Skip to content

Warum „geschwärzte" PDFs ihren Text trotzdem preisgeben

6 Min. Lesezeit 28. Mai 2026
pdfschwärzensicherheit

Ein schwarzes Rechteck über einem Text verbirgt nichts. Die Wörter liegen darunter und warten nur darauf, dass jemand sie herauskopiert, der weiß, wohin er klicken muss.

Warum „geschwärzte" PDFs ihren Text trotzdem preisgeben — Hivly

Du schwärzt einen Namen. Du zeichnest ein sauberes dunkles Rechteck über eine Sozialversicherungsnummer, eine Gehaltsangabe, einen Zeugen. Das PDF sieht geschwärzt aus. Du verschickst es per E-Mail, reichst es ein, stellst es online. Und der Text darunter sitzt immer noch genau dort, vollständig intakt, und wartet auf die erste Person, die auf die Idee kommt, mit dem Cursor über die Seite zu fahren.

Das ist eines der häufigsten und peinlichsten Datenlecks überhaupt, und es passiert wegen eines simplen Missverständnisses darüber, wie PDFs aufgebaut sind.

TL;DR: Ein schwarzer Balken ist Farbe auf der Seite, kein Radiergummi. Die Zeichen darunter bleiben in der Datei und lassen sich in Sekunden kopieren, extrahieren oder freilegen. Eine echte Schwärzung löscht den Text von der Seite, oder du rasterst die Seite zu einem flachen Bild, sodass nichts Wiederherstellbares übrig bleibt.

Ein PDF besteht aus Ebenen, nicht aus einem Foto

Wenn du dir ein PDF ansiehst, siehst du eine fertige Seite. In der Datei selbst ist diese Seite eine Reihe von Anweisungen. Es gibt einen Content-Stream, der sagt „zeichne den Buchstaben J an dieser Position, dann den Buchstaben o, dann h, dann n”, zusammen mit Schriftart, Größe und Koordinaten. Diese Zeichenanweisungen sind der eigentliche Text. Sie sind es, die dir erlauben, einen Absatz zu markieren und zu kopieren.

Wenn du die Datei in einem Viewer oder einem normalen Bildbearbeitungsprogramm öffnest und ein Rechteck über ein Wort zeichnest, rührst du diesen Content-Stream überhaupt nicht an. Du fügst ein neues Objekt darüber hinzu. In PDF-Begriffen ist das meist eine Anmerkung oder eine Vektorform, zuletzt gezeichnet, damit sie über allem anderen landet. Optisch deckt sie das Wort ab. Strukturell bleibt das Wort unberührt, eine Ebene tiefer, und buchstabiert sich weiterhin vollständig aus.

Der Balken und der Text existieren also nebeneinander. Der Balken verbirgt den Text vor deinen Augen. Vor der Datei verbirgt er gar nichts.

Wie der Text herauskommt

Du brauchst kein forensisches Labor, um eine vorgetäuschte Schwärzung auszuhebeln. Es gibt mindestens drei triviale Wege.

Markieren und kopieren. Öffne das PDF, ziehe über den geschwärzten Bereich, als würdest du ihn hervorheben, und füge ihn in ein beliebiges Textfeld ein. Die Zeichen unter dem Balken kommen direkt heraus, denn die Markierung liest den Content-Stream, nicht die Pixel, die du siehst.

Den Text extrahieren. Jedes Werkzeug, das Text aus einem PDF zieht, einschließlich des Suchfelds in deinem eigenen Reader, liest denselben darunterliegenden Stream. Suche nach einem Namen, von dem du denkst, du hättest ihn versteckt, und sieh zu, wie er unter seinem eigenen schwarzen Balken aufleuchtet.

Den Balken löschen. Das Rechteck ist nur ein weiteres Objekt. Ein Editor kann es markieren und entfernen, und das ursprüngliche Wort darunter wird sichtbar, unverändert. Die „Schwärzung” war nur einen Tastendruck tief.

Nichts davon ist exotisch. Der Text war nie weg. Er war nur außer Sichtweite.

Das passiert ständig Leuten, die es besser wissen müssten

Das ist kein reiner Anfängerfehler. Gerichte, Anwaltskanzleien, Behörden und große Unternehmen haben alle schon Dokumente verschickt, in denen sensible Namen, Adressen und Zahlen unter schwarzen Balken wiederherstellbar lagen.

Bei einigen aufsehenerregenden juristischen Schriftsätzen haben Anwälte Zeugennamen und vertrauliche Details mit aufgelegten Balken geschwärzt, und Reporter holten den vermeintlich verborgenen Text innerhalb von Minuten aus dem veröffentlichten PDF heraus. Behörden haben Verträge und Berichte freigegeben, in denen Preise oder personenbezogene Daten „geschwärzt” waren, sich aber problemlos kopieren ließen. Das Muster wiederholt sich, weil der Fehler wie Erfolg aussieht. Das Dokument wirkt auf dem Bildschirm geschwärzt, die Person sieht einen sauberen schwarzen Balken und geht davon aus, dass die Arbeit erledigt ist. Das Leck ist unsichtbar, bis jemand danach sucht, und dann ist die Datei längst öffentlich.

Wenn Organisationen mit eigenen Rechtsabteilungen das immer wieder tun, lautet die ehrliche Erkenntnis: Das Werkzeug hat sie getäuscht, nicht dass sie nachlässig waren. Ein schwarzes Rechteck im falschen Arbeitsablauf ist eine Falle, die sich als Funktion ausgibt.

Was echte Schwärzung wirklich bedeutet

Echte Schwärzung hat eine einzige Voraussetzung: Der sensible Inhalt darf nicht mehr in der Datei existieren. Nicht versteckt, nicht abgedeckt, nicht hinter einer Ebene. Weg aus den Anweisungen der Seite.

Es gibt zwei zuverlässige Wege dorthin.

Inhalt entfernen, dann flatten. Eine ordentliche Schwärzung löscht den darunterliegenden Text und alle Objekte im abgedeckten Bereich aus dem Content-Stream und schreibt dann eine saubere Seite aus. Danach liefert das Markieren des Bereichs nichts, weil dort nichts ist. Die Suche findet nichts. Es gibt keinen Balken zum Löschen, weil die Wörter, die er verbergen sollte, nicht mehr existieren. So sollte „schwärzen” gemeint sein, und das ist etwas anderes als „einen Balken zeichnen”.

Abdecken, dann rastern. Der andere verlässliche Ansatz ist, deine abdeckenden Markierungen zu setzen und die Seite dann in ein flaches Bild umzuwandeln, sodass die Seite aus Pixeln besteht statt aus Text und Formen. Eine gerasterte Seite hat keine markierbaren Zeichen und keine ablösbare Balkenebene. Was du siehst, ist tatsächlich alles, was in der Datei steht. Der Nachteil ist, dass die ganze Seite ihren echten Text verliert, also nirgends mehr durchsuchbar oder kopierbar ist, und die Datei meist größer wird. Für eine einzelne Seite von etwas, das niemals nach außen dringen darf, ist dieser Kompromiss oft sein Geld wert.

Beide Ansätze beruhen auf demselben Prinzip. Der verborgene Text steckt nicht hinter etwas. Er ist zerstört.

Eine Faustregel, die du wirklich nutzen kannst

Hier ist die Regel, die ich jedem geben würde, der mit sensiblen Dokumenten arbeitet.

Wenn es in Ordnung wäre, dass der abgedeckte Text später wieder auftaucht, brauchst du eigentlich keine Schwärzung, und ein optischer Balken ist deine Sache. Wenn der abgedeckte Text niemals wiederherstellbar sein darf, reicht ein optischer Balken nicht und wird es nie. In dem Fall hast du zwei akzeptable Ergebnisse: Nutze eine echte Schwärzung, die den darunterliegenden Inhalt löscht, oder decke den Bereich ab und raster oder flatte dann die Seite, sodass sie keinen wiederherstellbaren Text mehr trägt. Alles, was die ursprünglichen Zeichen in der Datei belässt, ist keine Schwärzung. Es ist ein Kostüm.

Noch eine Angewohnheit, die sich lohnt. Nachdem du geschwärzt hast, prüfe deine eigene Arbeit, bevor du sie verschickst. Öffne die fertige Datei, versuche über den versteckten Bereich zu markieren und füge ihn irgendwo ein. Suche nach dem genauen Namen oder der Zahl, die du entfernen wolltest. Wenn nichts herauskommt und nichts gefunden wird, hat die Schwärzung gehalten. Wenn der Text auftaucht, hast du gerade ein Leck erwischt, bevor es deinen Rechner verlassen hat, und genau dort willst du es erwischen.

Das Ganze, ohne das Dokument hochzuladen

Es gibt einen leisen Haken bei alldem. Die Dokumente, die am dringendsten geschwärzt werden müssen, also Verträge, Krankenakten, juristische Schriftsätze, Ausweisdokumente, sind genau die Dokumente, die du am wenigsten auf den Server eines Fremden laden willst, nur um eine Zeile zu schwärzen. Eine vertrauliche Datei an ein Online-Werkzeug zu schicken, um sie vertraulicher zu machen, ist ein Leck eigener Art.

Deshalb gehört das Schwärzen in Werkzeuge, die vollständig in deinem Browser laufen, wo die Datei dein Gerät nie verlässt. Lokale PDF-Werkzeuge zum Schwärzen, Flatten und Rastern von Seiten kommen bald zu pdf.hivly.net, so gebaut, dass die Arbeit auf deinem Rechner passiert, ohne Upload und ohne Konto. Der Gedanke ist einfach. Wenn du Geheimnisse aus einer Datei entfernst, sollte das Entfernen die Datei nicht jemand anderem in die Hand geben.

Bis dahin merk dir die eine Sache, auf die es ankommt. Ein schwarzer Balken ist Dekoration. Wenn der Text weg sein muss, mach ihn weg.

Try the pdf toolsMerge, split, compress, protect, unlock, sign and convert PDFs to and from images.

Häufige Fragen

Löscht ein schwarzer Balken über einem Text im PDF den Text wirklich?
Nein. Ein schwarzer Balken ist meist eine Anmerkung oder eine Form, die über die Seite gezeichnet wird. Die ursprünglichen Zeichen bleiben im Content-Stream darunter erhalten, also lassen sie sich weiterhin markieren, kopieren oder durch Löschen des Balkens sichtbar machen.
Wie kann jemand den Text unter einem Schwärzungsbalken lesen?
Er kann mit der Maus über die Seite ziehen und die verborgenen Wörter in einen Texteditor einfügen, eine Textextraktion an der Datei durchführen oder das PDF in einem Editor öffnen und den Balken löschen. Nichts davon erfordert spezielle Hacking-Werkzeuge.
Was bewirkt eine echte Schwärzung tatsächlich?
Eine echte Schwärzung entfernt den darunterliegenden Text und die Objekte aus dem Content-Stream, nicht nur die sichtbare Ebene. Danach existieren die Wörter nicht mehr in der Datei, es gibt also nichts mehr zu kopieren oder wiederherzustellen.
Ist das Flatten eines PDFs dasselbe wie das Schwärzen?
Flatten hilft, weil es Ebenen zusammenführt und eine Seite in ein Bild rastern kann, wodurch der markierbare Text verloren geht. Wenn du den Text zuerst abdeckst und dann flattest oder rasterst, sind die verborgenen Wörter auf dieser Seite verschwunden.

Weiterlesen

Etwas Größeres im Sinn?

Hivly stammt von CodingEagles, einem Software-Studio, das produktionsreife Web-Apps liefert. Wenn du ein echtes Projekt hast, melde dich.

Sieh, was CodingEagles macht →