BSI findet Sicherheitslücken bei Passwortmanagern – rät aber weiter zur Nutzung

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat gemeinsam mit dem FZI Forschungszentrum Informatik zehn Passwortmanager auf ihre IT-Sicherheitseigenschaften untersucht. Die am 5. Dezember 2025 veröffentlichten Ergebnisse offenbaren Schwachstellen bei einzelnen Produkten, führen aber nicht zu einer Abkehr von der Empfehlung dieser Sicherheitstools.

Bei drei der zehn untersuchten Passwortmanager stellte das BSI fest, dass diese Passwörter so speichern, dass Hersteller theoretisch Zugriff darauf haben könnten. Diese Implementierung vergrößert die Angriffsfläche auf Herstellerseite, wie das Bundesamt mitteilt. Nutzer müssen in diesen Fällen darauf vertrauen, dass die Hersteller zusätzliche kompensatorische Maßnahmen ergriffen haben, um unbefugten Zugriff zu verhindern. Das BSI empfiehlt Verbrauchern bei cloudbasierter Datenspeicherung, sich über den Speicherort und das dortige Schutzniveau zu informieren. Entsprechende Angaben finden sich auf Hersteller-Websites, in den Allgemeinen Geschäftsbedingungen oder Datenschutzhinweisen.

Nutzen überwiegt Risiken deutlich

Trotz der identifizierten Mängel bleibt die Position des BSI eindeutig: Die Risiken, keinen Passwortmanager zu nutzen, seien erheblich größer als die Implementierungsmängel einzelner Produkte. Die Wiederverwendung von Passwörtern oder die Nutzung schwacher Passwörter führe zu erhöhter Phishing-Anfälligkeit.

Der Abschlussbericht „IT-Sicherheit auf dem digitalen Verbrauchermarkt: Fokus Passwortmanager“ enthält eine tabellarische Übersicht der sicherheitsrelevanten Eigenschaften der geprüften Produkte. Diese soll Verbrauchern die informierte Auswahl eines Passwortmanagers ermöglichen. Das BSI betont, dass zeitnahe Updates ein wichtiger zusätzlicher Schutz seien.

Hersteller zeigen Kooperationsbereitschaft

Nach der Untersuchung tauschten sich nahezu alle beteiligten Hersteller offen mit dem BSI über die Erkenntnisse aus, wie die Behörde berichtet. Mehrere Unternehmen hätten bereits Verbesserungen eingeleitet oder zugesagt. Dieser kooperative Dialog habe dazu beigetragen, identifizierte Defizite zu beheben und die IT-Sicherheit im Bereich der Passwortmanager voranzubringen.

Das BSI fordert von Herstellern mehr Transparenz durch öffentliche Dokumentation ihrer Sicherheitskonzepte. Dazu gehören laut Bundesamt die Systemarchitektur, Details zur eingesetzten Kryptografie sowie der Softwareentwicklungsprozess mit seinen Schutzmechanismen. Diese Transparenz ermögliche detailliertere unabhängige Überprüfungen und erhöhe das Vertrauen der Nutzer.

Auf Basis der Untersuchungsergebnisse formuliert das Amt klare Anforderungen an Hersteller: Sie sollen Sicherheitskonzepte und Audit-Berichte öffentlich dokumentieren, den Herstellerzugriff technisch ausschließen, etablierte Kryptografie nutzen und alle Daten einschließlich Metadaten vollständig verschlüsseln.

Die technische Richtlinie BSI TR-02102-1 bietet eine Übersicht über empfohlene kryptographische Mechanismen, Schlüssellängen und Betriebsmodi. Das BSI empfiehlt Herstellern, stets auf etablierte kryptographische Konzepte und Algorithmen zu setzen.

Datenschutzprüfung durch Verbraucherzentrale

Parallel zur Sicherheitsuntersuchung des BSI hat die Verbraucherzentrale Nordrhein-Westfalen (VZ NRW) die zehn Passwortmanager datenschutzrechtlich geprüft. Dabei wurden sowohl die Datenschutzhinweise als auch die im Registrierungsprozess erhobenen Daten begutachtet. Die kombinierten Ergebnisse beider Untersuchungen sind in der Veröffentlichung „Passwortmanager im Test: IT-Sicherheit und Datenschutz im Fokus“ zusammengefasst. (sf)

Weitere Artikel zum Thema: 

Passkeys als Passwortersatz

BSI IT-Grundschutz-konforme Benutzerpasswörter

BSI empfiehlt Login mit Passkeys