diff --git a/install.sh b/install.sh
index 93f9a9d..699b4e5 100755
--- a/install.sh
+++ b/install.sh
@@ -324,8 +324,19 @@ if [ -f "$INSTALL_DIR/update.sh" ]; then
     log "update.sh installiert: $INSTALL_DIR/update.sh"
     info "Führe erstes Deployment durch (Build + Start)..."
     bash "$INSTALL_DIR/update.sh"
+    # Echte Passwörter aus Journal lesen (Backend gibt sie beim ersten Start aus)
+    sleep 2
+    PW_SUPERADMIN=$(journalctl -u archivmail --no-pager -n 50 | grep -oP '(?<=superadmin\s+: )\S+' | tail -1)
+    PW_ADMIN=$(journalctl -u archivmail --no-pager -n 50 | grep -oP '(?<=admin\s+: )\S+' | tail -1)
+    PW_AUDITOR=$(journalctl -u archivmail --no-pager -n 50 | grep -oP '(?<=auditor\s+: )\S+' | tail -1)
+    [[ -n "$PW_ADMIN" ]]    || PW_ADMIN="(nicht gefunden — siehe: journalctl -u archivmail | grep admin)"
+    [[ -n "$PW_AUDITOR" ]]  || PW_AUDITOR="(nicht gefunden — siehe: journalctl -u archivmail | grep auditor)"
+    [[ -n "$PW_SUPERADMIN" ]] || PW_SUPERADMIN="(nicht gefunden — siehe: journalctl -u archivmail | grep superadmin)"
 else
     warn "update.sh fehlt — manuell ausführen: bash $INSTALL_DIR/update.sh"
+    PW_SUPERADMIN="(noch nicht generiert)"
+    PW_ADMIN="(noch nicht generiert)"
+    PW_AUDITOR="(noch nicht generiert)"
 fi
 
 # ── Zusammenfassung in Datei speichern ────────────────────────────────────────
@@ -350,10 +361,10 @@ Server: $FQDN
   API-Secret (JWT + AES-Schlüsselableitung):
     Secret:     $API_SECRET
 
-  Web-Anwendung (Standard — UNBEDINGT ÄNDERN!):
-    Superadmin: superadmin@archivmail  / archivmailrockz  (Rolle: superadmin)
-    Admin:      admin@archivmail       / archivmailrockz  (Rolle: admin)
-    Auditor:    auditor@archivmail     / archivmailrockz  (Rolle: auditor)
+  Web-Anwendung (UNBEDINGT ÄNDERN!):
+    Superadmin: superadmin@archivmail  / $PW_SUPERADMIN
+    Admin:      admin@archivmail       / $PW_ADMIN
+    Auditor:    auditor@archivmail     / $PW_AUDITOR
 
 === DIENSTE ===
 
@@ -404,10 +415,10 @@ echo "  │  ANGELEGTE BENUTZER & PASSWÖRTER                        │"
 echo "  ├─────────────────────────────────────────────────────────┤"
 printf "  │  DB archivmail:   %-38s │\n" "$DB_PASSWORD"
 echo "  ├─────────────────────────────────────────────────────────┤"
-echo "  │  Web-Logins (Standard — UNBEDINGT ÄNDERN!):             │"
-echo "  │    superadmin@archivmail  /  archivmailrockz            │"
-echo "  │    admin@archivmail       /  archivmailrockz            │"
-echo "  │    auditor@archivmail     /  archivmailrockz            │"
+echo "  │  Web-Logins (UNBEDINGT ÄNDERN!):                         │"
+printf "  │    superadmin  /  %-38s│\n" "$PW_SUPERADMIN"
+printf "  │    admin       /  %-38s│\n" "$PW_ADMIN"
+printf "  │    auditor     /  %-38s│\n" "$PW_AUDITOR"
 echo "  ├─────────────────────────────────────────────────────────┤"
 printf "  │  API-Secret:      %-38s │\n" "${API_SECRET:0:38}"
 echo "  └─────────────────────────────────────────────────────────┘"