüsselung der Dateien selbst war nie gefährdet.

Am 13. März 2026 rollte das Entwicklungsteam hinter der Open-Source-Verschlüsselungssoftware Cryptomator eine Notfallaktualisierung aus. Sie schließt eine kritische Schwachstelle in der unternehmensorientierten Team-Plattform Cryptomator Hub. Die als CVE-2026-32303 geführte Lücke im Entsperrvorgang von Hub-verwalteten Tresoren hätte Angreifern ermöglichen können, sensible Sitzungstoken abzufangen. Nutzer müssen ihre Clients nun umgehend aktualisieren.

Der aktuelle Vorfall bei Cryptomator verdeutlicht, wie schnell Unternehmen ins Visier von Cyberangriffen geraten können. Dieser kostenlose Leitfaden zeigt Ihnen, wie Sie Ihre IT-Sicherheit mit einfachen Maßnahmen proaktiv stärken. IT-Sicherheit stärken ohne teure neue Mitarbeiter einzustellen

So funktionierte der Angriff auf die Sitzungstoken

Die Schwachstelle zielte spezifisch auf die Authentifizierung beim Entsperren von Hub-Tresoren ab. Ein Angreifer benötigte dafür bereits Schreibzugriff auf das verschlüsselte Daten-Repository. Konnte er die Konfigurationsdateien eines Tresors manipulieren, wurde beim nächsten legitimen Entsperrvorgang ein gültiges Hub-Sitzungstoken an einen fremden Server umgeleitet.

Mit diesem gestohlenen Token hätte sich ein Angreifer innerhalb der Cryptomator-Hub-Oberfläche als das Opfer ausgeben können. Diese Zugriffsebene hätte den Blick auf unverschlüsselte Metadaten der Organisation ermöglicht – etwa Kontonamen, Teamstrukturen oder die Namen anderer Tresore.

Die gute Nachricht: Der eigentliche Dateiinhalt in den Tresoren war niemals in Gefahr. Die kryptografischen Schlüssel zur Entschlüsselung werden lokal auf dem Gerät erzeugt und bleiben dort. Sie werden weder an den Hub übertragen noch im Sitzungstoken gespeichert. Lokale Tresore ohne Hub-Anbindung sind von der Lücke nicht betroffen.

Diese Updates sind jetzt zwingend erforderlich

Um die Bedrohung zu neutralisieren, müssen Nutzer sofort auf die gepatchten Versionen updaten:
* Desktop: Cryptomator 1.19.1
* Android: Version 1.12.3
* iOS: Version 2.8.3

Die neuen Versionen führen zudem einen zusätzlichen Sicherheitsmechanismus ein: Beim ersten Verbindungsaufbau zu einem selbst gehosteten Hub erscheint ein Dialog, der den Nutzer auffordert, die Server-URL explizit zu bestätigen. Dieser "Trust on First Use"-Schritt verhindert, dass manipulierte Konfigurationen Token stillschweigend umleiten. Für die vollständig von Cryptomator verwaltete Cloud-Version entfällt dieser manuelle Schritt.

Ein Rückschlag im Jubiläumsjahr

Die schnelle Sicherheitspatches kommen zu einem bedeutenden Zeitpunkt. Erst am 9. März feierte Cryptomator sein zehnjähriges Bestehen mit der Hauptversion 1.19.0. Dieses Update konzentrierte sich stark auf den Ausbau der Hub-Funktionen für Unternehmen.

Die Nähe der Schwachstellenmeldung zur großen Feature-Veröffentlichung unterstreicht die Komplexität, kollaborative Cloud-Umgebungen abzusichern. Die schnelle Identifizierung und Behebung zeigt jedoch die reaktionsschnellen Sicherheitspraktiken, die von modernen Open-Source-Enterprise-Tools erwartet werden.

Während Software-Updates kritische Lücken schließen, müssen Geschäftsführer auch die rechtlichen Rahmenbedingungen im Blick behalten. Erfahren Sie im Experten-Report, welche neuen Strategien mittelständische Unternehmen jetzt gegen Cyberkriminelle wappnen. Effektive Strategien gegen Cyberkriminelle entdecken

Was bedeutet das für die Cloud-Sicherheit?

Der Vorfall bestätigt einen Branchentrend: Da Kernverschlüsselungen wie AES-256 praktisch nicht zu knacken sind, verlagern Angreifer ihren Fokus auf Implementierungs- und Authentifizierungsschichten. Statt die Verschlüsselung zu brechen, zielte der theoretische Angriffsvektor hier auf die Sitzungsverwaltung, um Metadaten zu erbeuten.

Für Unternehmen ist die Offenlegung von Metadaten ein ernstes Problem. Selbst wenn Dokumente sicher bleiben, liefern Informationen über Teamstrukturen und Tresornamen wertvolle Angriffsdaten für gezielte Phishing-Kampagnen.

Architektonisch validiert der Vorfall das Prinzip der Zero-Knowledge-Ende-zu-Ende-Verschlüsselung. In traditionellen Cloud-Umgebungen mit serverseitiger Verschlüsselung hätte ein kompromittiertes Token möglicherweise vollen Zugriff auf Dateiinhalte bedeutet. Durch die strikte Trennung von Authentifizierung (Hub) und Kryptografie (lokaler Client) bei Cryptomator blieb das Schadensszenario auf Metadaten beschränkt.

Aktueller Stand und Ausblick

Laut Entwicklerteam gibt es derzeit keine Hinweise darauf, dass die Schwachstelle aktiv ausgenutzt wurde. Aufgrund des Open-Source-Charakters der Software wird jedoch dringend zur sofortigen Aktualisierung geraten.

Die vollständigen technischen Details werden im Rahmen eines verantwortungsvollen Offenlegungsprozesses am 20. März 2026 veröffentlicht. Bis dahin bleiben die Tracking-Links inaktiv, um Administratoren eine einwöchige Frist für die Installation der Updates zu geben. Der neue Host-Verifizierungs-Dialog wird voraussichtlich eine dauerhafte Sicherheitsfunktion in der Anwendung bleiben.