PDF unter Linux mit Passwort schützen – qpdf und Ghostscript im Terminal

qpdf ist das empfohlene Tool für PDF-Verschlüsselung unter Linux. Installation: sudo apt install qpdf (Ubuntu/Debian) oder sudo dnf install qpdf (Fedora). Für AES-256-Verschlüsselung mit Öffnungspasswort: qpdf --encrypt BENUTZER_PASSWORT EIGENTUMER_PASSWORT 256 -- eingabe.pdf ausgabe.pdf. Ersetzen Sie BENUTZER_PASSWORT durch das Passwort zum Öffnen und EIGENTUMER_PASSWORT durch das Eigentümer-Passwort für die Berechtigungsverwaltung. Die Zahl 256 steht für AES-256-Verschlüsselung. Für ältere Kompatibilität können Sie 128 (AES-128) oder 40 (RC4-40, nicht empfohlen) verwenden.

1. 1qpdf installieren: sudo apt install qpdf
2. 2PDF mit AES-256 schützen: qpdf --encrypt PASSWORT EIGENTUMER 256 -- eingabe.pdf ausgabe.pdf
3. 3Drucken verbieten: qpdf --encrypt PASSWORT EIGENTUMER 256 --print=none -- eingabe.pdf ausgabe.pdf
4. 4Kopieren verbieten: qpdf --encrypt PASSWORT EIGENTUMER 256 --modify=none --extract=n -- eingabe.pdf ausgabe.pdf
5. 5Schutz entfernen (Passwort bekannt): qpdf --decrypt --password=PASSWORT eingabe.pdf ausgabe.pdf

qpdf ermöglicht detaillierte Steuerung der Dokumentberechtigungen. Folgende Optionen sind verfügbar: --print=none (Drucken verbieten), --print=low (nur niedrige Qualität erlauben), --modify=none (Bearbeitung verbieten), --extract=n (Textextrahierung verbieten). Ein Beispiel für maximale Einschränkungen: qpdf --encrypt PASSWORT OWNER 256 --print=none --modify=none --extract=n -- eingabe.pdf nur-lesen.pdf. Für ein Dokument, das nur angesehen, aber nicht gedruckt oder kopiert werden darf, verwenden Sie: qpdf --encrypt PASSWORT OWNER 256 --print=none --extract=n -- eingabe.pdf eingeschraenkt.pdf.

Ghostscript kann ebenfalls PDFs verschlüsseln, allerdings mit etwas weniger komfortabler Syntax. Für AES-128-Verschlüsselung: gs -dBATCH -dNOPAUSE -q -sDEVICE=pdfwrite -sOwnerPassword=EIGENTUMER -sUserPassword=BENUTZER -dEncryptionR=3 -dKeyLength=128 -sOutputFile=ausgabe.pdf eingabe.pdf. Für AES-256 verwenden Sie -dEncryptionR=6 -dKeyLength=256. Ghostscript ist für Verschlüsselungsaufgaben weniger bevorzugt als qpdf, da die Syntax komplexer ist. Verwenden Sie Ghostscript für Verschlüsselung nur, wenn Sie es bereits für andere Zwecke in Ihrem Workflow nutzen und nicht noch ein weiteres Tool installieren möchten.

Das Einbetten von Passwörtern direkt in Skripte ist eine Sicherheitslücke – Passwörter können aus der Shell-History, Log-Dateien oder Prozesslisten ausgelesen werden. Bessere Praktiken: Lesen Sie Passwörter aus Umgebungsvariablen: qpdf --encrypt $PDF_PASSWORD $PDF_OWNER_PW 256 -- eingabe.pdf ausgabe.pdf. Oder lesen Sie aus einer Passwort-Datei mit eingeschränkten Berechtigungen (chmod 600): PASSWORD=$(cat /etc/pdf-keys/geheim.txt). In produktiven Umgebungen sollten Sie einen Passwort-Manager oder ein Secrets-Management-System wie HashiCorp Vault verwenden.

In professionellen Umgebungen – etwa in automatisierten Dokumenten-Pipelines oder CI/CD-Workflows – ist die PDF-Verschlüsselung oft ein fester Bestandteil des Verarbeitungsprozesses. Wenn Sie in Jenkins, GitHub Actions oder GitLab CI PDF-Dokumente erzeugen und anschließend schützen möchten, sollten Sie die Passwörter als verschlüsselte Secrets in Ihrer CI-Plattform speichern und nur zur Laufzeit übergeben. Beispiel für GitHub Actions: Der Schritt zum Verschlüsseln könnte so aussehen – qpdf --encrypt ${{ secrets.PDF_PASSWORD }} ${{ secrets.PDF_OWNER }} 256 -- ausgabe.pdf geschuetzt.pdf. Achten Sie darauf, dass das unverschlüsselte PDF nur temporär existiert und nach der Verschlüsselung sofort gelöscht wird: rm ausgabe.pdf. Eine weitere Best Practice in Unternehmensumgebungen ist die Rotation von Verschlüsselungspasswörtern – also das regelmäßige Ändern der verwendeten Passwörter und das erneute Verschlüsseln betroffener Dokumente. Dafür können Sie qpdf zweimal verwenden: erst entschlüsseln (mit altem Passwort), dann erneut verschlüsseln (mit neuem Passwort). Für Auditing-Zwecke sollten Sie alle Verschlüsselungsaktionen in einer Log-Datei protokollieren: echo "$(date): $FILE verschlüsselt" >> /var/log/pdf-encryption.log. So können Sie jederzeit nachvollziehen, welche Dokumente wann und von welchem Prozess geschützt wurden. Auf Ubuntu-basierten Linux-Systemen lässt sich auch AppArmor nutzen, um den Zugriff auf qpdf und die Passwort-Dateien auf autorisierte Prozesse zu beschränken. Unter Linux bietet qpdf die robusteste Loesung fuer den PDF-Passwortschutz. Der Befehl qpdf --encrypt USER_PASS OWNER_PASS 256 -- eingabe.pdf ausgabe.pdf erstellt ein AES-256-verschluesseltes PDF. Mit --print=none --modify=none koennen Sie Drucken und Bearbeiten einschraenken. Fuer Skripte empfiehlt sich die Verwendung von Umgebungsvariablen fuer Passwoerter, statt sie direkt in Skriptdateien zu schreiben. Mit expect koennen Sie interaktive Passworteingaben in Skripten automatisieren. Pruefen Sie verschluesselte PDFs immer mit qpdf --check ausgabe.pdf, um sicherzustellen, dass die Verschluesselung korrekt angewendet wurde. Fuer einfachen Passwortschutz ohne Terminal-Kenntnisse ist LazyPDF im Browser eine zuverlaessige Alternative, die ebenfalls AES-256-Verschluesselung verwendet. Auf Linux-Servern sollten Sie verschluesselte PDFs nach der Erstellung immer mit dem richtigen Passwort oeffnen und validieren, bevor Sie das Original loeschen. Der Befehl qpdf --password=PASSWORT --decrypt verschluesselt.pdf entschluesselt.pdf prueft, ob das Passwort korrekt gesetzt wurde. Fuehren Sie ausserdem eine Pruefsumme (SHA256) der Ausgabedatei durch und speichern Sie sie zusammen mit dem Passwort in einem sicheren Passwort-Manager.