Zehn verbreitete Passwortmanager mussten sich einer tiefgehenden Sicherheitsanalyse durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterziehen. Das Resultat ist ziemlich besorgniserregend.
Verschlüsselung oft lückenhaft
Lediglich drei der zehn geprüften Produkte verschlüsseln sämtliche Daten so vollständig, dass der Anbieter technisch keinerlei Zugriff auf die Inhalte hat. Bei den übrigen Kandidaten werden Passwörter oder Metadaten so gespeichert, dass Hersteller theoretisch Einblick erhalten könnten.
Das Testfeld war breit gefächert und umfasste dedizierte Stand-alone-Lösungen wie 1Password, Avira Password Manager, mSecure, PassSecurium, S-Trust und SecureSafe. Ergänzt wurde die Liste durch die populären Open-Source-Anwendungen KeePassXC und KeePass2Android sowie die direkt integrierten Browser-Lösungen von Google Chrome und Mozilla Firefox.
BSI kritisiert Herstellerzugriff
Ein zentraler Aspekt der Prüfung war das sogenannte „Zero-Knowledge“-Design. Bei diesem Architekturansatz wird sichergestellt, dass der Schlüssel zur Entschlüsselung den Client niemals verlässt und der Dienstleister somit „blind“ bleibt.
Durchgeführt wurde die umfassende Untersuchung vom BSI in Kooperation mit der Verbraucherzentrale Nordrhein-Westfalen. Die Behörde warnt, dass die Passwort-Verwaltung ohne konsequente Ende-zu-Ende-Verschlüsselung (E2E) ein unnötiges Risiko darstellt. Sollte die Infrastruktur eines Anbieters durch Cyberkriminelle kompromittiert werden, wären Nutzerdaten potenziell im Klartext auslesbar.
Besonders kritisch bewerten die Experten die Produkte mSecure und PassSecurium. Bei Letzterem sei ein Zugriff auf Passwörter technisch jederzeit möglich, was mit modernen Sicherheitsstandards kaum vereinbar ist.
Auch etablierte Browser-Tools kamen nicht ungeschoren davon. Beim Chrome Password Manager bemängelten die Prüfer, dass ohne das explizite Setzen einer separaten Passphrase eine On-Device-Verschlüsselung nicht durchgängig gewährleistet ist. Oft liegen Nutzernamen unverschlüsselt vor, was Rückschlüsse auf das Nutzungsverhalten zulässt.
https://2afab0dc9de33270f34671f6fa798843.safeframe.googlesyndication.com/safeframe/1-0-45/html/container.htmlAndere Dienste wie SecureSafe und der darauf basierende S-Trust setzen auf eine serverseitige Ver- und Entschlüsselung. Dies erfordert vom Anwender ein hohes Maß an Vertrauen in die organisatorischen Schutzmaßnahmen des Anbieters, da die Architektur keinen technischen Riegel vorschiebt.
Tipps für die Konfiguration
Trotz der Mängel zeigt die Untersuchung, dass der Einsatz eines digitalen Tresors fast immer sicherer ist als der Verzicht darauf. Die Risiken durch Passwort-Wiederverwendung („Credential Stuffing“) oder triviale Kennwörter wie „123456“ wiegen im Alltag deutlich schwerer als die spezifischen Implementierungsschwächen einzelner Tools.
Dennoch sollten Anwender bei der Einrichtung Sorgfalt walten lassen. Folgende Maßnahmen härten die Sicherheit zusätzlich ab:
- Masterpasswort erzwingen: Bei Browser-Lösungen wie Firefox muss die Option „Hauptpasswort verwenden“ aktiv gesetzt werden, um die lokale Datenbank vor physischem Zugriff zu schützen.
- Zwei-Faktor-Authentifizierung (2FA): Der Zugang zum Cloud-Tresor sollte zwingend mittels 2FA abgesichert werden. Experten raten hierbei zu Hardware-Token oder TOTP-Apps und warnen vor SMS-Verfahren wegen der Gefahr von SIM-Swapping.
- Notfallzugriff prüfen: Funktionen zur Wiederherstellung bei vergessenem Masterpasswort können Hintertüren öffnen. Nutzer sollten prüfen, ob diese Features deaktivierbar sind, um die Angriffsfläche zu minimieren.
Positiv fielen im Test unter anderem 1Password und die KeePass-Derivate auf, bei denen keine Designfehler in der Verschlüsselungsarchitektur gefunden wurden. Nutzer von Open-Source-Lösungen wie KeePassXC müssen sich jedoch meist selbstständig um Backups und die Synchronisation via Cloud-Speicher oder WebDAV kümmern. Das ist für weniger versierte Anwender eine große Hürde, bietet aber maximale Souveränität über die eigenen Daten.
Welchen Passwortmanager nutzt ihr im Alltag, vertraut ihr den Cloud-Anbietern oder setzt ihr lieber auf lokale Lösungen wie KeePass? Schreibt uns eure Erfahrungen in die Kommentare!