Sicherheit Compliance 12 Minuten Lesezeit

Kennwörter per E-Mail versenden – aber sicher

Klartext-Passwörter im Postfach sind ein vermeidbares Risiko. Welche Verfahren – vom Zwei-Kanal-Prinzip bis zum Zero-Knowledge-Einmal-Link – eine Zugangsweitergabe tatsächlich absichern.

Diesen Artikel teilen
Kennwörter per E-Mail versenden – aber sicher

Das alltägliche Problem hinter einer scheinbar banalen Aufgabe

Ein Kollege braucht den Zugang zum Reporting-System, ein Mandant das Passwort für ein verschlüsseltes Dokument, ein externer Dienstleister die Anmeldedaten für eine Staging-Umgebung. Die naheliegende Reaktion ist fast immer dieselbe: das Passwort in eine E-Mail tippen und auf „Senden" klicken. Dieser Reflex ist verständlich, aber er ist die Ursache eines erstaunlich großen Teils vermeidbarer Sicherheitsvorfälle.

Das Problem ist nicht die E-Mail als solche. Das Problem ist, dass ein Passwort im Klartext, einmal verschickt, seiner Kontrolle entgleitet. Es liegt anschließend an mehreren Stellen gleichzeitig, dauerhaft und durchsuchbar. Wer Zugangsdaten sicher teilen will, muss deshalb nicht die E-Mail abschaffen, sondern verstehen, was beim Versand tatsächlich geschützt ist – und was nicht. Genau darum geht es in diesem Beitrag.

Warum ein Klartext-Passwort im Postfach ein Risiko ist

Eine versendete E-Mail ist keine Punkt-zu-Punkt-Übergabe. Sie durchläuft Mailserver, wird in Postfächern gespeichert, in Backups gesichert, über Mobilgeräte synchronisiert und nicht selten an Dritte weitergeleitet. Jede dieser Stationen ist ein eigener Aufbewahrungsort. Ein Passwort, das Sie heute verschicken, kann in einem Jahr noch in einem Postfach-Archiv, einem Mailbox-Backup oder dem Cache eines längst vergessenen Mailclients liegen.

Das eigentliche Risiko des Klartext-Passworts ist also nicht der Moment des Versands, sondern seine Persistenz. Drei Eigenschaften machen die E-Mail dafür anfällig:

  • Dauerhaftigkeit: Nachrichten bleiben standardmäßig erhalten, oft jahrelang, ohne dass jemand sie aktiv aufbewahren wollte.
  • Vervielfältigung: Sender- und Empfängerpostfach, Server, Backups, Weiterleitungen – dasselbe Geheimnis existiert an vielen Orten zugleich.
  • Durchsuchbarkeit: Wer ein Postfach kompromittiert, sucht gezielt nach Begriffen wie „Passwort", „Zugang" oder „Login" und findet sie zuverlässig.

Kompromittiert ein Angreifer ein einziges Postfach – etwa durch Phishing oder ein wiederverwendetes Passwort –, erbt er nicht nur die aktuelle Korrespondenz, sondern jedes jemals im Klartext versendete Geheimnis. Das ist der Mechanismus, durch den aus einem einzelnen kompromittierten Account eine Kette weiterer Übernahmen wird.

Was TLS schützt – und was nicht

An dieser Stelle kommt regelmäßig der Einwand: „Aber unsere E-Mail ist doch verschlüsselt." Das ist meist nur halb richtig. Verbreitet ist die Transportverschlüsselung (TLS), die die Verbindung zwischen Mailservern absichert. Sie schützt die Nachricht, während sie unterwegs ist – also gegen das Mitlesen auf der Leitung.

TLS schützt jedoch nicht den ruhenden Inhalt. Sobald die E-Mail in einem Postfach angekommen ist, liegt sie dort lesbar – für den Empfänger, für jeden, der Zugriff auf dieses Postfach erlangt, und für die Systeme, die es speichern und sichern. Transportverschlüsselung ist notwendig, aber sie ist keine Ende-zu-Ende-Verschlüsselung und löst das Persistenzproblem nicht. Ein Passwort, das im Klartext im Nachrichtentext steht, ist nach der Zustellung genauso exponiert wie zuvor.

Chat-Tools sind keine sichere Alternative

Wer Passwörter aus diesem Grund nicht per Mail, sondern über Slack, Microsoft Teams oder WhatsApp verschickt, verschiebt das Problem nur. Unternehmens-Chats protokollieren Nachrichten standardmäßig, halten sie durchsuchbar vor und unterliegen administrativen Zugriffs- und Exportmöglichkeiten. Ein Passwort in einem Teamkanal ist für alle aktuellen und künftigen Kanalmitglieder sichtbar; ein Passwort in einer Direktnachricht bleibt im Verlauf, bis es jemand aktiv löscht – sofern die Aufbewahrungsrichtlinie das überhaupt zulässt.

Auch dort, wo Transportverschlüsselung besteht, bleibt der Inhalt serverseitig oder im Verlauf gespeichert. Die Faustregel ist deshalb unabhängig vom Kanal: Ein Geheimnis, das in einem durchsuchbaren, dauerhaften Verlauf landet, ist kein Geheimnis mehr.

Das Grundprinzip sicherer Passwortübergabe

Aus den genannten Schwächen lässt sich ableiten, was eine sichere Passwortübergabe leisten muss. Drei Prinzipien tragen die meisten geeigneten Verfahren:

  1. Trennung. Das Geheimnis und der Kontext, zu dem es gehört, reisen nicht gemeinsam. Wer Login-Name und Passwort über denselben Kanal schickt, übergibt einem Angreifer beides auf einmal.
  2. Vergänglichkeit. Das Geheimnis existiert nur so lange, wie es gebraucht wird. Nach Abruf oder Ablauf verschwindet es, statt unbegrenzt liegen zu bleiben.
  3. Zero-Knowledge. Der Dienst, über den die Übergabe läuft, kann den Inhalt selbst nicht lesen. Das Geheimnis wird verschlüsselt, bevor es den Absender verlässt, und nur der Empfänger besitzt den Schlüssel.

Diese drei Prinzipien stehen nicht im Widerspruch zur E-Mail – sie ergänzen sie. Die E-Mail bleibt der bequeme Übergabekanal; sie transportiert nur nicht mehr das Passwort selbst, sondern einen Verweis darauf, der für sich genommen wertlos ist, sobald er einmal eingelöst oder abgelaufen ist.

Die Verfahren im Vergleich

Es gibt nicht das eine richtige Verfahren, sondern eine Eignung je nach Kontext. Die folgende Übersicht ordnet die gängigen Optionen ein.

Verfahren Schützt ruhenden Inhalt Vergänglich Zero-Knowledge möglich Praktischer Aufwand
Passwort im E-Mail-Klartext nein nein nein sehr gering
Passwort im Chat (Slack/Teams) nein bedingt nein sehr gering
Zwei-Kanal-Prinzip (z. B. Mail + Telefon) teilweise nein nein gering
Passwortgeschütztes Archiv (z. B. verschlüsseltes ZIP) ja nein ja mittel
Passwort-Manager mit Freigabe ja bedingt je nach Anbieter mittel
Einmal-Link mit Zero-Knowledge ja ja ja gering

Zwei-Kanal-Prinzip

Die klassische, aufwandsarme Verbesserung ist die Trennung über zwei Kanäle: Der Login-Name geht per E-Mail, das Passwort über einen anderen Weg, etwa telefonisch oder per Kurznachricht. Ein Angreifer, der nur das Postfach kontrolliert, hält dann lediglich eine Hälfte in der Hand.

Das Verfahren ist besser als nichts, hat aber Grenzen. Das telefonisch durchgegebene Passwort kann notiert werden; die Kurznachricht bleibt auf dem Gerät; und die Methode skaliert schlecht, wenn Sie regelmäßig oder an viele Empfänger Zugangsdaten übergeben. Es behebt die Trennung, nicht aber die Persistenz.

Passwort-Manager mit Freigabefunktion

Innerhalb eines Teams oder einer Organisation ist ein Passwort-Manager das robusteste Mittel. Lösungen wie Bitwarden, 1Password oder ein gemeinsam genutzter KeePass-Datenbestand erlauben es, Zugangsdaten freizugeben, ohne sie je im Klartext zu versenden. Der Empfänger sieht das Passwort in einem verschlüsselten Tresor, nicht in einem Postfach.

Die Einschränkung ist organisatorischer Natur: Diese Freigabe funktioniert zuverlässig nur, wenn beide Seiten denselben oder einen kompatiblen Manager nutzen. Für die Übergabe an externe Mandanten, Behörden oder einmalige Kontakte, die kein gemeinsames System haben, ist der Passwort-Manager deshalb häufig kein gangbarer Weg.

Einmal-Links

Hier setzt der Einmal-Link an (englisch one-time link). Statt das Passwort selbst zu versenden, hinterlegen Sie es in einem Dienst, der dafür einen einmalig abrufbaren Link erzeugt. Diesen Link schicken Sie per E-Mail. Beim ersten Aufruf wird das Geheimnis angezeigt – und anschließend gelöscht. Ein zweiter Aufruf läuft ins Leere.

Daraus folgt eine nützliche Eigenschaft: Erreicht der Empfänger einen bereits verbrauchten Link, ist das ein Warnsignal. Entweder wurde das Geheimnis bereits abgerufen, oder jemand anderes ist Ihnen zuvorgekommen. Der Einmal-Link macht eine Kompromittierung also nicht nur unwahrscheinlicher, er macht sie sichtbar. Wie diese Mechanik im Detail funktioniert, behandelt der Beitrag Einmal-Links: Funktionsweise und Einsatzszenarien ausführlicher.

Ende-zu-Ende-Verschlüsselung und Zero-Knowledge

Ein Einmal-Link allein ist noch keine vollständige Antwort. Entscheidend ist, ob der Anbieter des Dienstes das hinterlegte Geheimnis selbst lesen kann. Bei einem Zero-Knowledge-Verfahren ist das ausgeschlossen: Das Passwort wird bereits im Browser des Absenders verschlüsselt, bevor es übertragen wird. Der zur Entschlüsselung nötige Schlüssel ist Teil des Links – technisch im sogenannten Fragment hinter dem Rautezeichen, das an den Server gar nicht erst übermittelt wird. Der Dienst speichert also nur einen für ihn unlesbaren Chiffretext.

Die praktische Konsequenz ist weitreichend: Selbst wenn der Dienstanbieter kompromittiert würde, ließe sich aus den gespeicherten Daten kein Passwort rekonstruieren, weil der Schlüssel dort nie vorlag. Was Zero-Knowledge konkret bedeutet und wo seine Grenzen liegen, vertieft der Beitrag Zero-Knowledge erklärt.

Crymbl kombiniert diese Bausteine: Ein im Browser verschlüsseltes Geheimnis, ein Einmal-Link zur Übergabe und ein selbstzerstörender Abruf. Die E-Mail transportiert dann nur noch den Link – das Passwort selbst war zu keinem Zeitpunkt im Klartext im Postfach.

Den Versand ganz vermeiden, wo es geht

Die sicherste Übergabe ist die, die gar nicht stattfindet. Bevor Sie über das „Wie" nachdenken, lohnt die Frage, ob ein Passwortversand überhaupt nötig ist:

  • Einladungs- und Registrierungsflüsse: Viele Systeme erlauben es, neue Nutzer per Einladungslink anzulegen, bei dem der Empfänger sein Passwort selbst setzt. Dann verlässt nie ein Passwort den Absender.
  • Föderierte Anmeldung (SSO): Wo Single Sign-on verfügbar ist, entfällt die separate Passwortübergabe vollständig.
  • Erzwungener Wechsel beim ersten Login: Lässt sich ein Initialpasswort nicht vermeiden, sollte es nur kurz gültig und beim ersten Anmelden zwingend zu ändern sein.

Diese Vorkehrungen verschieben das Geheimnis aus der Übertragung heraus. Was nie übertragen wird, kann unterwegs auch nicht verloren gehen.

Kennwörter DSGVO-konform versenden

Die Art und Weise der Passwortübergabe ist nicht nur eine technische, sondern auch eine datenschutzrechtliche Frage. Zugangsdaten schützen in aller Regel den Zugriff auf personenbezogene Daten; teils sind sie selbst personenbezogen. Damit fällt ihr Schutz unmittelbar unter die DSGVO.

Maßgeblich ist Artikel 32 DSGVO, der für die Verarbeitung personenbezogener Daten geeignete technische und organisatorische Maßnahmen verlangt, angemessen zum jeweiligen Risiko – ausdrücklich einschließlich der Verschlüsselung, wo sie angemessen ist. Ein Passwort im Klartext über mehrere Postfächer und Backups zu streuen, lässt sich vor diesem Maßstab schwer als angemessene Maßnahme begründen. Hinzu kommt die Rechenschaftspflicht: Verantwortliche müssen nicht nur angemessen handeln, sondern dies auch belegen können.

Das BDSG konkretisiert die DSGVO für Deutschland, ohne an diesem Grundsatz zu rütteln. Praxisnähe bietet zudem der BSI IT-Grundschutz, der die geschützte Handhabung und Übermittlung von Authentisierungsmitteln als Standardanforderung beschreibt. Für die Übergabe von Zugangsdaten lässt sich daraus eine klare Linie ableiten: vertraulich übertragen, Geltungsdauer begrenzen, unnötige Kopien vermeiden. Verfahren mit Vergänglichkeit und Zero-Knowledge zahlen genau auf diese Anforderungen ein. Den breiteren Rahmen behandelt der Beitrag DSGVO-konformer Informationsaustausch.

Checkliste: Zugangsdaten sicher übergeben

  • Prüfen, ob sich der Passwortversand vermeiden lässt (Einladungslink, SSO, erzwungener Wechsel).
  • Login-Name und Passwort niemals über denselben Kanal senden.
  • Kein Passwort im Klartext in E-Mail, Slack, Teams oder anderen durchsuchbaren Verläufen.
  • Für die Übergabe einen Einmal-Link mit begrenzter Gültigkeit verwenden.
  • Auf ein Zero-Knowledge-Verfahren achten, bei dem der Dienst den Inhalt nicht lesen kann.
  • Empfänger anweisen, einen bereits verbrauchten Link als Warnsignal zu behandeln.
  • Initialpasswörter kurz gültig halten und beim ersten Login zum Wechsel zwingen.
  • Vorgang nachvollziehbar dokumentieren, um die Rechenschaftspflicht zu erfüllen.

Häufige Fehler

Auch mit guten Werkzeugen unterlaufen typische Fehler. Der häufigste ist, Link und erklärenden Kontext zu vermischen – etwa „Hier das Passwort für den Admin-Account: [Link]". Damit verrät die E-Mail, wozu das Geheimnis gehört, selbst wenn der Link bereits verbraucht ist. Halten Sie die Begleitnachricht knapp und kontextarm.

Ein zweiter Fehler ist eine zu lange Gültigkeit. Ein Einmal-Link, der wochenlang abrufbar bleibt, untergräbt das Prinzip der Vergänglichkeit. Wählen Sie die kürzeste Frist, die der Empfänger realistisch einhalten kann. Der dritte Fehler ist die stillschweigende Annahme, der Empfänger gehe ebenso sorgfältig vor – etwa, indem er den abgerufenen Inhalt nicht doch wieder in eine E-Mail kopiert. Eine kurze Anweisung zur Handhabung gehört deshalb zur Übergabe dazu. Der Schutz vor solchen Mustern ist Thema von Schutz vor versehentlicher Offenlegung.

Häufige Fragen

Ist es sicher, Passwörter per E-Mail zu verschicken? Ein Passwort im Klartext per E-Mail ist nicht sicher, weil es dauerhaft, vervielfältigt und durchsuchbar in mehreren Postfächern und Backups verbleibt. Sicher wird der Versand erst, wenn die E-Mail statt des Passworts nur einen Einmal-Link transportiert, hinter dem das Geheimnis verschlüsselt und vergänglich hinterlegt ist.

Darf ich Passwörter über Slack oder Microsoft Teams senden? Davon ist abzuraten. Diese Werkzeuge speichern Nachrichten standardmäßig, halten sie durchsuchbar vor und unterliegen administrativen Zugriffen. Ein Passwort in einem Kanal oder Verlauf bleibt sichtbar, bis es aktiv entfernt wird – falls die Aufbewahrungsrichtlinie das zulässt.

Reicht es, Login und Passwort über zwei verschiedene Kanäle zu senden? Die Trennung ist eine sinnvolle Verbesserung, behebt aber nur einen Teil des Problems. Das über den zweiten Kanal versendete Passwort kann weiterhin notiert oder gespeichert werden. In Kombination mit einem vergänglichen, verschlüsselten Verfahren entfaltet die Trennung ihren vollen Wert.

Was ist ein Einmal-Link? Ein Einmal-Link verweist auf ein einmalig abrufbares Geheimnis. Beim ersten Aufruf wird der Inhalt angezeigt und anschließend gelöscht; jeder weitere Aufruf läuft ins Leere. Dadurch ist ein bereits verbrauchter Link ein Hinweis darauf, dass das Geheimnis abgerufen wurde.

Was bedeutet Zero-Knowledge in diesem Zusammenhang? Zero-Knowledge bedeutet, dass der vermittelnde Dienst das Geheimnis selbst nicht lesen kann. Die Verschlüsselung erfolgt vor der Übertragung, und der Schlüssel verbleibt im Link, ohne an den Server übermittelt zu werden. Selbst bei einer Kompromittierung des Dienstes ließe sich der Inhalt nicht rekonstruieren.

Wie versende ich Zugangsdaten DSGVO-konform? Übertragen Sie sie vertraulich, begrenzen Sie ihre Geltungsdauer, vermeiden Sie überflüssige Kopien und dokumentieren Sie den Vorgang. Artikel 32 DSGVO verlangt angemessene technische und organisatorische Maßnahmen; vergängliche, verschlüsselte Verfahren erfüllen diesen Anspruch deutlich besser als ein Klartext-Versand.

Fazit

„Kennwörter per E-Mail versenden" muss kein Widerspruch zu Sicherheit sein – vorausgesetzt, die E-Mail transportiert nicht mehr das Passwort, sondern nur noch einen Verweis darauf. Das eigentliche Risiko liegt nie im Versand selbst, sondern in der Persistenz des Klartextes über viele Aufbewahrungsorte hinweg.

Wer Trennung, Vergänglichkeit und Zero-Knowledge zusammenführt, dreht dieses Risiko um: Das Geheimnis existiert nur so lange wie nötig, ist für den vermittelnden Dienst unlesbar und macht einen unbefugten Zugriff sichtbar. Die bequeme E-Mail bleibt – die Verwundbarkeit verschwindet.

Diesen Artikel teilen
Newsletter

Immer auf dem Laufenden.

Neue Artikel zu Datenschutz, Compliance und sicherer Datenweitergabe – direkt in Ihr Postfach. Kein Spam, jederzeit abbestellbar.

Alle Funktionen entdecken

Blog-Updates erhalten

Melden Sie sich an und verpassen Sie keinen neuen Beitrag.

Mit der Anmeldung stimmen Sie unserer Datenschutzerklärung zu.