close notice<\/p>\n
\n This article is also available in It was translated with technical assistance and editorially reviewed before publication.\n <\/p>\n \n Don\u2019t show this again.\n<\/p>\n Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) hat einige Passwort-Manager untersucht und dabei zumindest Verbesserungsbedarf festgestellt. So erm\u00f6glichen einige der getesteten Programme theoretisch m\u00f6glicherweise den Herstellern, auf die gespeicherten Passw\u00f6rter zuzugreifen. Das ist jedoch kein Grund, auf den Einsatz von Passwort-Managern zu verzichten, betont die oberste IT-Sicherheitsbeh\u00f6rde des Landes.<\/p>\n Weiterlesen nach der Anzeige<\/p>\n F\u00fcr die Untersuchung hat das BSI<\/a> zehn Passwort-Manger ausgesucht, die gewisse Kriterien erf\u00fcllen: Sie m\u00fcssen f\u00fcr die popul\u00e4rsten Betriebssysteme verf\u00fcgbar sein, also Windows, macOS, Android und iOS. Zudem m\u00fcssen die Anwendungen \u00fcber sichere Vetriebskan\u00e4le verf\u00fcgbar sein \u2013 Verbraucher sollten sie auch nur dar\u00fcber beziehen, erg\u00e4nzt die Beh\u00f6rde. Aus den 24 mit dieser Filterung in der Vorauswahl gelandeten Passwort-Managern landeten zwei der in den weitverbreitesten Webbrowsern integrierten im Testfeld, der Chrome-Passwort-Manager und der Mozilla-Firefox-Passwort-Manager. Aus den \u00fcbrigen hat das BSI eine Zufallsauswahl getroffen: 1Password, Avira Password Manager, mSecure – Password Manager, PassSecurium, S-Trust Passwort-Manager und SecureSafe Password-Manager. Zus\u00e4tzlich kamen stellvertretend f\u00fcr die App-Klasse der KeePass-Abk\u00f6mmlinge KeePassXC und KeePass2Android in die Testaufstellung.<\/p>\n Bewertung des BSI<\/p>\n Im Dokument finden sich die Einsch\u00e4tzungen zu den Passwort-Managern konkret ab Seite 23. In 1Password<\/strong> hat das BSI keine Designfehler entdeckt. Der Avira-Passwort-Manage<\/strong>r nutzt nicht \u00fcberpr\u00fcfbare kryptografische Algorithmen, was von Verbrauchern Vertrauen verlangt; die biometrische Authentifizierung sollten Nutzer deaktivieren und das Masterpasswort zus\u00e4tzlich an einem sicheren Ort aufbewahren. Beim Chrome-Passwort-Manager<\/strong> bem\u00e4ngelt das BSI potenziellen Datenzugriff durch den Hersteller, sofern keine Passphrase von Nutzern gesetzt wurde; die On-Device-Verschl\u00fcsselung lasse theoretisch Zugriff bei aktiver Benutzung zu. Nicht alle Felder werden verschl\u00fcsselt, etwa Nutzernamen liegen im Klartext vor.<\/p>\n Bei Keepass2Android<\/strong> hat das BSI keine Bedenken angemeldet, lediglich ein Backup sollten Nutzerinnen und Nutzer selbst anlegen. Die Einordnung von KeePassXC<\/strong> sieht nahezu identisch aus, das BSI r\u00e4t jedoch dazu, einen Zeitraum einzustellen, nach dem die App sich selbst gegen Zugriff sperrt. Der Mozilla Firefox Passwort Manager<\/strong> kann laut BSI bedenkenlos genutzt werden, sofern die Einstellung \u201eHauptpasswort setzen\u201c aktiviert wurde. Die Synchronisation mit dem Mozilla-Konto sollten Interessierte aktivieren oder alternativ selbst f\u00fcr eine Sicherung sorgen. Beim mSecure Password Manager<\/strong> k\u00f6nnte der Hersteller theoretisch auf die Daten zugreifen, auch sonst ist das BSI wenig angetan von der Reaktion des Herstellers: \u201eInsgesamt erf\u00fcllt das Konzept nicht die \u00fcblichen Erwartungen an Passwortmanager. Weitere Eigenschaften st\u00fctzen diese Sicherheitsbedenken\u201c; wer mit dem Gedanken spielt, die Software zu nutzen, sollte pr\u00fcfen, ob \u201edem Hersteller ohne objektive Grundlage das notwendige Vertrauen\u201c entgegenzubringen sei. Im Klartext: Finger weg davon.<\/p>\n Deutlicher wird das BSI bei PassSecurium<\/strong>: \u201eDie Tatsache, dass der Hersteller jederzeit auf gespeicherte Passw\u00f6rter von Nutzenden zugreifen kann, ist mit grunds\u00e4tzlichen Sicherheitsanforderungen an Passwort-Manager unvereinbar\u201c, erkl\u00e4rt die Beh\u00f6rde. Von der Nutzung der Free\/Standard-Apps 1.1.63 (Android) und 2.1.2 (iOS) raten die Beamten bis zur Verteilung des Master-Upgrades auf Version 3.x sogar konkret ab. Beim SecureSafe Password-Manager<\/strong> kann der Hersteller theoretisch auf die Daten zugreifen, da lediglich serverseitig ver- und entschl\u00fcsselt wird. Laut BSI muss man dem Hersteller daher vertrauen, dass die \u201ekompensatorischen Ma\u00dfnahmen\u201c effektiv derartige Zugriffe unterbinden. Hinter S-Trust Password Manager<\/strong> verbirgt sich die SecureSafe-App, sodass das hierf\u00fcr Gesagte auch beim Sparkassen-Abk\u00f6mmling gilt. Die Sparkassen werden den Betrieb davon zum 31. M\u00e4rz 2026 einstellen.<\/p>\n Von dem Einsatz der letzten vier Produkte r\u00e4t das BSI demnach eher ab. Die anderen Passwort-Manager haben keine derartig gravierenden Schwachstellen, wegen derer das BSI von der Nutzung abraten w\u00fcrde. Das BSI gibt in der Untersuchung noch die Hinweise, dass Verbraucher m\u00f6glichst die Zwei-Faktor-Authentifizierung (2FA) nutzen sollten \u2013 idealerweise mit Hardware-Token und mit Einmal-Passw\u00f6rtern (Time-Based One-Time Passwords, TOTP). Auf SMS-OTP sollten Nutzer hingegen verzichten, da diese etwa f\u00fcr SIM-Swapping anf\u00e4llig seien.<\/p>\n Weiterlesen nach der Anzeige<\/p>\n Ende 2024 hatte das BSI bereits Passwort-Manager untersucht. Damals ging es um Code-Analysen von Open-Source-Anwendungen<\/a>. Dabei stie\u00dfen sie auf Schwachstellen, deren Risiko die Beh\u00f6rde als \u201ehoch<\/strong>\u201c eingestuft hatte.<\/p>\n
\n English<\/a>.<\/p>\n