Stand: März 2026 — Dieser Artikel wurde zuletzt im März 2026 fachlich geprüft und aktualisiert.
Verschlüsselung ist das Fundament jeder ernstzunehmenden IT-Sicherheitsstrategie. Ohne sie sind Daten auf Festplatten, in Datenbanken und auf dem Transportweg im Klartext lesbar — für jeden, der Zugriff erlangt. Trotzdem herrscht in vielen Unternehmen Unsicherheit darüber, welcher Algorithmus für welchen Zweck geeignet ist und welche Verfahren längst als unsicher gelten.
Dieser Artikel vergleicht die zehn wichtigsten Verschlüsselungsalgorithmen: ihre Stärken, Schwächen und konkreten Einsatzbereiche. Praxisorientiert, ohne unnötige Theorie.
Für die meisten Anwendungsfälle ist AES-256 der richtige symmetrische Algorithmus und ECC oder RSA die richtige Wahl für asymmetrische Verschlüsselung. DES und RC4 sind seit Jahren gebrochen und dürfen unter keinen Umständen mehr eingesetzt werden. Wer in Deutschland personenbezogene Daten verarbeitet, muss Verschlüsselung nach Stand der Technik einsetzen — das ergibt sich direkt aus DSGVO Art. 32 und den NIS2-Anforderungen.
Bevor wir in die einzelnen Algorithmen einsteigen, eine kurze Einordnung der zwei grundlegenden Kategorien.
Symmetrische Verschlüsselung verwendet denselben Schlüssel zum Ver- und Entschlüsseln. Das ist schnell und effizient, hat aber ein Problem: Beide Parteien müssen den Schlüssel kennen, und der Austausch dieses Schlüssels ist ein Sicherheitsrisiko.
Asymmetrische Verschlüsselung arbeitet mit einem Schlüsselpaar: einem öffentlichen Schlüssel zum Verschlüsseln und einem privaten Schlüssel zum Entschlüsseln. Der öffentliche Schlüssel kann frei verteilt werden. Das löst das Schlüsseltausch-Problem, ist aber deutlich langsamer.
In der Praxis werden beide Verfahren kombiniert: Asymmetrische Verschlüsselung für den sicheren Schlüsselaustausch, symmetrische Verschlüsselung für die eigentliche Datenübertragung. TLS (HTTPS) funktioniert genau nach diesem Prinzip.
| Algorithmus | Typ | Schlüssellänge | Geschwindigkeit | Sicherheitsniveau | Einsatzbereich |
|---|---|---|---|---|---|
| AES | Symmetrisch | 128 / 192 / 256 Bit | Sehr hoch | Sehr hoch | Universell: Festplatten, VPN, TLS, Datenbanken |
| RSA | Asymmetrisch | 2048 / 3072 / 4096 Bit | Niedrig | Hoch (ab 2048 Bit) | Schlüsselaustausch, digitale Signaturen, E-Mail |
| ECC | Asymmetrisch | 256 / 384 / 521 Bit | Mittel | Sehr hoch | TLS, mobile Geräte, IoT, Signaturen |
| ChaCha20 | Symmetrisch | 256 Bit | Sehr hoch | Sehr hoch | Mobile Geräte, TLS, VPN (WireGuard) |
| Blowfish | Symmetrisch | 32–448 Bit | Hoch | Mittel (veraltet) | Legacy-Systeme, Passwort-Hashing (bcrypt) |
| Twofish | Symmetrisch | 128 / 192 / 256 Bit | Hoch | Hoch | Festplattenverschlüsselung, Nischenanwendungen |
| Serpent | Symmetrisch | 128 / 192 / 256 Bit | Niedrig | Sehr hoch | Hochsicherheitsumgebungen |
| Camellia | Symmetrisch | 128 / 192 / 256 Bit | Sehr hoch | Sehr hoch | TLS, Japanische/EU-Systeme |
| DES | Symmetrisch | 56 Bit | Hoch | Unsicher | Nicht verwenden |
| RC4 | Symmetrisch | 40–2048 Bit | Sehr hoch | Unsicher | Nicht verwenden |
Der Advanced Encryption Standard (AES) wurde im Jahr 2001 vom NIST als Nachfolger von DES standardisiert. Seitdem hat sich AES als der weltweit am häufigsten eingesetzte symmetrische Verschlüsselungsalgorithmus etabliert — und das aus guten Gründen.
AES ist eine Blockchiffre mit einer festen Blockgröße von 128 Bit und unterstützt Schlüssellängen von 128, 192 und 256 Bit. Für die meisten Unternehmensanwendungen empfiehlt sich AES-256: Die zusätzliche Schlüssellänge kostet in der Praxis kaum Performance, bietet aber maximale Sicherheit — auch im Hinblick auf zukünftige Quantencomputer.
Warum AES so verbreitet ist:
Typische Einsatzbereiche: Festplattenverschlüsselung, Datenbankverschlüsselung, VPN-Tunnel, HTTPS/TLS, Dateiverschlüsselung, Cloud-Speicher.
Wichtig ist die Wahl des richtigen Betriebsmodus. Verwenden Sie AES-GCM (Galois/Counter Mode) für authentifizierte Verschlüsselung — das schützt gleichzeitig vor Manipulation. Vermeiden Sie AES-ECB (Electronic Codebook), der identische Klartextblöcke auf identische Chiffretextblöcke abbildet und damit Muster im Klartext offenlegt.
RSA (Rivest-Shamir-Adleman) ist seit 1977 der bekannteste asymmetrische Verschlüsselungsalgorithmus. Seine Sicherheit beruht auf der Schwierigkeit, große Zahlen in ihre Primfaktoren zu zerlegen — ein Problem, das mit klassischen Computern ab einer bestimmten Schlüssellänge praktisch unlösbar ist.
Aktuelle Empfehlungen zur Schlüssellänge:
RSA wird in der Praxis kaum noch zur direkten Datenverschlüsselung verwendet — dafür ist es zu langsam. Sein Haupteinsatzgebiet sind digitale Signaturen und der Schlüsselaustausch in Protokollen wie TLS. Bei einer HTTPS-Verbindung nutzt Ihr Browser RSA (oder ECC), um einen symmetrischen Sitzungsschlüssel auszuhandeln, mit dem dann die eigentliche Kommunikation per AES verschlüsselt wird.
Post-Quanten-Hinweis: RSA ist durch Quantencomputer grundsätzlich gefährdet. Shors Algorithmus könnte RSA-Schlüssel in polynomialer Zeit faktorisieren. Die Bedrohung ist derzeit noch theoretisch — leistungsfähige Quantencomputer existieren noch nicht in der notwendigen Größenordnung. Trotzdem sollten Unternehmen, die Daten mit langer Lebensdauer schützen, bereits jetzt eine Post-Quanten-Strategie entwickeln. Das NIST hat 2024 die ersten Post-Quanten-Standards (ML-KEM und ML-DSA) veröffentlicht.
Elliptic Curve Cryptography (ECC) ist die modernere Alternative zu RSA für asymmetrische Verschlüsselung. ECC basiert auf der mathematischen Struktur elliptischer Kurven und erreicht bei deutlich kürzeren Schlüssellängen ein vergleichbares Sicherheitsniveau.
Ein Vergleich macht das deutlich: Ein ECC-Schlüssel mit 256 Bit bietet eine ähnliche Sicherheit wie ein RSA-Schlüssel mit 3072 Bit. Das bedeutet weniger Rechenaufwand, schnellere Operationen und geringerer Speicherbedarf.
Vorteile gegenüber RSA:
ECC wird heute standardmäßig in TLS 1.3 für den Schlüsselaustausch (ECDHE) und für digitale Signaturen (ECDSA) eingesetzt. Apple, Google und Microsoft nutzen ECC als primären asymmetrischen Algorithmus in ihren Plattformen.
Gängige Kurven: Die am häufigsten verwendeten Kurven sind P-256 (secp256r1), P-384 und Curve25519. Curve25519, entworfen von Daniel J. Bernstein, gilt als besonders robust gegen Implementierungsfehler und wird in modernen Protokollen wie WireGuard und Signal bevorzugt.
Für neue Projekte empfehlen wir ECC als Standard für asymmetrische Operationen — sofern Kompatibilität mit älteren Systemen gewährleistet ist.
ChaCha20 ist ein symmetrischer Stromchiffre-Algorithmus, der von Daniel J. Bernstein als Weiterentwicklung von Salsa20 entworfen wurde. In Kombination mit dem Authentifikator Poly1305 bildet er ChaCha20-Poly1305 — eine authentifizierte Verschlüsselung, die zunehmend als Alternative zu AES-GCM eingesetzt wird.
Warum ChaCha20 relevant ist:
Der entscheidende Vorteil von ChaCha20 zeigt sich auf Geräten ohne Hardware-AES-Beschleunigung. Auf älteren oder günstigeren ARM-Prozessoren — wie sie in vielen Smartphones, IoT-Geräten und eingebetteten Systemen verbaut sind — ist ChaCha20 deutlich schneller als AES. Google hat ChaCha20-Poly1305 deshalb als Standard-Cipher für Android-Geräte eingeführt, die keine AES-NI-Instruktionen unterstützen.
Aber auch auf modernen Systemen wird ChaCha20 genutzt: TLS 1.3 unterstützt ChaCha20-Poly1305 als Cipher Suite, und das VPN-Protokoll WireGuard setzt ausschließlich auf ChaCha20-Poly1305 für seine Datenverschlüsselung.
Sicherheitsbewertung: ChaCha20 gilt als kryptographisch sicher. Es gibt keine bekannten praktischen Angriffe. Der Algorithmus ist so konzipiert, dass er weniger anfällig für Timing-Seitenkanalangriffe ist als AES in Software-Implementierungen ohne Hardware-Unterstützung. Das macht ihn zu einer hervorragenden Wahl, wenn AES-NI nicht verfügbar ist.
Blowfish wurde 1993 von Bruce Schneier als freie Alternative zu DES und IDEA entworfen. Er unterstützt variable Schlüssellängen von 32 bis 448 Bit und war jahrelang eine beliebte Wahl für Software-Verschlüsselung.
Heute ist Blowfish für die direkte Datenverschlüsselung nicht mehr zeitgemäß. Seine Blockgröße von nur 64 Bit macht ihn anfällig für Birthday-Angriffe bei der Verarbeitung großer Datenmengen (ab ca. 32 GB mit einem Schlüssel). Sein wichtigstes Erbe lebt in bcrypt weiter — einem Passwort-Hashing-Verfahren, das die absichtlich langsame Schlüsselinitialisierung von Blowfish nutzt und nach wie vor als sicher gilt.
Twofish ist Schneiers Nachfolger von Blowfish und war einer der fünf Finalisten im AES-Auswahlverfahren. Er arbeitet mit einer Blockgröße von 128 Bit und Schlüssellängen bis 256 Bit. Twofish verlor die AES-Wahl gegen Rijndael, ist aber kryptographisch solide und wird noch in einigen Verschlüsselungstools eingesetzt — etwa in VeraCrypt als alternative Chiffre.
Für neue Projekte gibt es keinen praktischen Grund, Blowfish oder Twofish gegenüber AES zu bevorzugen. Wer sie in bestehenden Systemen im Einsatz hat, muss nicht in Panik verfallen: Twofish ist nach wie vor sicher. Blowfish sollte allerdings bei nächster Gelegenheit durch AES ersetzt werden.
DES wurde 1977 vom NIST als Standard verabschiedet und war über zwei Jahrzehnte der wichtigste symmetrische Verschlüsselungsalgorithmus. Seine Schlüssellänge von nur 56 Bit ist für heutige Verhältnisse völlig unzureichend. Bereits 1998 demonstrierte die Electronic Frontier Foundation mit der "DES Cracker"-Maschine, dass ein DES-Schlüssel in weniger als drei Tagen geknackt werden kann. Heute schafft das jede Cloud-Instanz in Stunden.
Triple-DES (3DES) wendet DES dreimal hintereinander an und erreicht eine effektive Schlüssellänge von 112 Bit. 3DES wurde vom NIST 2023 offiziell als veraltet eingestuft (deprecated) und soll bis 2024 vollständig aus allen Systemen entfernt werden. Auch 3DES ist keine akzeptable Option mehr.
RC4 war jahrzehntelang der am häufigsten eingesetzte Stromchiffre-Algorithmus — vor allem in WEP (WLAN-Verschlüsselung) und frühen Versionen von TLS/SSL. Seit 2013 sind praktische Angriffe bekannt, die RC4 in TLS brechen können. Die IETF hat RC4 in RFC 7465 (2015) offiziell verboten. Alle modernen Browser und TLS-Implementierungen unterstützen RC4 nicht mehr.
Was Sie tun sollten: Scannen Sie Ihre Systeme aktiv nach DES- und RC4-Nutzung. Prüfen Sie insbesondere:
Die Migration auf AES ist in den meisten Fällen ein konfiguratives Update — technisch unkompliziert, aber organisatorisch oft vergessen.
Serpent war neben Rijndael (AES) und Twofish einer der Finalisten im AES-Auswahlverfahren. Er gilt unter Kryptographen als der konservativste und potenziell sicherste der drei Finalisten — Rijndael wurde vor allem wegen seiner höheren Geschwindigkeit und einfacheren Implementierung bevorzugt.
Serpent verwendet 32 Verschlüsselungsrunden (gegenüber 14 bei AES-256) und bietet damit eine größere Sicherheitsmarge. In der Praxis bedeutet das: Selbst wenn ein Angriff gegen die volle Rundenzahl von AES gefunden würde, wäre Serpent mit hoher Wahrscheinlichkeit noch sicher.
Der Nachteil ist die Geschwindigkeit. Serpent ist deutlich langsamer als AES, insbesondere auf Hardware ohne spezielle Beschleunigung. Er findet deshalb hauptsächlich Einsatz in Hochsicherheitsumgebungen, in denen Geschwindigkeit sekundär ist, und als zweite Schicht in kaskadierter Verschlüsselung (z.B. AES-Twofish-Serpent in VeraCrypt).
Camellia wurde gemeinsam von Mitsubishi Electric und NTT entwickelt und ist in Japan ein offizieller Standard (CRYPTREC). Der Algorithmus ist auch von der EU (NESSIE-Projekt) und der IETF für den Einsatz in TLS zugelassen.
In Leistung und Sicherheit ist Camellia mit AES vergleichbar. Er unterstützt dieselben Schlüssellängen (128, 192, 256 Bit) und eine identische Blockgröße von 128 Bit. Camellia hat eine solide kryptanalytische Bilanz und keine bekannten praktischen Schwächen.
In der westlichen IT-Landschaft ist Camellia allerdings eine Randerscheinung. AES dominiert den Markt, und die breite Hardware-Unterstützung (AES-NI) macht es schwer, Camellia in der Praxis zu rechtfertigen. Relevant ist Camellia vor allem für Unternehmen, die mit japanischen Partnern arbeiten oder regulatorische Anforderungen erfüllen müssen, die eine AES-Alternative verlangen.
| Einsatzzweck | Empfohlener Algorithmus | Anmerkung |
|---|---|---|
| Festplattenverschlüsselung | AES-256 (XTS-Modus) | BitLocker, LUKS, FileVault nutzen alle AES |
| Datenbankverschlüsselung (TDE) | AES-256 | Von allen großen DBMS nativ unterstützt |
| HTTPS / TLS | AES-256-GCM oder ChaCha20-Poly1305 | TLS 1.3 Standard-Ciphers |
| VPN | AES-256-GCM (IPsec) oder ChaCha20 (WireGuard) | WireGuard setzt ausschließlich auf ChaCha20 |
| E-Mail-Verschlüsselung (S/MIME, PGP) | AES-256 + RSA-3072 oder ECC | Hybridverfahren: asymmetrisch für Schlüssel, symmetrisch für Inhalt |
| Digitale Signaturen | ECDSA (P-256 oder Ed25519) | ECC-basiert, schneller und effizienter als RSA |
| Mobile Geräte / IoT | ChaCha20-Poly1305 oder AES-256 | ChaCha20 bevorzugt bei fehlender AES-NI |
| Passwort-Hashing | bcrypt, Argon2 oder scrypt | Keine Verschlüsselung, sondern Einweg-Hashing |
| Hochsicherheit / Kaskadierung | AES + Serpent oder AES + Twofish | VeraCrypt unterstützt kaskadierte Verschlüsselung |
| Post-Quanten-Vorbereitung | ML-KEM (CRYSTALS-Kyber) + AES-256 | NIST-Standards seit 2024 veröffentlicht |
Verschlüsselung ist in Deutschland nicht nur eine technische Best Practice — sie ist eine regulatorische Pflicht. Zwei zentrale Rechtsrahmen machen konkrete Vorgaben.
Art. 32 Abs. 1 lit. a DSGVO nennt Verschlüsselung ausdrücklich als geeignete technische Maßnahme zum Schutz personenbezogener Daten. Das bedeutet: Wenn Sie personenbezogene Daten verarbeiten — und das tut jedes Unternehmen —, müssen Sie prüfen, ob und wo Verschlüsselung nach dem "Stand der Technik" eingesetzt werden muss.
Konkret heißt das:
Ein Datenschutzverstoß wiegt deutlich leichter, wenn die betroffenen Daten wirksam verschlüsselt waren. Art. 34 Abs. 3 lit. a DSGVO erlaubt es sogar, auf die Benachrichtigung der Betroffenen zu verzichten, wenn die Daten durch Verschlüsselung unlesbar sind.
Unsere Datenschutzberatung hilft Ihnen dabei, Ihre Verschlüsselungsstrategie DSGVO-konform aufzusetzen.
Das NIS2-Umsetzungsgesetz verlangt von betroffenen Unternehmen explizit den Einsatz von Kryptographie und Verschlüsselung als Teil des Risikomanagements. Verschlüsselung ist keine optionale Maßnahme, sondern eine der im Gesetz aufgelisteten Mindestanforderungen.
Für NIS2-betroffene Unternehmen bedeutet das:
Die NIS2-Beratung von frag.hugo unterstützt Sie bei der Umsetzung dieser Anforderungen — von der Gap-Analyse bis zur Dokumentation.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht in der technischen Richtlinie TR-02102 konkrete Empfehlungen zu kryptographischen Algorithmen und Schlüssellängen. Für 2026 gelten unter anderem:
Diese Empfehlungen sind der Maßstab für den "Stand der Technik" im Sinne der DSGVO und NIS2.
We advise SMBs on cybersecurity, data protection, and NIS2 compliance.
Book a free consultationBeide Varianten gelten als sicher. AES-128 ist minimal schneller, AES-256 bietet eine größere Sicherheitsmarge — insbesondere gegen zukünftige Quantenangriffe (Grovers Algorithmus halbiert die effektive Schlüssellänge, AES-256 bleibt mit 128 Bit effektiver Sicherheit ausreichend). Für neue Systeme empfehlen wir AES-256, da der Performance-Unterschied auf moderner Hardware vernachlässigbar ist.
Bei korrekter Implementierung ist der Overhead minimal. Moderne CPUs mit AES-NI verschlüsseln und entschlüsseln Daten mit mehreren Gigabyte pro Sekunde. Die Zeiten, in denen Verschlüsselung ein spürbarer Performance-Faktor war, sind für die allermeisten Anwendungen vorbei. Der häufigste Performance-Engpass liegt im Schlüsselmanagement und der Zertifikatsvalidierung, nicht in der Verschlüsselung selbst.
Keiner der hier vorgestellten asymmetrischen Algorithmen (RSA, ECC) ist gegen Quantencomputer sicher. Symmetrische Algorithmen wie AES-256 bieten ausreichende Sicherheit, wenn die Schlüssellänge verdoppelt wird (Grovers Algorithmus). Das NIST hat 2024 die ersten Post-Quanten-Standards veröffentlicht: ML-KEM (ehemals CRYSTALS-Kyber) für Schlüsselaustausch und ML-DSA (ehemals CRYSTALS-Dilithium) für digitale Signaturen. Unternehmen sollten diese Standards bei neuen Projekten evaluieren.
TLS schützt Daten auf dem Transportweg — also zwischen Browser und Server oder zwischen zwei Servern. Es schützt nicht die gespeicherten Daten (Data at Rest) und nicht vor Zugriffen durch den Serverbetreiber. Für einen vollständigen Schutz benötigen Sie zusätzlich Verschlüsselung der gespeicherten Daten und idealerweise Ende-zu-Ende-Verschlüsselung, bei der nur Sender und Empfänger den Klartext sehen können.
Verschlüsselung ist umkehrbar — mit dem richtigen Schlüssel können Sie den Klartext wiederherstellen. Hashing ist eine Einwegfunktion — aus dem Hash kann der Klartext nicht rekonstruiert werden. Passwörter sollten gehasht (nicht verschlüsselt) gespeichert werden, damit sie selbst bei einem Datenbank-Leak nicht lesbar sind. Daten, auf die Sie wieder zugreifen müssen, werden verschlüsselt.
Die Wahl des richtigen Algorithmus ist der erste Schritt. Entscheidend ist die korrekte Implementierung: Betriebsmodi, Schlüssellängen, Schlüsselmanagement, Zertifikate und die Integration in Ihre bestehende Infrastruktur. Fehler in der Umsetzung machen auch den besten Algorithmus wirkungslos.
Unsere IT-Sicherheitsberatung unterstützt Sie praxisnah — von der Analyse Ihrer aktuellen Verschlüsselungslandschaft über die Konzeption einer zukunftssicheren Kryptographie-Strategie bis zur Umsetzung. Wir kennen die Anforderungen aus DSGVO, NIS2 und BSI-Grundschutz und setzen sie technisch fundiert um.
Buchen Sie ein kostenloses Erstgespräch — wir zeigen Ihnen, wo Ihr Unternehmen steht und welche konkreten Schritte als Nächstes sinnvoll sind. Ohne Verkaufsdruck, mit konkretem Mehrwert für Ihre IT-Sicherheit.
Inhaltsverzeichnis
NIS-2-Richtlinie einfach erklärt: NIS2-Richtlinie zu Cybersicherheit und Informationssicherheit für Unternehmen. NIS 2 Pflichten, Sektoren, Meldepflichten und Umsetzung – was Sie jetzt wissen müssen.
WeiterlesenData encryption tools compared: VeraCrypt, BitLocker, LUKS, Cryptomator and more. Evaluation criteria, BSI compliance, costs and practical guidance for SMBs.
WeiterlesenWie viel verdient man in der IT-Sicherheit? Gehalt 2026: Einstieg 45.000 €, Senior bis 98.000 €, CISO 160.000 €. Tabelle nach Rolle ► Jetzt vergleichen!
Weiterlesen Über den Autor
Co-Founder
Jens ist Co-Founder und Geschäftsführer der frag.hugo Informationssicherheit GmbH. Mit über 20 Jahren IT-Erfahrung verbindet er technisches Know-how mit strategischem Denken, um Datenschutz und Compliance für KMU zugänglich zu machen.
Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.
