Skip to content
reader.me

PDF-Verschlüsselung erklärt: Was AES-128 wirklich schützt

Was es bedeutet, ein PDF zu verschlüsseln, wie AES-128 funktioniert, der Unterschied zwischen Öffnungspasswort und Berechtigungen, und was Passwortschutz abdeckt und was nicht.

AG Antonia González · 14. Juli 2026 · 7 Min. Lesezeit

Sie setzen ein Passwort auf ein PDF, und die Datei fühlt sich jetzt sicher an. Aber was hat das Passwort eigentlich getan? PDF-Verschlüsselung wird herumgeworfen wie ein Zauberwort, und die meisten Menschen erfahren nie, was sie abdeckt oder wo sie aufhört. Hier ist die einfache Version.

Was „ein PDF verschlüsseln” bedeutet

Ein PDF ist ein Behälter aus Objekten: Text, Bilder, Schriften, Seitenlayout. Wenn Sie es verschlüsseln, werden die Bytes dieses Inhalts mit einer Chiffre verwürfelt, und der einzige Weg, sie wieder zu lesen, ist mit dem richtigen Schlüssel. Öffnen Sie die Datei vor der Verschlüsselung in einem Texteditor, und Sie können Zeichenketten lesbaren Inhalts erkennen. Verschlüsseln Sie sie, und derselbe Bereich wird zu Rauschen.

Das Passwort, das Sie eintippen, ist nicht der Schlüssel selbst. Das PDF-Format führt Ihr Passwort durch einen Schlüsselableitungsschritt, der den eigentlichen Verschlüsselungsschlüssel erzeugt. Deshalb ist ein längeres, weniger naheliegendes Passwort wichtig: Die Datei ist nur so schwer zu knacken wie das Passwort, das den Schlüssel speist.

AES-128 ist der Motor — und das ist die ehrliche Zahl

Das Tool PDF schützen von reader.me verschlüsselt mit AES-128. Nicht AES-256. Wir nennen Ihnen lieber die echte Zahl, als eine größere auf ein Banner zu drucken.

AES steht für Advanced Encryption Standard, die Chiffre, auf die sich Regierungen und Banken vor Jahren geeinigt haben. Die 128 ist die Schlüssellänge in Bit. Ein 128-Bit-Schlüssel hat 2^128 mögliche Werte, eine Zahl, die so groß ist, dass ihn per Brute Force zu knacken kein realistischer Angriff mit irgendeiner existierenden Hardware ist. AES-256 verwendet einen längeren Schlüssel, und man nimmt oft an, das mache es „doppelt so sicher”. So funktioniert es nicht. AES-128 hat keinen praktischen Bruch. Der Schwachpunkt eines passwortgeschützten PDFs ist fast nie die Chiffre. Es ist das Passwort.

Wenn Sie die tiefere Mechanik möchten, geht der Glossareintrag zur AES-Verschlüsselung Schlüssellängen und Runden durch, ohne den Marketing-Lack.

Wenn Ihnen also jemand ein PDF reicht, das mit einem sechsbuchstabigen Wörterbuchwort gesperrt ist, würde AES-256 es nicht retten. Ein Angreifer greift nicht die Mathematik an. Er rät das Passwort. Eine lange Passphrase auf AES-128 schlägt jedes Mal ein schwaches Passwort auf AES-256.

Öffnungspasswort vs. Berechtigungen

PDF-Sicherheit gibt es in zwei Geschmacksrichtungen, und sie zu verwechseln führt zu einem falschen Gefühl von Sicherheit.

Ein Öffnungspasswort (manchmal Benutzerpasswort genannt) ist das echte Schloss. Ohne es lässt sich die Datei gar nicht öffnen. Der Inhalt bleibt auf der Festplatte verschlüsselt, und niemand liest ein Wort, bis das Passwort eingegeben ist. Das ist der Schutz, der zählt.

Ein Berechtigungspasswort (das Eigentümerpasswort) ist etwas anderes. Die Datei öffnet sich für jeden, trägt aber Flags, die das Anzeigeprogramm bitten, Drucken, Kopieren oder Bearbeiten zu blockieren. Der Haken: Diese Flags sind Bitten, keine Mauern. Das Dokument ist technisch lesbar, und reichlich Software ignoriert die Einschränkungen vollständig. Berechtigungen sind eine Höflichkeitsebene. Sie halten einen ehrlichen Nutzer vom Drucken ab, aber sie stoppen niemanden, der entschlossen ist, den Text herauszuholen.

Wenn Ihr Ziel also ist, ein Dokument privat zu halten, wollen Sie ein Öffnungspasswort. Das ist es, was den Inhalt verschlüsselt. Berechtigungen allein lassen die Datei für alles lesbar, das sich entscheidet, sie nicht zu beachten.

Was es schützt, und was nicht

Passwortschutz mit AES-128 erledigt eine bestimmte Aufgabe gut. Er macht die Datei nutzlos für jeden, der eine Kopie bekommt, aber das Passwort nicht hat. Eine E-Mail wird an die falsche Person weitergeleitet, ein USB-Stick geht verloren, ein geteiltes Laufwerk ist zu offen. In all dem ist ein verschlüsseltes PDF eine verschlossene Kiste. Das ist echter Schutz für eine Rechnung, einen Vertrag, eine Krankenakte oder einen Ausweis-Scan.

Was es nicht tut:

  • Es schützt keine Datei, die bereits geöffnet ist. Sobald jemand das Passwort eintippt, wird der Inhalt im Arbeitsspeicher und auf dem Bildschirm entschlüsselt. Er kann ihn per Screenshot festhalten, kopieren oder eine ungeschützte Kopie speichern.
  • Es verbirgt nicht, dass die Datei existiert, oder in manchen Fällen ihren Namen, ihre Größe oder ihre Metadaten.
  • Es repariert kein schwaches Passwort. Kurze oder gängige Passwörter lassen sich offline erraten, und keine Chiffre rettet ein schlechtes.
  • Es überlebt nicht, mit dem Passwort geteilt zu werden. Wenn Sie beides in denselben Verlauf mailen, haben Sie die Tür verschlossen und den Schlüssel daran geklebt. Schicken Sie das Passwort über einen separaten Kanal, etwa per Anruf.

Und wenn eine Datei bereits gesperrt auf Ihrem Tisch landet und Sie das Passwort haben, können Sie es mit PDF entsperren lokal entfernen, damit sich das Dokument leichter bearbeiten lässt — ohne Upload.

Es passiert auf Ihrem Rechner

Hier ist der Teil, der für ein datenschutzfreundliches Tool zählt. All diese Verschlüsselung läuft in Ihrem Browser. Ihr PDF wird in den Arbeitsspeicher eingelesen, direkt auf Ihrem Gerät mit AES-128 verschlüsselt und als neue gesperrte Datei wieder herausgeschrieben, die Sie herunterladen. Es wird nie an einen Server gesendet. Das Passwort verlässt Ihren Rechner nie, weil es nirgendwohin gibt, wo es hingehen könnte.

Das ist der ganze Sinn. Der privateste Weg, ein Dokument zu verschlüsseln, ist, es überhaupt nie reisen zu lassen. Sperren Sie es dort, wo es liegt, und teilen Sie dann die gesperrte Kopie zu Ihren eigenen Bedingungen.