Der Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Untersuchung mehrerer Passwort-Manager durchgeführt und dabei festgestellt, dass bei einigen Programmen Verbesserungspotenzial besteht. Theoretisch könnten Hersteller auf gespeicherte Passwörter zugreifen, was jedoch kein Grund ist, auf die Nutzung von Passwort-Managern zu verzichten, betont die höchste IT-Sicherheitsbehörde des Landes.
Die Untersuchung des BSI umfasste zehn Passwort-Manager, die bestimmte Kriterien erfüllen mussten: Sie sollten für die gängigsten Betriebssysteme wie Windows, macOS, Android und iOS verfügbar sein und über sichere Vertriebskanäle bezogen werden können. Aus einer Vorausswahl von 24 Kandidaten wurden zwei browserintegrierte Lösungen – der Chrome Password Manager und der Mozilla Firefox Password Manager – sowie eine zufällige Auswahl weiterer Programme in den Test aufgenommen. Darunter befanden sich 1Password, Avira Password Manager, mSecure – Password Manager, PassSecurium, S-Trust Password Manager und SecureSafe Password Manager. Zusätzlich wurden KeePassXC und KeePass2Android als Vertreter der KeePass-Derivate getestet.
BSI-Bewertung der Passwort-Manager
Die detaillierten Bewertungen der Passwort-Manager sind ab Seite 23 des Berichts zu finden. Bei 1Password stellte das BSI keine Designschwächen fest. Der Avira Password Manager hingegen nutzt nicht verifizierbare kryptographische Algorithmen, was ein gewisses Vertrauen seitens der Verbraucher erfordert. Nutzern wird empfohlen, die biometrische Authentifizierung zu deaktivieren und das Master-Passwort zusätzlich sicher zu speichern. Für den Chrome Password Manager bemängelt das BSI den potenziellen Datenzugriff durch den Hersteller, sofern keine Passphrase vom Nutzer gesetzt wurde; die On-Device-Verschlüsselung erlaubt theoretisch einen Zugriff während der aktiven Nutzung. Nicht alle Felder werden verschlüsselt, beispielsweise werden Benutzernamen im Klartext gespeichert.
Der KeePass2Android gibt laut BSI keinen Anlass zur Sorge, lediglich die Erstellung eines eigenen Backups wird empfohlen. Ähnlich bewertet wird KeePassXC, wobei das BSI hier die Einstellung eines Zeitlimits für die automatische Sperrung der App empfiehlt. Der Mozilla Firefox Password Manager kann laut BSI bedenkenlos genutzt werden, vorausgesetzt, die Option “Master-Passwort festlegen” wurde aktiviert. Eine Synchronisierung mit dem Mozilla-Konto oder die Sicherstellung eines Backups wird für Interessierte empfohlen. Beim mSecure – Password Manager könnte der Hersteller theoretisch auf die Daten zugreifen, und die Reaktion des Herstellers auf die BSI-Kritik wird als unzureichend bewertet. Das BSI rät generell von der Nutzung ab, wenn kein objektiver Grund besteht, dem Hersteller zu vertrauen.
Das BSI äußert sich deutlicher bei PassSecurium: “Dass der Hersteller jederzeit auf die gespeicherten Passwörter der Nutzer zugreifen kann, ist mit grundlegenden Sicherheitsanforderungen an Passwort-Manager nicht vereinbar”, so die Behörde. Insbesondere wird von der Nutzung der kostenlosen/Standard-Apps 1.1.63 (Android) und 2.1.2 (iOS) abgeraten, bis ein Master-Upgrade auf Version 3.x verteilt wird. Beim SecureSafe Password-Manager kann der Hersteller theoretisch auf die Daten zugreifen, da Verschlüsselung und Entschlüsselung serverseitig erfolgen. Hier muss dem Hersteller vertraut werden, dass “kompensierende Maßnahmen” einen solchen Zugriff effektiv verhindern. Hinter S-Trust Password Manager steht die SecureSafe-App, weshalb die Aussagen für diesen auch auf den Sparkassen-Ableger zutreffen.
Empfehlungen und Fazit
Daher rät das BSI eher von der Nutzung der letztgenannten vier Produkte ab. Die übrigen Passwort-Manager weisen keine gravierenden Schwachstellen auf, die eine generelle Nutzungseinschränkung durch das BSI rechtfertigen würden. Grundsätzlich empfiehlt das BSI, wann immer möglich, die Zwei-Faktor-Authentifizierung (2FA) zu nutzen, idealerweise mit Hardware-Tokens und Einmal-Passwörtern (Time-Based One-Time Passwords, TOTP). Von SMS-basierten Einmal-Passwörtern (SMS-OTP) wird abgeraten, da diese anfällig für Angriffe wie SIM-Swapping sind.
Bereits Ende 2024 hatte das BSI Passwort-Manager untersucht, wobei der Fokus auf Code-Analysen von Open-Source-Anwendungen lag. Auch hier wurden Schwachstellen entdeckt, deren Risiko die Behörde als “hoch” einstufte. Insgesamt zeigt die Untersuchung, dass trotz einiger Schwächen bei einzelnen Produkten die Nutzung von Passwort-Managern weiterhin eine sinnvolle Maßnahme zur Erhöhung der digitalen Sicherheit darstellt, wenn man auf vertrauenswürdige Anbieter setzt und die empfohlenen Sicherheitsmaßnahmen beachtet.