{"id":9533,"date":"2026-02-18T04:07:09","date_gmt":"2026-02-18T04:07:09","guid":{"rendered":"https:\/\/www.europesays.com\/ch-de\/9533\/"},"modified":"2026-02-18T04:07:09","modified_gmt":"2026-02-18T04:07:09","slug":"bizarre-code-architekturen-eth-zuerich-findet-gravierende-luecken-in-passwortmanagern","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/ch-de\/9533\/","title":{"rendered":"«Bizarre Code-Architekturen»: ETH Z\u00fcrich findet «gravierende L\u00fccken» in Passwortmanagern"},"content":{"rendered":"

«Bizarre Code-Architekturen»ETH Z\u00fcrich findet «gravierende L\u00fccken» in Passwortmanagern17.02.2026, 14:52 Uhr \"Icke-im-Wald\"\/Von Klaus Wedekind<\/a><\/p>\n

Artikel anh\u00f6ren(06:24 min)<\/p>\n

\"Konzept-zum-Knacken-eines-Passworts-oder-Softwarecodes-Concept-for-cracking-a-password-or-software-code-Copyright-imageBROKER-sanivalphoto-ibxvsa15918138\"\/Die demonstrierten Angriffe setzen voraus, dass Server der Anbieter vollst\u00e4ndig \u00fcbernommen werden k\u00f6nnen. (Foto: IMAGO\/imagebroker)TeilenFolgen auf:\"whatsapp\"<\/a>\"whatsapp\"<\/a><\/p>\n

Forschende der ETH Z\u00fcrich untersuchen drei popul\u00e4re Passwortmanager. Sie entdecken «gravierende Sicherheitsl\u00fccken», die es in Tests erlauben, gespeicherte Zugangsdaten einzusehen und zu ver\u00e4ndern.<\/p>\n

Passwortmanager sind enorm hilfreich, wenn es darum geht, f\u00fcr Dutzende verschiedene Online-Konten Zugangsdaten zu verwalten, ohne sich viele unterschiedliche und komplizierte Passw\u00f6rter merken zu m\u00fcssen. K\u00fcrzlich haben das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) und die Verbraucherzentrale NRW auch best\u00e4tigt<\/a>, dass zehn oft verwendete L\u00f6sungen grunds\u00e4tzlich sicher sind. Forschende der ETH Z\u00fcrich haben jetzt allerdings in drei weiteren popul\u00e4ren Passwortmanagern «gravierende Sicherheitsl\u00fccken» entdeckt<\/a>, die Hackern unter Umst\u00e4nden vollst\u00e4ndigen Zugriff auf gespeicherte Daten erm\u00f6glichen.<\/p>\n

Die in der Schweiz untersuchten L\u00f6sungen sind Bitwarden, Lastpass und Dashlane, die nicht zu den von BSI und der Verbraucherzentrale NRW gepr\u00fcften Produkten geh\u00f6ren. Wie bei fast allen Passwortmanagern handelt es sich bei ihnen um cloudbasierte L\u00f6sungen. Das hei\u00dft, die Daten der Kunden werden auf Servern der Unternehmen abgelegt, wo sie verschl\u00fcsselt sicher vor jedem Zugriff sein sollen \u2013 auch durch die Anbieter.<\/p>\n

Zu viel versprochen<\/p>\n

«Das Versprechen lautet, dass selbst wenn jemand auf den Server zugreifen kann, dies kein Sicherheitsrisiko f\u00fcr die Kunden darstellt, weil die Daten verschl\u00fcsselt und damit unlesbar sind», erkl\u00e4rt Matilda Backendal, die an der Studie beteiligt war. «Wir konnten nun zeigen, dass dies nicht stimmt.»<\/p>\n

F\u00fcr seine Untersuchung setzte das Forschungsteam eigene Server auf, die sich so verhalten sollten wie ein gehackter Server eines Passwortmanagers. In ihrem Szenario arbeitet er also nicht mehr vertrauensw\u00fcrdig, sondern kann bei der Kommunikation mit dem Nutzer \u2013 etwa \u00fcber einen Webbrowser \u2013 bewusst falsche oder manipulierte Antworten liefern. Dadurch k\u00f6nnten Angreifer einzelne Passwortspeicher (Tresore) gezielt ver\u00e4ndern. Im schlimmsten Fall w\u00e4re es sogar m\u00f6glich, alle gespeicherten Passw\u00f6rter von Nutzerinnen und Nutzern oder auch einer Organisation unter ihre Kontrolle zu bringen.<\/p>\n

Gr\u00f6\u00dfe der Sicherheitsl\u00fccken \u00fcberrascht<\/p>\n

Insgesamt demonstrierten die Wissenschaftler zw\u00f6lf Angriffe auf Bitwarden, sieben auf Lastpass und sechs auf Dashlane. In den meisten F\u00e4llen konnten sie sich Zugang zu Passw\u00f6rtern verschaffen und sie manipulieren. Dazu seien lediglich \u00fcbliche Interaktionen mit den Managern n\u00f6tig gewesen, schreiben die Forschenden – zum Beispiel beim Konto anmelden, den Tresor \u00f6ffnen, Passw\u00f6rter anzeigen oder Daten synchronisieren.<\/p>\n

«Wir waren \u00fcberrascht, wie gro\u00df die Sicherheitsl\u00fccken sind», sagt Backendahls Kollege Kenneth Paterson. Das Team habe \u00e4hnliche L\u00fccken bereits bei anderen cloudbasierten Diensten entdeckt, sei aber davon ausgegangen, dass der Sicherheitsstandard aufgrund der kritischen Daten bei Passwortmanagern deutlich h\u00f6her ist. «Da die Ende-zu-Ende-Verschl\u00fcsselung bei kommerziellen Diensten noch relativ neu ist, hatte sich das anscheinend noch nie jemand genauer angeschaut.» <\/p>\n

Benutzerfreundlichkeit als Risikofaktor<\/p>\n

Als Problem der untersuchten L\u00f6sungen stellten sich «sehr bizarre Code-Architekturen» heraus. Sie seien darauf zur\u00fcckzuf\u00fchren, dass Unternehmen bem\u00fcht seien, ihren Kunden einen m\u00f6glichst benutzerfreundlichen Service anzubieten, zum Beispiel die M\u00f6glichkeit, Passw\u00f6rter zur\u00fcckzugewinnen oder den eigenen Account mit Familienmitgliedern zu teilen, sagt Teammitglied Matteo Scarlata. «Dadurch werden die Codes komplexer, un\u00fcbersichtlicher, und die m\u00f6glichen Angriffsstellen f\u00fcr Hacker nehmen zu.» F\u00fcr die Angriffe seien keine besonders leistungsstarken Computer und Server n\u00f6tig, erkl\u00e4rt der Wissenschaftler, «nur kleine Programme, mit welchen man dem Server eine falsche Identit\u00e4t vort\u00e4uschen kann».<\/p>\n

Wie beim Aufdecken von Schwachstellen \u00fcblich informierten die Forschenden die Unternehmen fr\u00fchzeitig und gaben ihnen vor der Ver\u00f6ffentlichung 90 Tage Zeit, um die Probleme zu beheben. «Die Anbieter waren vorwiegend kooperativ und dankbar, aber nicht alle waren gleich schnell beim Beheben der Sicherheitsl\u00fccken», sagt Paterson. Es habe sich gezeigt, dass die Entwickler der Passwortmanager aus Sorge, Kunden k\u00f6nnten den Zugriff auf ihre Daten verlieren, sehr zur\u00fcckhaltend mit Systemupdates seien.<\/p>\n

Scarlata schl\u00e4gt vor, die Systeme f\u00fcr Neukunden kryptografisch auf den neuesten Stand zu bringen. Bestandskunden k\u00f6nnten dann ausw\u00e4hlen, ob sie auf das neue, sicherere System migrieren und ihre Passw\u00f6rter dorthin \u00fcberf\u00fchren m\u00f6chten oder ob sie beim alten System bleiben \u2013 in Kenntnis der bestehenden Sicherheitsl\u00fccken. Paterson r\u00e4t allgemein, einen Manager zu w\u00e4hlen, der offen \u00fcber m\u00f6gliche Sicherheitsl\u00fccken informiert, extern gepr\u00fcft wird und bei dem zumindest die Ende-zu-Ende-Verschl\u00fcsselung standardm\u00e4\u00dfig eingeschaltet ist.<\/p>\n

Stellungnahmen der betroffenen Anbieter<\/p>\n

Bitwarden<\/a> begr\u00fc\u00dft in einer Stellungnahme die Arbeit der Forschenden. Die Tests basierten jedoch auf einem hypothetischen Szenario mit einem vollst\u00e4ndig manipulierten Server, schreibt das Unternehmen. Bitwarden sei noch nie von einem Sicherheitsvorfall betroffen gewesen, nach bestem Wissen und Gewissen sei auch von keinem anderen Passwortmanager-Produkt ein solches Szenario bekannt. Bitwarden sei von den Forschenden ausgew\u00e4hlt worden, weil es im Gegensatz zu vielen Konkurrenten eine \u00fcberpr\u00fcfbare Open-Source-Architektur verwende.<\/p>\n

Bei Lastpass<\/a> ist das nicht der Fall, sein Code ist \u00fcberwiegend propriet\u00e4r. Der Anbieter lobt aber ebenfalls die Arbeit der Schweizer Wissenschaftler, die helfe, die Sicherheit seines Produkts zu verbessern. Das Unternehmen weist darauf hin, dass kein sofortiges Handeln der Kundinnen und Kunden n\u00f6tig sei, es g\u00e4be keinerlei Anzeichen daf\u00fcr, dass die L\u00fccken ausgen\u00fctzt w\u00fcrden. Lastpass listet zudem einzelne Punkte auf, die bereits verbessert wurden, was aktuell bearbeitet wird und welche Schritte folgen sollen.<\/p>\n

Auch Dashlane<\/a>, dessen Quellcode einsehbar ist, geht offen mit der Schweizer Forschung um. Der Hersteller best\u00e4tigt die Ergebnisse und teilt mit, welche Korrekturen mit einem Update im vergangenen November vorgenommen wurden. Ebenso listet es wie die Mitbewerber Punkte auf, die nicht ge\u00e4ndert werden k\u00f6nnen oder bei denen das Sicherheitsrisiko nicht hoch genug sein soll, um f\u00fcr dessen Beseitigung Nutzerfunktionen einzuschr\u00e4nken.<\/p>\n

Quelle: ntv.de<\/p>\n","protected":false},"excerpt":{"rendered":"«Bizarre Code-Architekturen»ETH Z\u00fcrich findet «gravierende L\u00fccken» in Passwortmanagern17.02.2026, 14:52 Uhr Von Klaus Wedekind Artikel anh\u00f6ren(06:24 min) Die demonstrierten…\n","protected":false},"author":2,"featured_media":9534,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25],"tags":[4216,4219,4218,4217,45,333,104],"class_list":{"0":"post-9533","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-zuerich","8":"tag-computersicherheit","9":"tag-cyberkriminalitaet","10":"tag-hacker","11":"tag-it-sicherheit","12":"tag-schweiz","13":"tag-technologie","14":"tag-zuerich"},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/posts\/9533","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/comments?post=9533"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/posts\/9533\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/media\/9534"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/media?parent=9533"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/categories?post=9533"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/ch-de\/wp-json\/wp\/v2\/tags?post=9533"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}