Zum Inhalt springen
NeoGuard
Tresorit Logo

Tresorit

cloud storage von Tresorit AG (Swiss Post)
Tresorit testen →
Ende-zu-Ende-verschlüsselter Cloud-SpeicherSchweizer Jurisdiktion (Hauptsitz Zürich, Swiss Post)Sichere Dateifreigabe mit ZugriffskontrollenBusiness-Admin-Tools und Data ResidencyMicrosoft-365-IntegrationPlattformübergreifend (Windows, macOS, Linux, iOS, Android)DSGVO, HIPAA, nDSG, ISO 27001 konform

2021 übernahm die Schweizerische Post eine Mehrheitsbeteiligung an Tresorit und machte es zu einem der wenigen Cloud-Speicher-Anbieter unter Schweizer Recht mit Zero-Knowledge-Verschlüsselung. Mit Tresorit werden Dateien auf deinem Gerät (z. B. Laptop oder Handy) verschlüsselt, bevor sie an Tresorit-Server übertragen werden. Tresorit kann die Daten nicht lesen, und das kann auch niemand, der Zugang zu deren Servern erhält.

Diese Art der Verschlüsselung ist besonders relevant, wenn du sensible Daten verarbeitest: Kundenverträge, medizinische Unterlagen, Finanzunterlagen oder juristische Akten. Für Unternehmen in der Schweiz unter dem nDSG ist Tresorit einer der unkompliziertesten Wege, Daten sicher und nDSG-konform zu speichern oder zu teilen.

Wie funktioniert Tresorit?

Tresorit ist ein verschlüsselter Cloud-Speicher mit Dateifreigabe-Funktion. Du organisierst Dateien in «Tresors» (verschlüsselte Container), synchronisierst sie über Geräte hinweg und teilst sie mit granularen Zugriffskontrollen: passwortgeschützte Links, Ablaufdaten, Download-Limits oder nutzerbezogene Berechtigungen.

Der Kernunterschied zu Dropbox, Google Drive oder OneDrive: Diese Anbieter können deine Dateien lesen. Tresorit kann dies nicht. Die Verschlüsselung erfolgt auf deinem Gerät, bevor Datenpakete deren Server erreichen. Darum wird dies als Zero-Knowledge-Architektur bezeichnet: Selbst Tresorit-Mitarbeitende haben keine Möglichkeit, deine Daten zu entschlüsseln.

Für wen ist Tresorit gedacht?

  • Freelancer und Beratende, die vertrauliche Kundendokumente verarbeiten (Verträge, Finanzdaten oder Projektunterlagen). Tresorit ermöglicht eine sichere Dateifreigabe ohne E-Mail-Anhänge oder unverschlüsselte Cloud-Links. Siehe: Das Freelancer Security Setup
  • KMU in regulierten Branchen (Recht, Gesundheitswesen oder Finanzen), die compliance-fähigen Dateispeicher brauchen, ohne eigene Infrastruktur aufzubauen. Siehe: Security-Tools für Founder
  • Datenschutzbewusste Privatpersonen, die verschlüsselten Cloud-Speicher ohne Self-Hosting wollen

Wenn du nur einfachen Cloud-Speicher für Fotos und Dokumente brauchst und Verschlüsselung keine Priorität hat, sind Mainstream-Alternativen (Google Drive, iCloud) häufig günstiger und besser integriert. Tresorit richtet sich an die Nutzenden, die auf Verschlüsselung angewiesen sind.

Tresorit testen →

Wichtige Funktionen

Zero-Knowledge-Verschlüsselung

Jede Datei wird per Ende-zu-Ende-Verschlüsselung auf deinem Gerät verschlüsselt, bevor sie hochgeladen wird. Der Krypto-Stack nutzt AES-256-GCM für Dateiinhalte, RSA-4096 für den Schlüsselaustausch und dateibezogene Integritätsprüfungen. Dateien werden doppelt verschlüsselt gespeichert.

Was das Ganze zum Funktionieren bringt, ist die Schlüsselhierarchie. Jede Datei bekommt ihren eigenen Verschlüsselungsschlüssel. Dateischlüssel werden von Ordnerschlüsseln umhüllt, diese von Kontoschlüsseln, diese wiederum von einem Mandantenschlüssel. Die Kompromittierung einer Ebene legt die anderen nicht offen. Dein Passwort verlässt nie dein Gerät: Der Server speichert nur einen abgeleiteten Verifier, sodass selbst Tresorits eigene Infrastruktur deine Zugangsdaten nicht rekonstruieren kann.

Das unterscheidet sich grundlegend von Diensten wie Dropbox, die Daten serverseitig mit Schlüsseln verschlüsseln, die sie selbst kontrollieren. Bei einem Servereinbruch bekommen Angreifer verschlüsselte Datenblöcke ohne praktikablen Weg zur Entschlüsselung.

Granulare Freigabekontrollen

Wenn du eine Datei oder einen Ordner teilst, kontrollierst du genau, wie darauf zugegriffen werden kann. Passwörter auf Freigabelinks setzen, Ablaufdaten hinzufügen, Anzahl der Downloads begrenzen und einschränken, ob Empfänger den Link weiterleiten können. Für Teams ermöglichen ordner- und nutzerbezogene Berechtigungen die Kontrolle, wer was sieht.

Freigabelinks verwenden ein 128-Bit-Geheimnis im URL-Fragment. Das ist der Teil nach dem #-Zeichen in der Adresse (z. B. tresorit.com/link**#geheimer-schlüssel**). Browser senden diesen Teil nie an den Server. Tresorits Infrastruktur sieht, dass ein Link aufgerufen wurde, kann aber nicht entschlüsseln, was geteilt wurde. Ein bedeutsamer Designunterschied zu Diensten, bei denen der Anbieter geteilte Inhalte lesen kann.

Business-Administration

In Business- und Enterprise-Plänen erhalten Admins SSO-Integration, SIEM-Anbindung (Audit-Events ins bestehende Security-Dashboard weiterleiten), Remote Wipe für verlorene Geräte, rollenbasierte Zugriffskontrolle und Richtlinienvorlagen für unternehmensweite Freigabestandards. Die Folder-Takeover-Funktion ermöglicht Admins die Datenwiederherstellung beim Austritt von Mitarbeitenden.

Mit Data Residency können Admins festlegen, welches Land die Daten speichert, konfigurierbar pro Nutzergruppe. Die Dateien des HR-Teams können auf Schweizer Servern fixiert werden, während das Marketing EU-Server nutzt, alles innerhalb derselben Organisation. Für Unternehmen unter dem nDSG oder kantonalen Datenschutzanforderungen ist das ein praktischer Compliance-Hebel, den die meisten Mitbewerber nicht in dieser Granularität bieten.

Compliance-Abdeckung

Tresorit ist zertifiziert für DSGVO, HIPAA, ISO 27001 und nDSG. Die Schweiz hat einen EU-Angemessenheitsstatus, was bedeutet, dass bei Tresorit gespeicherte Daten aus DSGVO-Sicht als EU-intern gelten. Keine Standardvertragsklauseln nötig.

Plattformübergreifende Unterstützung

Tresorit ist für Windows, macOS, Linux, iOS und Android verfügbar, plus Web-Interface. Linux-Unterstützung ist unter den gängigen verschlüsselten Cloud-Anbietern ungewöhnlich, und Tresorits Desktop-Client deckt es ab.

Was Tresorit nicht tut

  • Tresorit ist kein Backup-Tool. Es synchronisiert Dateien, bietet aber kein Block-Level-Sync oder kontinuierliche Versionierung (kostenlose Version hat eingeschränkte Versionierung). Ergänze es mit einer dedizierten Backup-Lösung für echte Redundanz.
  • Grosse Dateien haben Limits. Die maximale Dateigrösse ist 10 GB. Wer mit Video, VM-Images oder grossen Datenbanken arbeitet, wird an diese Grenze stossen.
  • Synchronisation ist nicht sofort. Tresorit lädt bei Änderungen ganze Dateien neu hoch (kein Block-Level-Delta-Sync). Bei grossen, häufig bearbeiteten Dateien bedeutet das spürbare Verzögerungen im Vergleich zu Dropbox.
  • Weniger Integrationen als Mainstream-Alternativen. Kein Rclone- oder WebDAV-Support. Wer headless/Server-Zugang oder tiefe Drittanbieter-Integrationen braucht, ist mit Proton Drive (das Rclone unterstützt) oder Nextcloud besser bedient.

Preise

Tresorit ist deutlich teurer als Mainstream-Cloud-Speicher, etwa 3-4x so viel wie Dropbox oder Google Drive bei vergleichbarem Speichervolumen. Das ist der Preis für Zero-Knowledge-Verschlüsselung unter Schweizer Jurisdiktion. Die Pläne reichen von einer eingeschränkten kostenlosen Version über Personal- und Professional-Pläne bis zu Business-Optionen.

Aktuelle Pläne und Preise auf der Tresorit-Preisseite.

Relevanz für die Schweiz

Die Tresorit AG ist in Zürich registriert, und alle Kundenverträge unterliegen Schweizer Recht. Mit der Schweizerischen Post als Mehrheitseignerin operiert das Unternehmen unter Schweizer öffentlich-rechtlichen Rahmenbedingungen, nicht unter dem US CLOUD Act oder dem UK Investigatory Powers Act.

Für Unternehmen unter dem nDSG deckt Tresorits clientseitige Verschlüsselung direkt die Anforderung ab, «angemessene technische und organisatorische Massnahmen» zum Schutz personenbezogener Daten umzusetzen (Art. 8 nDSG). Kombiniert mit Schweizer Jurisdiktion und EU-Angemessenheitsstatus ist es einer der reibungslosesten Wege zu konformem Dateispeicher.

Tresorit trägt zudem das Digital Trust Label, eine Schweizer Zertifizierung der Swiss Digital Initiative (gegründet von digitalswitzerland). Das Label prüft Vertrauenswürdigkeit in den Bereichen Sicherheit, Datenschutz, Zuverlässigkeit und fairer Umgang mit Nutzern. Es ist keine Selbstdeklaration: Unabhängige Prüfstellen verifizieren die Einhaltung. Nur wenige Cloud-Speicher-Anbieter besitzen es, und es signalisiert eine Rechenschaftspflicht, die internationale Zertifizierungen allein nicht abdecken.

Die Swiss-Post-Eigentümerschaft ist von beiden Seiten zu betrachten: Sie verleiht institutionelle Glaubwürdigkeit und langfristige Stabilität, aber einige Datenschutzbefürworter sehen jede staatsnahe Eigentümerschaft kritisch. Tresorits Zero-Knowledge-Architektur bedeutet, dass die Post deine Dateien unabhängig von der Eigentümerstruktur nicht lesen kann, aber der grundsätzliche Punkt ist manchen Nutzern wichtig.

Tipps für den optimalen Einsatz

  • Organisiere nach Kunde oder Projekt. Lege separate Tresors pro Kunde oder Mandat an. Das hält die Zugriffskontrolle sauber und erleichtert den Entzug von Zugriffsrechten bei Projektende.
  • Setze die Freigabe-Defaults auf restriktiv. Ändere den Standard von «jeder mit dem Link» auf passwortgeschützt mit Ablaufdatum, für jede externe Dateifreigabe.
  • Aktiviere 2FA. Nutze eine Authenticator-App, kein SMS, besonders für Admin-Konten.
  • Plane das 10-GB-Limit ein. Teile grosse Dateien vor dem Upload auf (7-Zip oder der split-Befehl auf macOS/Linux).
  • Richte Folder Takeover proaktiv ein (Business-Pläne). Konfiguriere die Funktion, bevor sie gebraucht wird, damit Daten austretender Mitarbeitender sofort zugänglich sind.
  • Kombiniere Tresorit mit einem echten Backup. Tresorit synchronisiert Dateien, ist aber keine Backup-Lösung. Nutze ein separates Tool (Restic oder Backblaze B2) für Off-Site-Backups.
Tresorit testen →