Jep, mir ist bewusst, dass zumindest kurz eine unverschlüsselte Represäntation des Strings im Speicher liegt. Schließlich muss der String ja irgendwie ins Programm und auch irgendwie wieder raus.

Der String müsste also "sofort" wieder im Speicher genullt werden. Je kürzer die Zeitspanne, desto weniger wahrscheinlich ist das pagen des unverschlüsselten Strings. Kann man denn davon ausgehen, dass wenn man den unverschlüsselten String mit beliebigen Zeichen überschreibt, dass es dann auch tatsächlich keine Kopie mehr vom alten Inhalt im Speicher gibt?

Angenommen das würde so klappen, müsste man sich noch was einfallen lassen, wie man den Schlüssel schützt.