Wie sendet man einen Benutzernamen und ein Passwort sicher?
Nicolas,
Einen Benutzernamen und ein Passwort per E-Mail, SMS oder Instant Messaging zu senden ist eine der riskantesten Praktiken in der digitalen Sicherheit. Diese Kanäle sind in der Regel nicht Ende-zu-Ende-verschlüsselt, und Nachrichten können jahrelang in Historien zugänglich bleiben. Im Jahr 2026 ermöglichen mehrere einfache und zugängliche Methoden die wirklich sichere Übertragung von Zugangsdaten.
Warum kein Passwort per E-Mail oder SMS senden?
Standard-E-Mail ist nicht Ende-zu-Ende-verschlüsselt: Der Inhalt ist für zwischengeschaltete Mailserver lesbar und kann beim Transport abgefangen werden. SMS ist noch anfälliger — sie wird im Klartext über Telefonnetze übertragen und kann über einen SS7-Angriff oder IMSI-Catcher abgefangen werden.
Außerdem bleibt ein per Nachricht gesendetes Passwort unbegrenzt lange im Gesprächsverlauf beider Parteien. Wird ein E-Mail-Konto kompromittiert — was weit häufiger passiert als man denkt — sind alle über diesen Kanal übertragenen Zugangsdaten offengelegt.
Methode 1: Einmallink-Sharing-Tools (one-time link)
Dies ist die einfachste und empfohlene Methode für Privatpersonen und Profis gleichermaßen. Diese Tools generieren einen einmaligen Link, der nur einmal geöffnet werden kann — nach dem Öffnen wird der Inhalt automatisch vernichtet.
Die meistgenutzten Dienste im Jahr 2026:
- One Time Secret: Open-Source, kostenloser Dienst zum Teilen einer verschlüsselten Nachricht über einen Einmallink mit konfigurierbarer Ablaufzeit
- Password Pusher: spezialisiert auf das Teilen von Passwörtern, Open-Source, selbst hostbar, konfigurierbar (Anzahl Aufrufe, Ablauf)
- Yopass: clientseitige Verschlüsselung, Einmallink mit Ablauf, als selbst gehostete Version verfügbar
Die Funktionsweise ist bei allen identisch: Sie geben das Passwort in die Oberfläche ein, der Dienst generiert einen verschlüsselten Einmallink, den Sie an den Empfänger übermitteln. Dieser öffnet den Link, liest das Passwort, und der Link wird sofort ungültig.
Gut zu wissen: trennen Sie bei der Übertragung immer Benutzername und Passwort. Senden Sie den Benutzernamen (oder den Dienstnamen) über einen klassischen Kanal (E-Mail, Nachricht) und übermitteln Sie nur das Passwort über den Einmallink. So ist selbst bei Abfangen des Links dieser ohne Kenntnis des zugehörigen Kontos nicht verwertbar.
Methode 2: Passwort-Manager mit integriertem Sharing
Moderne Passwort-Manager bieten integrierte Funktionen zum sicheren Teilen, ideal für den professionellen oder Team-Einsatz.
- Bitwarden: ermöglicht das Teilen von Zugangsdaten mit anderen Bitwarden-Nutzern über geteilte Sammlungen — Ende-zu-Ende-Verschlüsselung, Open-Source
- 1Password: Tresor-Sharing mit Teammitgliedern, Berechtigungskontrolle (schreibgeschützt, bearbeiten)
- Dashlane: Zugangsdaten-Sharing mit oder ohne Offenlegung des Passworts im Klartext für den Empfänger
Diese Lösungen eignen sich besonders für gemeinsam genutzte Unternehmenszugänge — ein Zugang kann jederzeit widerrufen werden, ohne dass der Empfänger das Passwort jemals im Klartext gesehen hat.
Methode 3: Ende-zu-Ende-verschlüsselte Messaging-Apps
Wenn Sie keinen Zugang zu einem dedizierten Tool haben, bleibt Ende-zu-Ende-verschlüsselte Nachrichtenübermittlung eine akzeptable Option — vorausgesetzt, Sie verwenden die richtigen Tools und löschen die Nachricht sofort nachdem der Empfänger sie erhalten hat.
- Signal: Ende-zu-Ende-Verschlüsselung standardmäßig, konfigurierbare ephemere Nachrichten, auf iOS, Android und Desktop verfügbar
- WhatsApp: E2E-Verschlüsselung basierend auf dem Signal-Protokoll, für gelegentliche Nutzung akzeptabel
- ProtonMail: Ende-zu-Ende-verschlüsselte E-Mails zwischen ProtonMail-Nutzern oder über sicheren Link für externe Empfänger
Gut zu wissen: auch bei Signal sollten Sie kein Passwort im Gesprächsverlauf hinterlassen. Aktivieren Sie ephemere Nachrichten (Funktion "Timer") für das betreffende Gespräch und bitten Sie den Empfänger, den Empfang zu bestätigen, bevor die Nachricht verschwindet.
Methode 4: mündliche oder physische Weitergabe
Für die sensibelsten Zugangsdaten bleibt die mündliche Übermittlung die sicherste Methode. Ein Telefonanruf, eine Videokonferenz oder eine persönliche Übergabe hinterlässt keinerlei digitale Spuren — vorausgesetzt, der Empfänger speichert den Zugang direkt in einem sicheren Passwort-Manager und nicht auf einem Notizzettel oder in einer Textdatei.
Was Sie niemals tun sollten
| Zu vermeidende Praxis | Risiko |
|---|---|
| Standard-E-Mail (Gmail, Outlook…) | Keine E2E-Verschlüsselung, bleibt in Historien |
| SMS | Klartext-Übertragung, Abfangen möglich, dauerhafter Verlauf |
| Slack, Teams, Discord ohne E2E-Verschlüsselung | Für den Betreiber lesbar, serverseitig gespeicherte Logs |
| Geteilte Text- oder Excel-Datei | Keine Zugriffskontrolle, kann unbegrenzt kopiert werden |
| Ungesicherter Notizzettel oder Papier | Physisch für jeden zugänglich |
| Gleiches Passwort für mehrere Dienste | Eine Kompromittierung legt alle Konten offen |
Gut zu wissen: ändern Sie das geteilte Passwort unabhängig vom verwendeten Kanal so bald wie möglich, nachdem der Empfänger es in seinem Passwort-Manager gespeichert hat. Ein zur erstmaligen Anmeldung übermitteltes temporäres Passwort sollte immer durch ein persönliches, vom Empfänger selbst generiertes Passwort ersetzt werden — dies ist die einzige Möglichkeit sicherzustellen, dass Sie keinen Zugang mehr zu den sensiblen Informationen der anderen Partei haben.