BSI prüft Passwort-Manager: Einige ermöglichen theoretisch Herstellerzugriff

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einige Passwort-Manager untersucht und dabei zumindest Verbesserungsbedarf festgestellt. So ermöglichen einige der getesteten Programme theoretisch möglicherweise den Herstellern, auf die gespeicherten Passwörter zuzugreifen. Das ist jedoch kein Grund, auf den Einsatz von Passwort-Managern zu verzichten, betont die oberste IT-Sicherheitsbehörde des Landes.

Für die Untersuchung hat das BSI zehn Passwort-Manger ausgesucht, die gewisse Kriterien erfüllen: Sie müssen für die populärsten Betriebssysteme verfügbar sein, also Windows, macOS, Android und iOS. Zudem müssen die Anwendungen über sichere Vetriebskanäle verfügbar sein – Verbraucher sollten sie auch nur darüber beziehen, ergänzt die Behörde. Aus den 24 mit dieser Filterung in der Vorauswahl gelandeten Passwort-Managern landeten zwei der in den weitverbreitesten Webbrowsern integrierten im Testfeld, der Chrome-Passwort-Manager und der Mozilla-Firefox-Passwort-Manager. Aus den übrigen hat das BSI eine Zufallsauswahl getroffen: 1Password, Avira Password Manager, mSecure - Password Manager, PassSecurium, S-Trust Passwort-Manager und SecureSafe Password-Manager. Zusätzlich kamen stellvertretend für die App-Klasse der KeePass-Abkömmlinge KeePassXC und KeePass2Android in die Testaufstellung.

Bewertung des BSI

Im Dokument finden sich die Einschätzungen zu den Passwort-Managern konkret ab Seite 23. In 1Password hat das BSI keine Designfehler entdeckt. Der Avira-Passwort-Manager nutzt nicht überprüfbare kryptografische Algorithmen, was von Verbrauchern Vertrauen verlangt; die biometrische Authentifizierung sollten Nutzer deaktivieren und das Masterpasswort zusätzlich an einem sicheren Ort aufbewahren. Beim Chrome-Passwort-Manager bemängelt das BSI potenziellen Datenzugriff durch den Hersteller, sofern keine Passphrase von Nutzern gesetzt wurde; die On-Device-Verschlüsselung lasse theoretisch Zugriff bei aktiver Benutzung zu. Nicht alle Felder werden verschlüsselt, etwa Nutzernamen liegen im Klartext vor.

Bei Keepass2Android hat das BSI keine Bedenken angemeldet, lediglich ein Backup sollten Nutzerinnen und Nutzer selbst anlegen. Die Einordnung von KeePassXC sieht nahezu identisch aus, das BSI rät jedoch dazu, einen Zeitraum einzustellen, nach dem die App sich selbst gegen Zugriff sperrt. Der Mozilla Firefox Passwort Manager kann laut BSI bedenkenlos genutzt werden, sofern die Einstellung „Hauptpasswort setzen“ aktiviert wurde. Die Synchronisation mit dem Mozilla-Konto sollten Interessierte aktivieren oder alternativ selbst für eine Sicherung sorgen. Beim mSecure Password Manager könnte der Hersteller theoretisch auf die Daten zugreifen, auch sonst ist das BSI wenig angetan von der Reaktion des Herstellers: „Insgesamt erfüllt das Konzept nicht die üblichen Erwartungen an Passwortmanager. Weitere Eigenschaften stützen diese Sicherheitsbedenken“; wer mit dem Gedanken spielt, die Software zu nutzen, sollte prüfen, ob „dem Hersteller ohne objektive Grundlage das notwendige Vertrauen“ entgegenzubringen sei. Im Klartext: Finger weg davon.

Deutlicher wird das BSI bei PassSecurium: „Die Tatsache, dass der Hersteller jederzeit auf gespeicherte Passwörter von Nutzenden zugreifen kann, ist mit grundsätzlichen Sicherheitsanforderungen an Passwort-Manager unvereinbar“, erklärt die Behörde. Von der Nutzung der Free/Standard-Apps 1.1.63 (Android) und 2.1.2 (iOS) raten die Beamten bis zur Verteilung des Master-Upgrades auf Version 3.x sogar konkret ab. Beim SecureSafe Password-Manager kann der Hersteller theoretisch auf die Daten zugreifen, da lediglich serverseitig ver- und entschlüsselt wird. Laut BSI muss man dem Hersteller daher vertrauen, dass die „kompensatorischen Maßnahmen“ effektiv derartige Zugriffe unterbinden. Hinter S-Trust Password Manager verbirgt sich die SecureSafe-App, sodass das hierfür Gesagte auch beim Sparkassen-Abkömmling gilt. Die Sparkassen werden den Betrieb davon zum 31. März 2026 einstellen.

Von dem Einsatz der letzten vier Produkte rät das BSI demnach eher ab. Die anderen Passwort-Manager haben keine derartig gravierenden Schwachstellen, wegen derer das BSI von der Nutzung abraten würde. Das BSI gibt in der Untersuchung noch die Hinweise, dass Verbraucher möglichst die Zwei-Faktor-Authentifizierung (2FA) nutzen sollten – idealerweise mit Hardware-Token und mit Einmal-Passwörtern (Time-Based One-Time Passwords, TOTP). Auf SMS-OTP sollten Nutzer hingegen verzichten, da diese etwa für SIM-Swapping anfällig seien.

Ende 2024 hatte das BSI bereits Passwort-Manager untersucht. Damals ging es um Code-Analysen von Open-Source-Anwendungen. Dabei stießen sie auf Schwachstellen, deren Risiko die Behörde als „hoch“ eingestuft hatte.

(dmk)