Cryptomator schließt kritische Lücke in Team-Version

Das deutsche Verschlüsselungs-Tool patcht eine Schwachstelle in seiner Hub-Variante – ausgerechnet in der Jubiläumswoche. Millionen Nutzer sind aufgerufen, sofort zu aktualisieren.

Am Freitag, den 13. März 2026, veröffentlichten die Entwickler der Open-Source-Verschlüsselungssoftware Cryptomator ein dringendes Sicherheitsupdate. Es betrifft Nutzer der Hub-managed Vaults, der Team- und Unternehmenslösung. Der kritische Patch fällt in eine symbolträchtige Woche: Das deutsche Projekt feierte am 9. März offiziell sein zehnjähriges Bestehen. Während das Team das Jubiläum begeht, liegt der Fokus nun auf der Absicherung der Unternehmensumgebungen gegen eine neu entdeckte Schwachstelle zur Token-Ausspähung.

Während Verschlüsselungs-Tools wie Cryptomator technische Barrieren gegen Angreifer errichten, verschärfen sich auch die gesetzlichen Anforderungen an die IT-Sicherheit in Unternehmen massiv. Dieser kostenlose Leitfaden zeigt Geschäftsführern, welche neuen Cyber-Security-Regeln und KI-Gesetze Sie jetzt kennen müssen. Was Geschäftsführer über Cyber Security 2024 wissen müssen

Kritische Lücke: Token konnten abgegriffen werden

Die Sicherheitslage für Cryptomator war in der ersten März-Hälfte 2026 angespannt. Am 13. März wurde ein Pflicht-Update veröffentlicht, um eine Schwachstelle im Entsperrvorgang von Hub-verwalteten Tresoren zu schließen. Laut Sicherheitsdokumentation konnte ein Angreifer mit Schreibzugriff auf die verschlüsselten Daten eines Nutzers den Tresor manipulieren. Dies hätte den Cryptomator-Client dazu gebracht, ein Sitzungstoken an einen bösartigen Server zu senden. Mit diesem abgegriffenen Token hätte sich der Angreifer als Nutzer ausgeben und auf unverschlüsselte Hub-Metadaten wie Benutzernamen und Tresornamen zugreifen können.

Als zusätzliche Sicherheitsmaßnahme führt die gepatchte Software einen neuen Verifizierungsschritt ein. Bei der Verbindung zu selbst gehosteten Hub-Instanzen erscheint künftig ein Dialog, in dem Nutzer die Host-URL manuell bestätigen müssen. Verbindungen zum vollständig von Cryptomator verwalteten Hub-Service umgehen diese Prüfung, da diese Domains automatisch authentifiziert werden.

Das Unternehmen bestätigte, dass lokale, nicht-Hub-Tresore von dieser Schwachstelle nicht betroffen sind. Da Cryptomator Hub auf strikter Ende-zu-Ende-Verschlüsselung basiert, waren die eigentlichen verschlüsselten Tresordaten nie kompromittiert oder gefährdet. Die vollständigen Sicherheitshinweise (CVE-2026-32303 für Desktop, CVE-2026-32317 für Android, CVE-2026-32318 für iOS) werden am 20. März veröffentlicht.

Dieser Hub-Patch folgt auf eine weitere Sicherheitskorrektur vom 6. März 2026. Die damals behobene, als gering eingestufte Schwachstelle (CVE-2026-29110) konnte unter sehr spezifischen Bedingungen Klartext-Dateipfade in Logdateien leaken.

Zehn Jahre Verschlüsselung: Jubiläum trotz Sicherheitsalarms

Trotz der aktuellen Patches feiert das Projekt parallel ein großes Jubiläum. Am 9. März 2026 wurde Cryptomator zehn Jahre alt. Die Software, die als schlanke Lösung zum Sichern von Cloud-Speicherdateien begann, ist heute ein global genutztes Werkzeug für Journalisten, NGOs und Unternehmen.

Zum Jubiläum veranstaltete das Führungsteam eine öffentliche Fragerunde in den sozialen Medien und startete eine Promotionsaktion mit Rabatten auf mobile Apps und Unterstützer-Zertifikate, die bis zum 18. März läuft.

Cryptomator Hub: Neue Features für Unternehmen

Das Jubiläum markiert auch den Startschuss für bedeutende Erweiterungen von Cryptomator Hub. Das Entwicklungsteam stellte erweiterte Benutzer- und Gruppenverwaltungsfunktionen in den Early Access. Diese Administrations-Tools sollen Unternehmen eine präzisere Kontrolle über Zugriffe und Berechtigungen geben.

Die Absicherung von Unternehmensdaten ist nicht nur eine technische, sondern auch eine rechtliche Herausforderung, da bereits 73% der deutschen Firmen unzureichend auf Angriffe vorbereitet sind. Dieser Experten-Report enthüllt effektive Strategien, wie mittelständische Unternehmen ihre IT-Sicherheit stärken können. Effektive IT-Sicherheitsstrategien kostenlos herunterladen

Um die Verbreitung zu fördern, wurde die kostenlose Testphase für den verwalteten Hub-Service auf 100 Tage verlängert. Die neuesten Software-Versionen enthalten zudem wichtige Kollaborationsfunktionen: Desktop- und iOS-Clients zeigen nun Konfliktbenachrichtigungen an, wenn eine Datei in einem Hub-Tresor bereits auf einem anderen Gerät geöffnet ist. Dies soll Datenverlust und Synchronisationskonflikte bei der gleichzeitigen Bearbeitung verhindern.

Marktkontext: Unabhängige Verschlüsselung gewinnt an Bedeutung

Die Ereignisse im März 2026 spiegeln den trend im Markt für verschlüsselten Cloud-Speicher wider. Während große Cloud-Anbieter wegen Datenzugriffen und behördlichen Anfragen unter Beobachtung stehen, werden unabhängige Client-seitige Verschlüsselungstools für datenbewusste Nutzer immer essenzieller. Die Zero-Knowledge-Architektur stellt sicher, dass der Dienstanbieter technisch nicht in der Lage ist, auf die Schlüssel zuzugreifen.

Für die Zukunft kündigte das Team an, weiter in die Zukunftssicherheit der kryptografischen Grundlagen zu investieren. In öffentlichen Foren wurden Forschungen zu Post-Quanten-Kryptografie diskutiert, um die Verschlüsselungsstandards gegen künftige Quantencomputer zu wappnen. Die schnelle Reaktion auf die Schwachstellen zeigt die gereiften Sicherheitsprozesse des Projekts. Beobachter sehen in der dualen Strategie – Ausbau der Enterprise-Tools via Hub bei gleichzeitig robustem, kostenlosem Open-Source-Kern – den Schlüssel für das zweite Jahrzehnt.

boerse | 68673794 |