Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat gemeinsam mit dem FZI Forschungszentrum Informatik eine umfassende Untersuchung der IT-Sicherheitseigenschaften von zehn marktführenden Passwortmanagern veröffentlicht. Angesichts der täglichen Bedrohung durch Datenleaks und Phishing stellt diese Analyse eine wichtige Orientierungshilfe für die Absicherung privater wie geschäftlicher Onlineaccounts dar, da Passwortmanager einen signifikanten Beitrag zur Risikominimierung leisten können.
Wie funktionieren Passwortmanager?
Passwortmanager fungieren als digitaler Tresor, der komplexe Zugangsdaten generiert, verschlüsselt speichert und Nutzende vor Phishing-Websites warnt. Die Funktionsweise basiert auf einer verschlüsselten Datenbank, die durch ein zentrales Masterpasswort geschützt wird und eine automatisierte Anmeldung bei Onlinediensten ermöglicht.
Für die aktuelle Untersuchung führte das BSI im Jahr 2024 eine umfassende Marktsichtung durch, wobei der Fokus auf Produkten für den Privatgebrauch lag, die sowohl als eigenständige Apps als auch als Browser-Integrationen verfügbar sind. Die Auswahl der Testkandidaten folgte dabei gewissen Kriterien. Die Software musste einen hohen Reifegrad aufweisen, innerhalb der letzten zwölf Monate aktualisiert worden sein und eine signifikante Marktabdeckung über verschiedene Betriebssysteme wie Windows, Android und iOS bieten. Insgesamt wurden zehn marktrelevante Produkte ausgewählt, um die Sicherheitslage auf dem digitalen Verbrauchermarkt praxisnah zu bewerten.
Zugriff des Herstellers auf Passwörter
Die Prüfung durch das BSI umfasste eine Gefährdungsanalyse anhand verschiedener Angreifermodelle, vom physischen Zugriff auf das Endgerät bis hin zur Kompromittierung von Herstellerservern. Ein kritisches Ergebnis der Untersuchung ist, dass bei drei der zehn getesteten Produkte die technische Konstruktion einen theoretischen Zugriff des Herstellers auf die gespeicherten Daten ermögliche. Zudem wurde festgestellt, dass nach einer Änderung des Masterpassworts bei acht von zehn Anwendungen keine vollständige Neuverschlüsselung des Passwort-Containers erfolgt. Auch die konsequente Verschlüsselung sensibler Metadaten wie Benutzernamen oder URLs wird lediglich von einer Minderheit der untersuchten Programme vollständig umgesetzt.
Transparenz und kryptografische Mängel
Insgesamt bemängelt das BSI eine verbreitete Intransparenz am Markt. Grund dafür ist, dass für die Mehrzahl der Produkte keine öffentlich verfügbaren Informationen über Sicherheitsauditierungen oder Penetrationstests vorlägen. Nur vier der getesteten Manager setzen nachweislich ausschließlich sichere und korrekt konfigurierte kryptografische Algorithmen gemäß den Technischen Richtlinien des BSI ein. Dennoch betont die Behörde ausdrücklich, dass der Nutzen dieser Tools zur Vermeidung schwacher oder wiederverwendeter Passwörter die identifizierten Risiken bei weitem überwiege. Vielmehr würde die Gefahr durch Phishing ohne diese Hilfsmittel deutlich höher ausfallen.
Strategische Bedeutung für die Informationssicherheit
Für Unternehmen bedeutet dies, dass Passwortmanager trotz technischer Defizite ein essenzieller Baustein der unternehmensweiten Passworthygiene bleiben. Die Risiken einer fehlenden zentralen Passwortverwaltung werden als gravierender eingeschätzt als die Implementierungsmängel einzelner Produkte. Durch den kooperativen Dialog des BSI mit der Branche haben zudem bereits mehrere Hersteller zugesagt, die identifizierten Schwachstellen zeitnah zu beheben oder haben bereits Verbesserungen eingeleitet.
Handlungsbedarf für Unternehmen und Verantwortliche
Bei der Auswahl einer geeigneten Lösung sollten Datenschutz- und Sicherheitsverantwortliche primär auf eine vollständige Verschlüsselung aller Daten inklusive der Metadaten sowie auf transparente kryptografische Konzepte und Audit-Nachweise achten. Es ist für Unternehmen dringend ratsam, Produkte zu bevorzugen, die den Herstellerzugriff technisch wirksam ausschließen und deren Sicherheitskonzepte öffentlich dokumentiert sind. Bei der Nutzung cloudbasierter Dienste müssen zudem der Speicherort und der dort geltende Rechtsrahmen einer genauen datenschutzrechtlichen Bewertung unterzogen werden. Flankierend zur Softwareauswahl ist die Einführung interner Richtlinien zur verpflichtenden Nutzung der Zwei-Faktor-Authentisierung und zur zeitnahen Übernahme von Software-Updates unerlässlich.
Fazit
Die Untersuchung des BSI verdeutlicht, dass die Wahl des richtigen Passwortmanagers eine sachkundige Risikoabschätzung erfordert. Denn die Angebote verschiedener Anwender besitzen deutliche Unterschiede im Sicherheitsniveau. Für eine moderne Sicherheitsstrategie bleibt der Einsatz dieser Tools jedoch weiterhin ein Kernbestandteil, um den Accountschutz und die allgemeine IT-Resilienz im Unternehmen nachhaltig zu stärken.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
