Support
Start Blog Sicherheit
Sicherheit 5 min Lesezeit

Verschlüsselte Nachricht senden, so funktioniert sichere Kommunikation

Du hast schon einmal ein Passwort per WhatsApp verschickt. Ich auch. Irgendwann fiel mir auf: Das Passwort liegt da einfach rum, im Chatverlauf.

Du hast schon mal ein Passwort per WhatsApp verschickt. Ich auch. Irgendwann ist mir aufgefallen: das Passwort liegt da. Im Chatverlauf, auf dem Gerät der anderen Person, vermutlich auch im Cloud-Backup. Genau deshalb habe ich in den letzten Wochen ein eigenes Tool gebaut: kostenlos, ohne Werbung, ohne Anmeldung. Es heißt secret.kuljkin.de und du kannst es ab sofort nutzen.

Schnell-Überblick
  • Sensible Infos wie Passwörter, PINs oder Zugangsdaten gehören nicht in Chatverläufe
  • WhatsApp und E-Mail speichern Nachrichten dauerhaft, oft auch in Cloud-Backups
  • Mein Tool [secret.kuljkin.de](https://secret.kuljkin.de/) erstellt verschlüsselte Einmal-Links
  • Nach dem ersten Öffnen wird die Nachricht serverseitig gelöscht, kein Verlauf, keine Kopie
  • AES-256-Verschlüsselung, DSGVO-konform, kostenlos, kein Account nötig
Eine Nachricht mit einem Passwort darin muss nicht länger existieren als nötig. Der Gedanke, der mich zum Bauen gebracht hat

Warum reicht WhatsApp nicht?

WhatsApp ist praktisch und Ende-zu-Ende-verschlüsselt. Das Problem ist nicht der Transportweg, sondern die Speicherung. Nach dem Versenden bleibt die Nachricht im Chat. Auf deinem Gerät, auf dem Gerät der anderen Person, oft auch im iCloud- oder Google-Drive-Backup. Wer das Backup wiederherstellt, sieht das Passwort. Wer das Handy verliert und ein neues bekommt, hat das Passwort wieder mit.

Signal ist deutlich besser, weil es Backups streng kontrolliert. Aber: beide Seiten brauchen die App. Dein Steuerberater hat Signal vermutlich nicht installiert. Und auch dort bleiben Nachrichten im Verlauf, bis du sie aktiv löschst.

E-Mail ist ohne PGP oder S/MIME im Klartext unterwegs und liegt danach jahrelang im Postfach. Praktisch jeder Mailclient indexiert E-Mails durchsuchbar.

Wofür mein Tool gut ist

Typische Anwendungsfälle
  • WLAN-Passwort an Gäste: einmal geöffnet, danach weg
  • Zugangsdaten an Steuerberater oder externe Dienstleister: kein ewiger E-Mail-Verlauf
  • Temporäre Logins für ein Übergabe-Setup oder einen Vertretungsfall
  • API-Keys oder Datenbank-Zugänge in einem kleinen Team
  • Notfall-Passwörter die erst ab einem bestimmten Datum abrufbar sind

Es geht nicht darum, jede Alltags-Nachricht zu verschlüsseln. Es geht um den einen Moment, wo du gerade ein Passwort tippst und kurz nachdenkst: “muss das wirklich für die nächsten zehn Jahre in unserem Chat liegen?”. Die Antwort ist: nein. Genau dafür ist das Tool.

So funktioniert es

  1. secret.kuljkin.de aufrufenKeine Anmeldung, kein Account, einfach im Browser öffnen.
  2. Nachricht oder Datei eingebenText bis 10.000 Zeichen, optional eine Datei bis 40 MB anhängen.
  3. Optionen wählenWie viele Aufrufe, wie lange gültig, optional ein zusätzliches Passwort, optional eine Lesebestätigung.
  4. Link teilenPer WhatsApp, E-Mail, SMS, Slack oder als QR-Code. Der Link enthält den Schlüssel im URL-Fragment, der Server sieht ihn nie.
  5. Empfänger öffnet einmalNach dem ersten Aufruf wird die Nachricht serverseitig gelöscht. Kein Verlauf, keine Kopie.
Mein Tipp aus der Praxis

Wenn du wirklich sensible Daten teilst, nutze die Passwort-Option. Das Passwort sendest du dann auf einem zweiten Kanal, also Telefon, SMS oder persönlich. Damit hast du eine echte Zwei-Wege-Sicherheit: ohne Link kein Zugriff, ohne Passwort kein Inhalt.

Was unter der Haube läuft

Wer es technisch genauer wissen will:

  • AES-256-Verschlüsselung im Browser, der Schlüssel liegt im URL-Fragment (alles nach dem #) und wird nie an den Server geschickt
  • Selbstzerstörend nach 1 bis 10 Aufrufen, einstellbar
  • Ablaufdatum zwischen einer Stunde und sieben Tagen
  • Optionales Passwort als zweiter Layer
  • Freigabedatum, Link wird erst ab einem bestimmten Zeitpunkt eingelöst
  • Dateianhänge bis 40 MB
  • QR-Code für physische Übergaben
  • Lesebestätigung, optional ein Status-Link der dir zeigt ob und wann geöffnet wurde
  • IP-Adressen nur als anonymer Hash, nach einer Stunde gelöscht, ausschließlich fürs Rate-Limiting
  • Hosting in Deutschland, DSGVO-konform
  • Keine Cookies, kein Tracking, kein Account

Wenn der Link abgefangen wird, kann die abfangende Person die Nachricht öffnen, vorausgesetzt der Link wurde noch nicht eingelöst. Genau deshalb ist die Passwort-Option sinnvoll: sie macht aus einem Ein-Wege-Schutz einen Zwei-Wege-Schutz. Plus du siehst über die Lesebestätigung sofort, falls der Empfänger meldet “habe nichts bekommen”, obwohl die Nachricht schon abgerufen wurde.

Vorsicht

Wenn der Link nur einmal abrufbar ist und vor dem Empfänger bereits geöffnet wurde, ist die Nachricht weg. Der Empfänger sieht eine Fehlermeldung. Das ist Feature, nicht Bug: dann weißt du, dass der Link abgefangen wurde, und du kannst das Passwort sofort ändern.

FAQ

Ist das Tool wirklich kostenlos?

Ja, vollständig. Kein Freemium, keine Anmeldung, keine versteckten Kosten. Wenn du es nützlich findest, empfiehl es weiter.

Was passiert, wenn der Empfänger den Link nicht öffnet?

Die Nachricht wird automatisch gelöscht, sobald das Ablaufdatum erreicht ist, spätestens nach sieben Tagen. Über den optionalen Status-Link siehst du jederzeit, ob sie schon gelesen wurde.

Kann ich den Link nach dem Versenden noch zurückziehen?

Aktuell nicht manuell. Praktisch heißt das: ohne den vollständigen Link mit Schlüssel kann niemand die Nachricht lesen. Das Ablaufdatum sorgt zusätzlich dafür, dass sie nach spätestens sieben Tagen automatisch verschwindet.

Ist das DSGVO-konform?

Ja. Server in Deutschland, keine personenbezogenen Daten, keine Cookies, kein Tracking. IP-Adressen werden nur als anonymer Hash für maximal eine Stunde gespeichert, ausschließlich fürs Rate-Limiting gegen Missbrauch.

Wie sicher ist AES-256 wirklich?

AES-256 ist der aktuelle Goldstandard, eingesetzt von Behörden, Banken und Militärorganisationen weltweit. Ein Brute-Force-Angriff dauert nach heutigem Stand der Technik länger als das Universum alt ist. Praktisch unknackbar.

Kannst du selbst die Nachrichten lesen?

Nein. Der Schlüssel liegt im URL-Fragment, also dem Teil hinter dem #. Der wird vom Browser nicht an den Server geschickt. Auf dem Server liegt nur der verschlüsselte Inhalt. Ohne den Schlüssel ist das mathematisch unmöglich zu lesen, auch für mich nicht.

Zusammengefasst

Sensible Infos einmal teilen, danach weg

  • Passwörter, PINs und Zugangsdaten gehören nicht dauerhaft in Chatverläufe
  • secret.kuljkin.de erstellt verschlüsselte Einmal-Links, kein Account, kein Download
  • AES-256-Verschlüsselung, Schlüssel verlässt nie deinen Browser
  • Nach dem Öffnen serverseitig gelöscht, optional mit Passwort und Lesebestätigung
  • Hosting in Deutschland, DSGVO-konform, kostenlos und ohne Werbung

Probier es einmal aus, am besten mit einer harmlosen Nachricht an dich selbst. Du wirst merken, wie schnell und unkompliziert das geht. Beim nächsten WLAN-Passwort denkst du dann automatisch dran. Und falls du beim Aufsetzen einer richtigen Passwort-Strategie für deinen Haushalt oder dein Selbständigen-Setup Hilfe brauchst, oder deine E-Mail-Sicherheit für eine eigene Domain sauber einrichten willst, melde dich gerne.

Dein Thema?

Schreib mir kurz, ich höre zu.

Wenn dich das Thema betrifft oder du eine konkrete Frage hast, melde dich. Ich höre zu, frage nach, und überlege gemeinsam mit dir was wirklich Sinn macht.

Kontakt aufnehmen
Weiterlesen

Aus dem Blog

Smart Home

Videoüberwachung zuhause: Was wirklich schützt, und was nur so aussieht
Cloud & Backup

NAS + Managed Cloud: Warum doppeltes Backup kein Luxus ist
Sicherheit

So schützt du deine Kinder im Internet