CryptoLink Hilfe
Verschlüsselung, Chat Control, DSGVO Art. 32, Fernmeldegeheimnis, Trojaner-Schutz und Zero-Knowledge Architektur — verständlich erklärt.
Rechtliche Grundlage
EU Chat Control 1.0 — Was passiert gerade?
Am 9. Juli 2026 hat das EU-Parlament die temporäre Ausnahmeregelung für Massenscanning von privaten Nachrichten wiederbelebt — im Eilverfahren, kurz vor der Sommerpause, mit abwesenden Abgeordneten. 314 MEPs stimmten gegen die Maßnahme, 276 dafür. Eine Mehrheit der Abstimmenden lehnte Chat Control ab — das Gesetz wurde trotzdem beschlossen. Plattformen dürfen nun private Nachrichten, Fotos und Videos ohne richterliche Anordnung scannen. Betroffen sind unverschlüsselte oder server-side verschlüsselte Dienste (Gmail, Facebook Messenger, Instagram DMs, Skype, Snapchat, iCloud Mail). Ende-zu-Ende-verschlüsselte Dienste wie WhatsApp, Signal und Threema sind ausgenommen — und genau hier setzt CryptoLink an: Client-side Verschlüsselung fällt nicht unter Chat Control, weil der Server nur Ciphertext sieht. Die permanenten CSA-Verordnung (Chat Control 2.0) läuft parallel und soll noch weiter gehen: verpflichtende Maßnahmen gegen E2EE, Altersverifikation und Ausweitung der Scan-Pflicht.
DACH-Verfassungsrechtlicher Schutz
Das Recht auf private Kommunikation ist verfassungsrechtlich garantiert — in Deutschland, Österreich und der Schweiz. Deutschland: Art. 10 GG schützt das Fernmeldegeheimnis — Brief, Post und Fernmeldeverkehr sind unverletzlich. § 203 StGB sanktioniert die Verletzung von Berufsgeheimnissen (Anwälte, Ärzte, Steuerberater, Journalisten). DSGVO Art. 32 fordert geeignete technische und organisatorische Maßnahmen — bei sensiblen Daten ist Ende-zu-Ende-Verschlüsselung nach Orientierungshilfe der Datenschutzkonferenz (DSK) zwingend. Transportverschlüsselung (TLS) reicht bei hohem Risiko nicht aus. Österreich: StGG Art. 10a schützt das Privatleben, § 318 StGB (Verletzung der Amtsverschwiegenheit) und Berufsgeheimnisträger-Regelungen analog. Schweiz: BV Art. 13 schützt die Privatsphäre und das Brief-, Post- und Fernmeldegeheimnis. EMRK Art. 8 garantiert das Recht auf Achtung des Privatlebens europaweit. EU Chat Control steht in direktem Konflikt mit diesen Verfassungs-garantien — es ist ein verfassungswidriger Eingriff in das Fernmeldegeheimnis, demokratisch nicht legitimiert und ohne richterliche Einzelfallprüfung.
Verschlüsselung als rechtliche Pflicht
Verschlüsselung ist nicht nur erlaubt — für bestimmte Berufsgruppen ist sie gesetzlich vorgeschrieben. DSGVO Art. 32 verpflichtet Verantwortliche zu angemessenen TOMs, darunter ausdrücklich die Verschlüsselung personenbezogener Daten. Die Datenschutzkonferenz (DSK) konkretisiert: Bei sensiblen Daten ist Ende-zu-Ende-Verschlüsselung erforderlich, Transportverschlüsselung allein reicht nicht. Anwälte: § 43a BRAO und § 203 StGB verpflichten zur Verschwiegenheit — Mandatskommunikation muss E2EE sein. Ärzte: Ärztliche Schweigepflicht (§ 203 StGB) erfordert Verschlüsselung bei Übermittlung von Patientendaten. Steuerberater: Comparable Verschwiegenheitspflicht. Journalisten: Quellenschutz erfordert verschlüsselte Kommunikation. Eine Einverständniserklärung des Mandanten/Patienten in unverschlüsselte Kommunikation ersetzt die TOM-Pflicht nicht — das Schutzniveau nach Art. 32 DSGVO ist nicht abdingbar. CryptoLink erfüllt diese Pflicht: AES-256-GCM E2EE, Zero-Knowledge, keine Hintertür.
State-of-the-Art Kryptographie
CryptoLink nutzt die modernste Verschlüsselung, die aktuell im Browser verfügbar ist. AES-256-GCM (NIST FIPS 197, standardisiert 2007) ist die Standard-Cipher in TLS 1.3 und wird von Signal, WhatsApp, Apple iMessage und Wire verwendet. Hardware-beschleunigt via AES-NI auf modernen CPUs (Intel, AMD, Apple Silicon, ARM mit Crypto Extensions). PBKDF2 mit 600.000 Iterationen (OWASP 2024 Empfehlung) leitet den Schlüssel aus deinem Passwort ab — Brute-Force ist bei starken Passwörtern rechnerisch unmöglich. WebAuthn/Passkey erzeugt non-extractable Schlüssel im Secure Enclave (iPhone) bzw. TPM (Android/Windows) — der private Schlüssel verlässt nie die Hardware. Post-Quantum readiness: AES-256 behält 128-Bit-Sicherheit auch gegen hypothetische Quantencomputer (Grover's Algorithmus). NIST empfiehlt AES-256 explizit für langfristigen Schutz (NIST SP 800-131A Rev 2).
Technik & Sicherheit
Wie funktioniert die Verschlüsselung?
CryptoLink nutzt AES-256-GCM (Galois/Counter Mode) — einen authentifizierten Verschlüsselungsstandard, der von Banken, Militär und Signal verwendet wird. Die Verschlüsselung passiert komplett in deinem Browser über die native Web Crypto API. Der Schlüssel wird aus deinem Passwort via PBKDF2 mit 600.000 Iterationen abgeleitet. Der Server sieht niemals Klartext, Passwort oder Schlüssel — nur Kryptografie-Müll.
Inline-Modus vs. Server-Storage
Kurze Nachrichten (< 100 KB) werden komplett im Link selbst gespeichert (URL-Fragment). Der Server bekommt davon nichts mit — das Fragment geht nicht über das Netzwerk. Für größere Nachrichten und Dateien wird der verschlüsselte Blob auf unserem Server gespeichert und automatisch nach Ablauf gelöscht. Der Link enthält nur eine ID und den Schlüssel im Fragment — der Server hat den Schlüssel nicht.
Passkey / WebAuthn — Trojaner-Schutz
Passkeys nutzen den Secure Enclave (iPhone) bzw. TPM (Android/Windows) deines Geräts. Der private Schlüssel wird dort erzeugt und verlässt nie die Hardware. Ein Staatstrojaner (Quellen-TKÜ) kann zwar den Bildschirm aufzeichnen, aber nicht den Schlüssel aus dem Secure Enclave extrahieren. Das ist die stärkste Schutzmaßnahme gegen Keylogging und Screen Capture.
Passwort-Modus
Wenn kein Passkey verfügbar ist, kannst du ein Passwort verwenden. Das Passwort wird mit PBKDF2 (600.000 Iterationen, SHA-256) in einen 256-Bit-Schlüssel umgewandelt. Wichtig: Teile das Passwort über einen anderen Kanal (z.B. mündlich, SMS) mit dem Empfänger — niemals im selben Chat wie den Link. Auf potentially kompromittierten Geräten (Staatstrojaner-Verdacht) nutze stattdessen Passkey.
Burn-after-reading
Wenn du 'Nach Lesen' als Ablauf wählst, wird die Nachricht nach dem ersten Entschlüsseln automatisch vom Server gelöscht. Zusätzlich wird der entschlüsselte Inhalt im Browser nach 60 Sekunden aus dem DOM entfernt. Das minimiert das Zeitfenster, in dem der Klartext auf dem Gerät existiert.
Privacy-First Architektur
Kein Account, keine Cookies, kein Tracking. Die Web-App nutzt localStorage ausschließlich für technische Funktionalität. Es läuft keine Analyse, kein Werbenetzwerk und kein Tracking-Pixel. Der Server speichert nur verschlüsselte Blobs mit Ablauf-Zeitpunkt — nichts weiter.
Grenzen des Schutzes
Client-side Verschlüsselung schützt den Inhalt deiner Nachricht. Sie schützt NICHT vor einem kompromittierten Gerät, das vor der Verschlüsselung (Keylogger) oder nach der Entschlüsselung (Screen Capture) angreift. Für maximale Sicherheit: Nutze Passkey, halte dein Betriebssystem aktuell, und verschlüssele sensible Inhalte nicht auf Geräten, die du nicht kontrollierst.
FAQ
Wird CryptoLink von EU Chat Control erfasst?
Nein. Ende-zu-Ende-Verschlüsselung ist von Chat Control ausgenommen. Der Server sieht nur Ciphertext — der Schlüssel bleibt beim Nutzer. Chat Control zielt auf unverschlüsselte und server-side verschlüsselte Dienste ab (Gmail, Facebook Messenger, Instagram DMs). Client-side E2EE wie CryptoLink fällt nicht unter die Scan-Pflicht.
Ist Verschlüsselung legal?
Ja. Verschlüsselung ist ein Grundrecht und rechtlich erlaubt. Es gibt keine Pflicht, Nachrichten unverschlüsselt zu senden. Im Gegenteil: DSGVO Art. 32 fordert Verschlüsselung bei sensiblen Daten. Das Fernmeldegeheimnis (Art. 10 GG) schützt deine Kommunikation. EMRK Art. 8 garantiert das Recht auf Privatleben. In Österreich schützt StGG Art. 10a, in der Schweiz BV Art. 13 die Privatsphäre. Verschlüsselung ist nicht nur legal — sie ist verfassungsrechtlich geboten.
Muss ich als Anwalt, Arzt oder Journalist verschlüsseln?
Ja. Berufsgeheimnisträger haben gesetzliche Verschwiegenheitspflichten (§ 203 StGB, § 43a BRAO, ärztliche Schweigepflicht). Die Datenschutzkonferenz (DSK) fordert bei sensiblen Daten Ende-zu-Ende-Verschlüsselung — Transportverschlüsselung (TLS) reicht nicht. Eine Einverständniserklärung des Mandanten/Patienten in unverschlüsselte Kommunikation ersetzt die TOM-Pflicht nach Art. 32 DSGVO nicht. CryptoLink erfüllt diese Pflicht mit AES-256-GCM E2EE.
Kann der Server meine Nachrichten lesen?
Nein. Der Server speichert nur verschlüsselte Daten (Ciphertext). Ohne den Schlüssel — der nur im URL-Fragment steht, das nicht über das Netzwerk geht — ist der Inhalt mathematisch nicht entschlüsselbar. Zero-Knowledge bedeutet: Nicht wir können nicht entschlüsseln, nicht Behörden, nicht Hacker. Es gibt keine Hintertür.
Was passiert, wenn ich das Passwort vergesse?
Die Nachricht ist unwiederbringlich verloren. Das ist der Preis der Zero-Knowledge-Architektur: Es gibt keine Hintertür, keinen Reset, keine Wiederherstellung. Dies ist ein Feature, kein Bug — es garantiert, dass auch wir nicht auf deine Nachrichten zugreifen können.
Was ist Post-Quantum Kryptographie?
Quantencomputer könnten mit Grover's Algorithmus die effektive Schlüssellänge symmetrischer Cipher halbieren. AES-256 behält dabei 128-Bit-Sicherheit — kryptografisch unbrechbar. NIST empfiehlt AES-256 explizit für langfristigen Schutz (NIST SP 800-131A Rev 2). CryptoLink ist Post-Quantum ready. Für den Schlüsselaustausch auf Transport-Ebene nutzen moderne Browser bereits hybrid Post-Quantum TLS (X25519MLKEM768).
Brauche ich eine App?
Nein. CryptoLink funktioniert in jedem modernen Browser (Chrome, Firefox, Safari, Edge). Optional kannst du die Seite als PWA installieren. Die Web Crypto API ist nativ im Browser implementiert — keine Polyfills, keine externen Bibliotheken.
Kann ich auch Dateien verschlüsseln?
Ja. Im Free-Tier bis 5 MB, im Premium-Tier bis 100 MB. Die Datei wird client-side verschlüsselt und als verschlüsselter Blob auf dem Server gespeichert. Der Server sieht nur Ciphertext — Dateiname und Typ werden ebenfalls verschlüsselt übertragen.