Ist es sicher, ZIP-Dateien mit Passwort per E-Mail zu senden? Bessere Alternativen

„Komprimiere die Datei als passwortgeschützte ZIP, sende sie per E-Mail und schicke das Passwort in einer zweiten Mail." Diese Praxis ist in vielen Unternehmen Standard — und sie ist grundlegend fehlerhaft.

In Japan war diese Methode so verbreitet, dass sie einen eigenen Namen hat: PPAP. Die japanische Regierung hat sie 2020 offiziell abgeschafft. Hier ist, warum jede Organisation dasselbe tun sollte.

Warum diese Methode nicht funktioniert

1. Das Passwort reist denselben Weg

ZIP-Datei und Passwort werden vom selben E-Mail-Konto an denselben Empfänger gesendet. Wird die E-Mail abgefangen, hat der Angreifer beides. Als würdest du die Tür abschließen und den Schlüssel daneben kleben.

2. Sicherheitssoftware kann den Inhalt nicht scannen

Die meisten E-Mail-Sicherheitsgateways können passwortgeschützte ZIPs nicht untersuchen. Statt die Sicherheit zu verbessern, schafft diese Praxis einen Weg für Malware, die Verteidigung zu umgehen.

3. ZIP-Verschlüsselung ist schwach

Standard-ZIP-Verschlüsselung (ZipCrypto) hat bekannte Schwachstellen. Mit den richtigen Tools kann sie in Minuten geknackt werden.

4. Schützt nicht vor falsch adressierten E-Mails

Wenn du die erste E-Mail an die falsche Person sendest, sendest du fast sicher auch die zweite dorthin.

5. Schreckliche Nutzererfahrung

• Empfänger müssen E-Mails nach dem Passwort durchsuchen
• ZIP-Dateien auf Mobilgeräten schwer zu öffnen
• Wiederholte Passworteingabe nervt

Bessere Alternativen

Option 1: Cloud-Speicher-Freigabelinks

Nutze Google Drive, OneDrive oder Dropbox zum Teilen von Dateien über Links.

Vorteile:

• Granulare Zugriffsberechtigungen
• Download-Tracking
• Zugang widerrufbar
• Malware-Scan funktioniert

Nachteile:

• Nicht alle Dienste erlauben Passwortschutz für einzelne Links
• IT-Richtlinien können externes Teilen einschränken

Option 2: Links mit Passwortschutz versehen

Schütze deinen Cloud-Link mit einem Passwort. LOCK.PUB ermöglicht es, jedem URL ein Passwort hinzuzufügen — Google Drive Links, Dropbox Links oder beliebige Download-URLs.

Vergleich	ZIP + E-Mail	LOCK.PUB + Cloud
Passwortweg	Gleich (E-Mail)	Trennbar
Malware-Scan	Blockiert	Funktioniert
Zugriffslogs	Nein	Ja
Zugang widerrufen	Unmöglich	Link löschen
Falsche Adresse	Keine Lösung	Link sofort löschen

Option 3: Business-Messenger

Teile Dateien direkt über Slack, Microsoft Teams oder andere Business-Messenger.

Option 4: Enterprise-Lösungen

Für Unternehmen mit strengen Compliance-Anforderungen bieten Box oder SharePoint vollständige Audit-Protokolle und erweiterte Zugriffskontrollen.

Das Grundprinzip: Passwort und Datei trennen

Die goldene Regel: Sende das Passwort niemals über denselben Kanal wie die Datei.

E-Mail für die Datei (oder den Link), WhatsApp für das Passwort. Noch besser: Nutze LOCK.PUB, wo das Passwort direkt im Link integriert ist — der Empfänger gibt es beim Zugriff ein, ohne dass es separat übermittelt werden muss.

Fazit

Passwortgeschützte ZIP-Dateien per E-Mail zu senden, bietet nur eine Illusion von Sicherheit und verschlechtert die Lage sogar, da die Malware-Erkennung blockiert wird.

Checkliste für sicheres Dateiteilen:

• Auf Cloud-Speicher-Freigabelinks umstellen
• Passwortschutz zu Links hinzufügen
• Zugriffsprotokolle einführen
• Neue Richtlinien für Dateifreigabe festlegen
• Team in sicheren Praktiken schulen

→ Erstelle einen passwortgeschützten Link mit LOCK.PUB