Highlight
BSI deckt viel zu viele Sicherheitslücken im Passwortmanager-Test auf
Zehn verbreitete Passwortmanager mussten sich einer tiefgehenden Sicherheitsanalyse durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterziehen. Das Resultat ist ziemlich besorgniserregend.
Das Testfeld war breit gefächert und umfasste dedizierte Stand-alone-Lösungen wie 1Password, Avira Password Manager, mSecure, PassSecurium, S-Trust und SecureSafe. Ergänzt wurde die Liste durch die populären Open-Source-Anwendungen KeePassXC und KeePass2Android sowie die direkt integrierten Browser-Lösungen von Google Chrome und Mozilla Firefox.
Durchgeführt wurde die umfassende Untersuchung vom BSI in Kooperation mit der Verbraucherzentrale Nordrhein-Westfalen. Die Behörde warnt, dass die Passwort-Verwaltung ohne konsequente Ende-zu-Ende-Verschlüsselung (E2E) ein unnötiges Risiko darstellt. Sollte die Infrastruktur eines Anbieters durch Cyberkriminelle kompromittiert werden, wären Nutzerdaten potenziell im Klartext auslesbar.
Besonders kritisch bewerten die Experten die Produkte mSecure und PassSecurium. Bei Letzterem sei ein Zugriff auf Passwörter technisch jederzeit möglich, was mit modernen Sicherheitsstandards kaum vereinbar ist. Infografik: Regelmäßige Passwortänderung für Deutsche kaum ein Thema
Auch etablierte Browser-Tools kamen nicht ungeschoren davon. Beim Chrome Password Manager bemängelten die Prüfer, dass ohne das explizite Setzen einer separaten Passphrase eine On-Device-Verschlüsselung nicht durchgängig gewährleistet ist. Oft liegen Nutzernamen unverschlüsselt vor, was Rückschlüsse auf das Nutzungsverhalten zulässt.
Andere Dienste wie SecureSafe und der darauf basierende S-Trust setzen auf eine serverseitige Ver- und Entschlüsselung. Dies erfordert vom Anwender ein hohes Maß an Vertrauen in die organisatorischen Schutzmaßnahmen des Anbieters, da die Architektur keinen technischen Riegel vorschiebt.
Dennoch sollten Anwender bei der Einrichtung Sorgfalt walten lassen. Folgende Maßnahmen härten die Sicherheit zusätzlich ab:
Positiv fielen im Test unter anderem 1Password und die KeePass-Derivate auf, bei denen keine Designfehler in der Verschlüsselungsarchitektur gefunden wurden. Nutzer von Open-Source-Lösungen wie KeePassXC müssen sich jedoch meist selbstständig um Backups und die Synchronisation via Cloud-Speicher oder WebDAV kümmern. Das ist für weniger versierte Anwender eine große Hürde, bietet aber maximale Souveränität über die eigenen Daten.
Welchen Passwortmanager nutzt ihr im Alltag, vertraut ihr den Cloud-Anbietern oder setzt ihr lieber auf lokale Lösungen wie KeePass? Schreibt uns eure Erfahrungen in die Kommentare!
Download 1Password: Umfassender Passwortmanager für Windows Download KeePass - Passwort-Sammlungs-Tool
Siehe auch:
Verschlüsselung oft lückenhaft
Lediglich drei der zehn geprüften Produkte verschlüsseln sämtliche Daten so vollständig, dass der Anbieter technisch keinerlei Zugriff auf die Inhalte hat. Bei den übrigen Kandidaten werden Passwörter oder Metadaten so gespeichert, dass Hersteller theoretisch Einblick erhalten könnten.Das Testfeld war breit gefächert und umfasste dedizierte Stand-alone-Lösungen wie 1Password, Avira Password Manager, mSecure, PassSecurium, S-Trust und SecureSafe. Ergänzt wurde die Liste durch die populären Open-Source-Anwendungen KeePassXC und KeePass2Android sowie die direkt integrierten Browser-Lösungen von Google Chrome und Mozilla Firefox.
BSI kritisiert Herstellerzugriff
Ein zentraler Aspekt der Prüfung war das sogenannte "Zero-Knowledge"-Design. Bei diesem Architekturansatz wird sichergestellt, dass der Schlüssel zur Entschlüsselung den Client niemals verlässt und der Dienstleister somit "blind" bleibt.Durchgeführt wurde die umfassende Untersuchung vom BSI in Kooperation mit der Verbraucherzentrale Nordrhein-Westfalen. Die Behörde warnt, dass die Passwort-Verwaltung ohne konsequente Ende-zu-Ende-Verschlüsselung (E2E) ein unnötiges Risiko darstellt. Sollte die Infrastruktur eines Anbieters durch Cyberkriminelle kompromittiert werden, wären Nutzerdaten potenziell im Klartext auslesbar.
Besonders kritisch bewerten die Experten die Produkte mSecure und PassSecurium. Bei Letzterem sei ein Zugriff auf Passwörter technisch jederzeit möglich, was mit modernen Sicherheitsstandards kaum vereinbar ist. Infografik: Regelmäßige Passwortänderung für Deutsche kaum ein Thema
Auch etablierte Browser-Tools kamen nicht ungeschoren davon. Beim Chrome Password Manager bemängelten die Prüfer, dass ohne das explizite Setzen einer separaten Passphrase eine On-Device-Verschlüsselung nicht durchgängig gewährleistet ist. Oft liegen Nutzernamen unverschlüsselt vor, was Rückschlüsse auf das Nutzungsverhalten zulässt.
Andere Dienste wie SecureSafe und der darauf basierende S-Trust setzen auf eine serverseitige Ver- und Entschlüsselung. Dies erfordert vom Anwender ein hohes Maß an Vertrauen in die organisatorischen Schutzmaßnahmen des Anbieters, da die Architektur keinen technischen Riegel vorschiebt.
Tipps für die Konfiguration
Trotz der Mängel zeigt die Untersuchung, dass der Einsatz eines digitalen Tresors fast immer sicherer ist als der Verzicht darauf. Die Risiken durch Passwort-Wiederverwendung ("Credential Stuffing") oder triviale Kennwörter wie "123456" wiegen im Alltag deutlich schwerer als die spezifischen Implementierungsschwächen einzelner Tools.Dennoch sollten Anwender bei der Einrichtung Sorgfalt walten lassen. Folgende Maßnahmen härten die Sicherheit zusätzlich ab:
- Masterpasswort erzwingen: Bei Browser-Lösungen wie Firefox muss die Option "Hauptpasswort verwenden" aktiv gesetzt werden, um die lokale Datenbank vor physischem Zugriff zu schützen.
- Zwei-Faktor-Authentifizierung (2FA): Der Zugang zum Cloud-Tresor sollte zwingend mittels 2FA abgesichert werden. Experten raten hierbei zu Hardware-Token oder TOTP-Apps und warnen vor SMS-Verfahren wegen der Gefahr von SIM-Swapping.
- Notfallzugriff prüfen: Funktionen zur Wiederherstellung bei vergessenem Masterpasswort können Hintertüren öffnen. Nutzer sollten prüfen, ob diese Features deaktivierbar sind, um die Angriffsfläche zu minimieren.
Positiv fielen im Test unter anderem 1Password und die KeePass-Derivate auf, bei denen keine Designfehler in der Verschlüsselungsarchitektur gefunden wurden. Nutzer von Open-Source-Lösungen wie KeePassXC müssen sich jedoch meist selbstständig um Backups und die Synchronisation via Cloud-Speicher oder WebDAV kümmern. Das ist für weniger versierte Anwender eine große Hürde, bietet aber maximale Souveränität über die eigenen Daten.
Welchen Passwortmanager nutzt ihr im Alltag, vertraut ihr den Cloud-Anbietern oder setzt ihr lieber auf lokale Lösungen wie KeePass? Schreibt uns eure Erfahrungen in die Kommentare!
Download 1Password: Umfassender Passwortmanager für Windows Download KeePass - Passwort-Sammlungs-Tool
Von welchen Apps rät das BSI ab?
Das BSI und Fachmedien äußern bei vier der zehn getesteten Produkte deutliche Kritik. Besonders kritisch wird der mSecure Password Manager gesehen. Hier heißt es laut Berichten, das Sicherheitskonzept erfülle nicht die üblichen Erwartungen, weshalb Anwendern geraten wird, die Vertrauenswürdigkeit genau zu prüfen - faktisch eine Warnung vor der Nutzung.
Auch bei PassSecurium (in den Versionen vor 3.x) seien Herstellerzugriffe theoretisch jederzeit möglich, was mit Sicherheitsanforderungen unvereinbar sei. Bei SecureSafe und dem darauf basierenden S-Trust (Sparkasse) erfolge die Verschlüsselung serverseitig, was ebenfalls theoretische Zugriffe durch den Anbieter ermögliche.
Auch bei PassSecurium (in den Versionen vor 3.x) seien Herstellerzugriffe theoretisch jederzeit möglich, was mit Sicherheitsanforderungen unvereinbar sei. Bei SecureSafe und dem darauf basierenden S-Trust (Sparkasse) erfolge die Verschlüsselung serverseitig, was ebenfalls theoretische Zugriffe durch den Anbieter ermögliche.
Können Hersteller Passwörter lesen?
Bei drei der zehn untersuchten Manager (mSecure, PassSecurium, Chrome Password Manager) speicherten die Anwendungen Passwörter laut BSI in einer Weise, die dem Hersteller theoretisch den Zugriff ermöglichen könnte. Dies stelle eine erhöhte Angriffsfläche dar, da Nutzer auf "kompensatorische Maßnahmen" und die Integrität des Anbieters vertrauen müssten.
Das BSI fordert daher, den Herstellerzugriff technisch vollständig auszuschließen. IT-Profis sollten darauf achten, dass eine echte Ende-zu-Ende-Verschlüsselung (Zero-Knowledge-Architektur) implementiert ist, bei der der Schlüssel das Endgerät idealerweise nie verlässt.
Das BSI fordert daher, den Herstellerzugriff technisch vollständig auszuschließen. IT-Profis sollten darauf achten, dass eine echte Ende-zu-Ende-Verschlüsselung (Zero-Knowledge-Architektur) implementiert ist, bei der der Schlüssel das Endgerät idealerweise nie verlässt.
Sind Browser-Speicher sicher?
Hier kommt es stark auf die Konfiguration an. Der Mozilla Firefox Password Manager kann laut BSI bedenkenlos genutzt werden, sofern die Option "Hauptpasswort verwenden" aktiviert ist. Ohne diese Hürde sind die Daten lokal oft unzureichend geschützt.
Beim Chrome Password Manager bemängelten die Prüfer, dass Nutzernamen teils im Klartext vorliegen und eine On-Device-Verschlüsselung theoretische Zugriffe bei aktiver Nutzung zulasse, wenn keine separate Passphrase gesetzt wurde. Für IT-Pros empfiehlt sich daher meist eine dedizierte Drittanbieter-Lösung oder strikte Konfiguration.
Beim Chrome Password Manager bemängelten die Prüfer, dass Nutzernamen teils im Klartext vorliegen und eine On-Device-Verschlüsselung theoretische Zugriffe bei aktiver Nutzung zulasse, wenn keine separate Passphrase gesetzt wurde. Für IT-Pros empfiehlt sich daher meist eine dedizierte Drittanbieter-Lösung oder strikte Konfiguration.
Wie sicher sind KeePass-Varianten?
Die Open-Source-Vertreter KeePassXC und KeePass2Android schnitten in der Bewertung gut ab. Das BSI äußerte keine grundsätzlichen Sicherheitsbedenken. Da die Datenbank lokal (oder auf einem selbst gewählten Speicher) liegt, behält der User die volle Kontrolle.
Wichtig für den Arbeitsalltag: Da es keinen zentralen Cloud-Dienst gibt, sind Nutzer selbst für Backups verantwortlich. Zudem empfiehlt das BSI bei KeePassXC, einen automatischen Sperr-Timer bei Inaktivität zu konfigurieren, um unbefugte Zugriffe am Arbeitsplatz zu verhindern.
Wichtig für den Arbeitsalltag: Da es keinen zentralen Cloud-Dienst gibt, sind Nutzer selbst für Backups verantwortlich. Zudem empfiehlt das BSI bei KeePassXC, einen automatischen Sperr-Timer bei Inaktivität zu konfigurieren, um unbefugte Zugriffe am Arbeitsplatz zu verhindern.
Welche Einstellungen sind Pflicht?
Unabhängig vom gewählten Produkt ist ein starkes Masterpasswort essenziell. Es sollte nirgendwo anders verwendet werden. Zudem sollten Sie, wo immer möglich, die Zwei-Faktor-Authentifizierung (2FA) aktivieren. Das BSI rät hierbei zu Hardware-Token oder TOTP-Apps und warnt vor SMS-OTP wegen der Gefahr von SIM-Swapping.
Achten Sie zudem auf die "Auto-Lock"-Funktion (automatische Sperre), damit der Tresor nicht offen bleibt, wenn Sie den Arbeitsplatz verlassen. Bei Cloud-Lösungen sollten Sie prüfen, ob ein Notfallzugriff existiert und wie dieser technisch umgesetzt ist.
Achten Sie zudem auf die "Auto-Lock"-Funktion (automatische Sperre), damit der Tresor nicht offen bleibt, wenn Sie den Arbeitsplatz verlassen. Bei Cloud-Lösungen sollten Sie prüfen, ob ein Notfallzugriff existiert und wie dieser technisch umgesetzt ist.
Zusammenfassung
- BSI-Analyse zeigt Sicherheitslücken bei sieben von zehn Passwortmanagern
- Nur drei getestete Produkte bieten vollständige Ende-zu-Ende-Verschlüsselung
- Bei mehreren Anbietern könnten Hersteller technisch auf Nutzerdaten zugreifen
- Browser-Passwortmanager wie Chrome und Firefox weisen Schwachstellen auf
- Passwortmanager sind trotz Mängeln sicherer als keine Nutzung oder Wiederholung
- 1Password und KeePass-Derivate zeigten keine Designfehler bei Verschlüsselung
- Experten empfehlen zusätzliche Sicherheitsmaßnahmen wie Zwei-Faktor-Authentifizierung
Siehe auch:
Thema:
Neue Avira-Antivirus-Downloads
Videos zum Thema Malware
-
Super Bowl 2024: CrowdStrike sorgt im Wilden Westen für Sicherheit
-
Super Bowl 2023: CrowdStrike zeigt, wie man echte Trojaner abwehrt
-
Vorsicht vor Windows Toolbox: Malware kommt unerkannt mit
-
MVT: So testet ihr euer Smartphone auf Pegasus-Infektionen
-
Geht immer noch: So kann sich Malware per E-Mail einschleichen
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Ryzen-CPUs: AMD killt RAM-Verschlüsselung - und rudert jetzt zurück
- Windows 11 26H2: Microsoft veröffentlicht allererste Vorschau-Version
- Apple M6-Prozessoren: TSMC liefert erste 2nm-Chips für neue Macs
- Windows 11 26H2: Microsoft kündigt nächste OS-Version offiziell an
- VW ID.3 Neo GTI: Erlkönig des neuen Elektro-GTI wurde gesichtet
- Prime Day: Bei Amazon starten schon jetzt tolle Saugroboter-Deals
Videos
Beliebte Downloads
Beliebte Nachrichten
Meist kommentierte Nachrichten
Forum
-
oSC Nürnberg 25.–27. Juni - das OpenSuse-Meeting
d-hubs - Gestern 13:40 Uhr -
Die allerneueste Version, TrueNAS 26.0.0-BETA.2
d-hubs - Vorgestern 14:50 Uhr -
Wie kann ich die Untertitel einem Video hinzufügen?
Rizo - Vorgestern 11:14 Uhr -
Datenträgerverwaltung
micro300 - Vorgestern 08:52 Uhr -
KDE kommt mit Plasma 6.7
d-hubs - 18.06. 20:26 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen