Grundlegende Konzepte

Zuletzt aktualisiert am 23. Juni 2026

Diese Seite erklärt die grundlegenden Konzepte von Client-Side Encryption (CSE), einschließlich des Verschlüsselungsablaufs und der geteilten Verantwortung.

Übersicht

Das Diagramm zeigt den Verschlüsselungsablauf zwischen vier Komponenten: dem Browser des Nutzers, dem Identity Provider (IdP), dem externen Schlüssel-Dienst KACLS und Google Workspace.

Authentifizieren: Der Browser kontaktiert den Identity Provider, um die Identität des Nutzers zu überprüfen. Nur autorisierte Nutzer können Verschlüsselungsschlüssel anfordern.
Identitäts-Token: Der IdP gibt ein signiertes Identitäts-Token an den Browser zurück. KACLS verwendet dieses Token später, um die Autorisierung des Nutzers zu bestätigen.
Schlüssel packen / entpacken: Der Browser sendet das Identitäts-Token zusammen mit einer Schlüsseloperationsanforderung an KACLS. Für die Verschlüsselung packt (verschlüsselt) KACLS den Datenverschlüsselungsschlüssel. Für die Entschlüsselung entpackt es den Schlüssel.
Gepackter Schlüssel: KACLS gibt den gepackten Schlüssel an den Browser zurück. Der Rohschlüssel verlässt KACLS nie und ist für Google niemals sichtbar.
Verschlüsselte Daten senden: Der Browser verschlüsselt die Inhalte lokal und lädt nur den Chiffretext zu Google Workspace hoch. Google speichert Daten, die es nicht lesen kann.
Verschlüsselte Daten abrufen: Wenn Sie eine verschlüsselte Datei oder E-Mail öffnen, gibt Google Workspace den Chiffretext an den Browser zurück. Der Browser fordert dann KACLS auf, den Schlüssel zu entpacken, und entschlüsselt die Inhalte lokal.

Geteilte Verantwortung

Bevor Sie CSE nutzen können, müssen Sie Konfigurationsdaten an STACKIT übermitteln (siehe hier). STACKIT stellt dann eine neue Instanz für Sie bereit. STACKIT stellt den reibungslosen Betrieb Ihrer CSE-Instanz sicher. Sie sind für die Konfiguration der CSE-Instanz in Ihrem Google Workspace verantwortlich. Wenn Sie es wünschen, kann STACKIT diese Konfiguration für Sie übernehmen.