Eine Suchfunktion ist bequem. Bei vertraulichen Belegen kann sie jedoch zum Sicherheitsproblem werden: Damit eine gewöhnliche Volltextsuche funktioniert, muss der Suchdienst die Inhalte meist lesen und in einem durchsuchbaren Verzeichnis ablegen können.
Die blinde Suche verfolgt einen anderen Ansatz. Sie soll passende Belege auffindbar machen, ohne dem Dienst den eigentlichen Text offenzulegen. Der Dienst unterstützt die Suche, erfährt dabei aber möglichst wenig über die Suchanfrage und den Inhalt der Belege.
Nicht die Suchleiste ist entscheidend, sondern das Wissen des Dienstes
Ob eine Anwendung eine Suche anbietet, sagt noch nichts über deren Schutzwirkung aus. Entscheidend ist, welche Informationen dafür außerhalb des geschützten Arbeitsbereichs verarbeitet werden.
Bei einer herkömmlichen Suche kennt der Dienst häufig sowohl die eingegebenen Wörter als auch ein lesbares Verzeichnis der gespeicherten Inhalte. Bei einer blinden Suche werden Suchbegriffe dagegen bereits auf dem Endgerät in geschützte Suchmerkmale umgewandelt. Erst diese Merkmale werden an den Dienst übermittelt.
Die maßgebliche Frage lautet daher:
Kann der Dienst einen passenden Beleg finden, ohne die Suchwörter und den Belegtext lesen zu können?
So läuft eine blinde Suche vereinfacht ab
1. Die berechtigte Person öffnet den geschützten Arbeitsbereich auf ihrem Gerät. 2. Dort wird ein eigener Schlüssel für die Suche verfügbar gemacht. 3. Die eingegebenen Suchwörter werden nach festen Regeln vereinheitlicht, etwa hinsichtlich Groß- und Kleinschreibung. 4. Aus den vereinheitlichten Wörtern entstehen geschützte, wiedererkennbare Suchmerkmale. 5. Der Dienst vergleicht diese Merkmale mit den gespeicherten Suchmerkmalen und meldet passende Datensätze zurück. 6. Erst im geschützten Arbeitsbereich werden die gefundenen Belege entschlüsselt und angezeigt.
Der Dienst übernimmt damit den Abgleich, ohne wie eine gewöhnliche Volltextsuche auf den lesbaren Belegtext zugreifen zu müssen.
Weshalb die Suche einen eigenen Schlüssel braucht
Der Schlüssel für die Suche sollte nicht zugleich der Schlüssel sein, mit dem Belege entschlüsselt werden. Beide Aufgaben haben unterschiedliche Zwecke und sollten technisch voneinander getrennt bleiben.
Diese Trennung begrenzt die Folgen eines Fehlers oder eines unzulässigen Zugriffs. Wer Suchmerkmale abgleichen kann, soll dadurch nicht automatisch Belege lesen können. Ebenso sollte die Entschlüsselung eines Belegs keinen umfassenden Zugriff auf die gesamte Suchstruktur eröffnen.
Eine [verschlüsselte Suche für Web-Belege](/de/verschluesselte-suche-fuer-web-belege) ist deshalb kein bloßer Zusatz zur Speicherung. Sie ist ein eigener Teil der Sicherheitsarchitektur und braucht klare Regeln für Schlüssel, Berechtigungen und Verarbeitung.
Welchen Schutz eine blinde Suche bietet – und welchen nicht
Eine blinde Suche verringert den notwendigen Klartextzugriff des Dienstes. Sie verhindert jedoch nicht jede Form von Rückschluss.
Je nach Umsetzung kann der Dienst beispielsweise erkennen, dass dasselbe geschützte Suchmerkmal mehrfach vorkommt oder wiederholt abgefragt wird. Auch die Zahl der Treffer und der Zeitpunkt einer Anfrage können Informationen preisgeben. Solche möglichen Rückschlüsse müssen bei der Planung ausdrücklich berücksichtigt werden.
Außerdem ist eine blinde Suche häufig weniger fehlertolerant als eine gewöhnliche Volltextsuche. Wortvarianten, Tippfehler, zusammengesetzte Begriffe und unscharfe Anfragen erfordern zusätzliche Verfahren. Jede Erweiterung sollte darauf geprüft werden, ob sie den Schutz der Inhalte abschwächt.
Gute Suchtechnik ersetzt keine guten Belege
Auch die sicherste Suche kann nur zu den Datensätzen führen, die tatsächlich vorhanden sind. Ein Treffer ist wenig wert, wenn der Beleg unvollständig, schlecht beschrieben oder nicht nachvollziehbar eingeordnet wurde.
Deshalb gehören Suche und Belegqualität zusammen. Aussagekräftige Titel, verständliche Notizen, eine klare Herkunft und ein nachvollziehbarer Zusammenhang erleichtern sowohl das Wiederfinden als auch die spätere Prüfung. Maßstab bleibt, was eine [prüffertige Belegsammlung](/de/was-eine-prueffertige-belegsammlung-enthalten-sollte) enthalten muss.
Diese Fragen sollten Anbieter beantworten können
Wer eine geschützte oder verschlüsselte Suche anbietet, sollte verständlich darlegen können:
- Wo werden die Suchwörter verarbeitet?
- Welche Informationen erhält der Dienst bei einer Anfrage?
- Kann der Dienst den Belegtext oder ein lesbares Suchverzeichnis einsehen?
- Wo liegt der Suchschlüssel, und wer kann ihn verwenden?
- Welche Rückschlüsse bleiben trotz der Schutzmaßnahmen möglich?
- Wie werden Berechtigungen entzogen und Schlüssel erneuert?
Eine belastbare Lösung beantwortet diese Fragen konkret. Bleibt unklar, was der Dienst tatsächlich sehen und ableiten kann, ist die Bezeichnung „private“ oder „verschlüsselte Suche“ allein kein ausreichender Sicherheitsnachweis.