Passwörter sind der Schlüssel zu fast allen digitalen Diensten – vom Onlineshopping über Social Media bis zum E-Mail-Konto. Viele Menschen nutzen jedoch zu einfache oder wiederverwendete Passwörter und machen es Angreifern damit unnötig leicht. Passwortmanager helfen, starke und einzigartige Kennwörter zu erzeugen, zentral zu verwalten und so die Sicherheit von Onlinekonten deutlich zu erhöhen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat gemeinsam mit dem FZI Forschungszentrum Informatik zehn verbreitete Passwortmanager hinsichtlich ihrer IT-Sicherheit untersucht. Die Ergebnisse zeigen: Es gibt zwar einzelne Defizite, doch der Sicherheitsgewinn durch Passwortmanager ist aus Sicht des BSI deutlich größer als die Risiken, die aus Implementierungsmängeln entstehen.
BSI-Untersuchung: Ziel, Umfang und zentrale Ergebnisse
Die Untersuchung des BSI zielte darauf ab, die sicherheitsrelevanten Eigenschaften von zehn ausgewählten Passwortmanagern systematisch zu analysieren. Im Fokus standen unter anderem Verschlüsselungskonzepte, Architekturentscheidungen, Umgang mit Metadaten und potenzielle Zugriffsmöglichkeiten durch Hersteller.
Besonders kritisch: Drei von zehn getesteten Passwortmanagern speichern Passwörter so, dass Hersteller theoretisch Zugriff erhalten könnten. Dies erhöht die Angriffsfläche, muss aber durch zusätzliche technische und organisatorische Maßnahmen der Anbieter mitigiert werden, denen Nutzende dann vertrauen müssen.
Warum das BSI Passwortmanager trotzdem klar empfiehlt
Trotz der identifizierten Schwachstellen rät das BSI ausdrücklich nicht vom Einsatz von Passwortmanagern ab. Im Gegenteil: Die Behörde betont, dass die Risiken durch Passwiederverwendung und schwache Kennwörter deutlich höher sind als die Defizite einzelner Produkte.
Wer keinen Passwortmanager nutzt, greift in der Praxis häufig zu unsicheren Mustern wie kurzen Passwörtern, Wiederverwendung über viele Dienste oder leicht erratbaren Kombinationen. Das steigert die Anfälligkeit für Phishing und Credential-Stuffing-Angriffe massiv, insbesondere wenn ein kompromittiertes Passwort auf mehreren Plattformen verwendet wird.
Cloud-Speicherung: Speicherort, Schutzniveau und Vertrauen
Viele moderne Passwortmanager setzen auf Cloud-Synchronisation, um Passwörter komfortabel zwischen Geräten zu teilen. Dadurch entstehen zusätzliche Fragen zur Sicherheit des Speicherorts, zum rechtlichen Rahmen (z. B. EU vs. Drittland) und zum technischen Schutzniveau beim Anbieter.
Das BSI empfiehlt, sich vor der Nutzung eines cloudbasierten Passwortmanagers gezielt über den Speicherort der Daten und die dort geltenden Schutzmechanismen zu informieren. Relevante Hinweise finden sich meist in den Datenschutzhinweisen, den AGB des Herstellers oder in technischen Whitepapers auf der Website des Anbieters.
Transparenz als Sicherheitsfaktor: Dokumentation und Audits
Transparenz schafft Vertrauen – das gilt insbesondere bei sicherheitskritischer Software wie Passwortmanagern. Das BSI fordert die Hersteller auf, ihre Sicherheitskonzepte, die wesentlichen Züge der Systemarchitektur, Details der eingesetzten Kryptografie sowie den Softwareentwicklungsprozess öffentlich und nachvollziehbar zu dokumentieren.
Solche Dokumentationen erleichtern unabhängige Prüfungen und Audits, wodurch Schwachstellen schneller erkannt und behoben werden können. Öffentliche Audit-Berichte und Sicherheitskonzepte erhöhen die Nachprüfbarkeit der Herstellerangaben und stärken das Vertrauen der Verbraucherinnen und Verbraucher in das Produkt.
Kryptographie nach BSI-Empfehlungen
Auf Basis der Untersuchungsergebnisse empfiehlt das BSI, bei Passwortmanagern ausschließlich etablierte kryptographische Konzepte und Algorithmen einzusetzen. Dafür verweist die Behörde auf die Technische Richtlinie BSI TR-02102-1, in der empfohlene kryptographische Mechanismen, Schlüssellängen und Betriebsmodi beschrieben sind.
Wesentliche Kernpunkte sind etwa die Verwendung aktueller symmetrischer und asymmetrischer Verfahren, ausreichend langer Schlüssel und sicherer Betriebsmodi für Verschlüsselung. Gleichzeitig betont das BSI, dass sämtliche Daten – einschließlich Metadaten – möglichst vollständig verschlüsselt werden sollten, um Angriffsflächen zu minimieren.
Datenschutz im Fokus: Kooperation mit der Verbraucherzentrale
Neben der technischen IT-Sicherheit spielt der Datenschutz eine wichtige Rolle bei Passwortmanagern. In Kooperation mit der Verbraucherzentrale Nordrhein-Westfalen (VZ NRW) wurden die ausgewählten Passwortmanager auch datenschutzrechtlich bewertet.
Die VZ NRW analysierte insbesondere die Datenschutzhinweise und die im Registrierungsprozess erhobenen Daten. Die Ergebnisse der technischen BSI-Prüfung und der datenschutzrechtlichen Bewertung sind in einer gemeinsamen Veröffentlichung zum Thema „IT-Sicherheit und Datenschutz bei Passwortmanagern“ zusammengefasst.
Praxisleitfaden: So wählen Verbraucher einen Passwortmanager aus
Bei der Auswahl eines Passwortmanagers lassen sich aus den BSI-Empfehlungen einige klare Praxisregeln ableiten. Diese helfen, ein Produkt zu finden, das sowohl in Sachen Sicherheit als auch Datenschutz überzeugt.
Wichtige Prüfkriterien sind unter anderem: verwendete Kryptographie, technische Ausschlüsse von Herstellerzugriff, Transparenz der Sicherheitskonzepte, Umgang mit Cloud-Speicherung und die Häufigkeit sowie Qualität von Updates. Zusätzlich lohnt sich ein Blick auf veröffentlichte Audit-Berichte und Bewertungen unabhängiger Organisationen.
Wichtige Vergleichskriterien bei Passwortmanagern
| Kriterium | Beschreibung |
|---|---|
| Speicherort der Daten | Lokal, Cloud (EU / Nicht-EU), hybride Modelle; wichtig für rechtlichen Rahmen und Schutzniveau. |
| Verschlüsselung von Daten | Vollständige Verschlüsselung aller Daten inkl. Metadaten, Einsatz etablierter Algorithmen. |
| Herstellerzugriff | Technischer Ausschluss von Herstellerzugriff auf Passwörter und sensible Daten. |
| Transparenz & Dokumentation | Öffentliche Sicherheitskonzepte, Architektur- und Kryptographie-Dokumentation, Audit-Berichte. |
| Update-Politik | Regelmäßige Sicherheitsupdates, transparente Changelogs, zeitnahe Reaktion auf Schwachstellen. |
| Datenschutz (Rechtsgrundlagen) | Klare Datenschutzhinweise, Datensparsamkeit im Registrierungsprozess, Kooperation mit Datenschutzstellen. |
| Plattformunterstützung | Verfügbarkeit für Windows, macOS, Linux, Android, iOS, Browser-Plugins etc. |
| Zusatzfunktionen | Passwortgenerator, 2FA-Unterstützung, sichere Notizen, gemeinsame Tresore, Notfallzugriff. |
FAQ zu Passwortmanagern und BSI-Studie
1. Sind Passwortmanager trotz der vom BSI gefundenen Schwachstellen empfehlenswert?
Ja, das BSI bewertet den Nutzen von Passwortmanagern insgesamt deutlich höher als die Risiken durch einzelne Implementierungsmängel. Insbesondere die Vermeidung von Passwortwiederverwendung und die Nutzung starker, individueller Kennwörter bieten einen erheblichen Sicherheitsgewinn.
2. Was bedeutet es, wenn der Hersteller theoretisch Zugriff auf meine Passwörter haben könnte?
In einigen Produkten ist die Architektur so gestaltet, dass der Anbieter zumindest theoretisch an die unverschlüsselten Passwörter gelangen könnte, etwa durch serverseitige Verarbeitung oder unvollständige Ende-zu-Ende-Verschlüsselung. Das BSI sieht darin eine erhöhte Angriffsfläche auf Seiten des Herstellers, die nur durch zusätzliche technische und organisatorische Maßnahmen reduziert werden kann.
3. Welche Rolle spielen Updates bei Passwortmanagern?
Regelmäßige Programmaktualisierungen sind ein zentraler Baustein der Sicherheit, da sie bekannte Schwachstellen schließen und Verbesserungen der Kryptographie oder Architektur einführen. Verbraucherinnen und Verbraucher sollten Updates daher zeitnah installieren oder automatische Aktualisierungen aktivieren.
4. Worauf sollte ich bei einem cloudbasierten Passwortmanager besonders achten?
Bei Cloud-Speicherung sind insbesondere der physische Speicherort (z. B. EU, USA) und das dort geltende Datenschutz- und Sicherheitsniveau entscheidend. Diese Informationen finden sich meist in den Datenschutzhinweisen, den AGB oder den technischen Beschreibungen des Herstellers.
5. Was empfiehlt das BSI bezüglich Kryptographie in Passwortmanagern?
Das BSI empfiehlt die Nutzung etablierter kryptographischer Mechanismen gemäß der Technischen Richtlinie TR-02102-1, einschließlich angemessener Schlüssellängen und sicherer Betriebsmodi. Hersteller sollten sämtliche Daten – einschließlich Metadaten – vollständig verschlüsseln und veraltete oder unsichere Algorithmen vermeiden.
6. Welche datenschutzrechtlichen Aspekte wurden in der Studie betrachtet?
In Zusammenarbeit mit der Verbraucherzentrale Nordrhein-Westfalen wurden die Datenschutzhinweise der Anbieter und die im Registrierungsprozess erhobenen Daten bewertet. Ziel war es zu prüfen, ob die Datenverarbeitung transparent, datensparsam und rechtskonform erfolgt.
7. Wo finde ich weitere Informationen und die detaillierten Ergebnisse?
Das BSI stellt einen Abschlussbericht zur IT-Sicherheit von Passwortmanagern sowie eine gemeinsame Veröffentlichung mit der VZ NRW zu IT-Sicherheit und Datenschutz bereit. Zusätzlich bietet die BSI-Website allgemeine Empfehlungen und Hintergrundinformationen rund um sichere Passwörter und den Einsatz von Passwortmanagern.