Passwortmanager-Test des BSI

Der aktuelle Passwortmanager-Test des BSI zeigt: Trotz identifizierter Sicherheitsmängel bleibt der Einsatz von Passwortmanagern ausdrücklich empfohlen.

Die Untersuchung liefert wichtige Orientierung zur Auswahl sicherer Lösungen und zeigt, worauf Sie bei IT-Sicherheit und Datenschutz achten sollten. Mehr dazu lesen Sie bei uns.

Was sind Passwortmanager?

Passwortmanager sind Softwarelösungen zur sicheren Verwaltung von Zugangsdaten. Sie speichern Passwörter, Benutzernamen und weitere sensible Informationen verschlüsselt in einem digitalen Tresor. Der Zugriff erfolgt über ein zentrales Masterpasswort oder zusätzliche Sicherheitsfaktoren.

Im Alltag entlasten Passwortmanager Sie deutlich. Statt Passwörter mehrfach zu verwenden oder unsicher zu notieren, erzeugen sie für jeden Dienst ein eigenes, starkes Kennwort. Viele Lösungen tragen diese Daten automatisch in Anmeldefelder ein. Das reduziert Fehler und verhindert Phishing-Erfolge.

Moderne Passwortmanager bieten weitere Funktionen. Dazu zählen die Synchronisation über mehrere Geräte, Warnungen bei bekannten Datenlecks sowie die Verwaltung von Zwei-Faktor-Authentisierung. Richtig konfiguriert leisten Passwortmanager einen wichtigen Beitrag zur IT-Sicherheit – sowohl für Privatpersonen als auch für kleine Unternehmen. Da es unzählige Passwortmanager gibt, hat das BSI zehn verbreitete systematisch getestet.

Sichere Passwörter sind in einem Passwortmanager gut aufgehoben. Bild: stock.adobe.com/David

Relevanz vom Passwortmanger-Test

Vom Passwortmanager-Test des BSI profitieren kleine und mittlere Unternehmen direkt von den Ergebnissen. Denn in vielen Betrieben schützen Passwörter den Zugriff auf E-Mail-Konten, Cloud-Dienste, Buchhaltung oder Kundenportale. Ein einzelnes kompromittiertes Kennwort kann hier bereits erheblichen Schaden verursachen.

Das Bundesamt für Sicherheit in der Informationstechnik hat zehn verbreitete Passwortmanager systematisch untersucht. Ziel war es, Sicherheitsfunktionen, Implementierungsdetails und potenzielle Schwachstellen transparent zu bewerten. Die Ergebnisse helfen, Risiken realistisch einzuschätzen und fundierte Entscheidungen zu treffen.

Gerade für kleine Unternehmen ohne eigene IT-Abteilung bietet der Test eine wertvolle Orientierung. Er zeigt, welche Sicherheitsmerkmale heute als Standard gelten und wo Hersteller nachbessern müssen. Damit liefert der Passwortmanager-Test eine belastbare Grundlage für mehr Schutz im Arbeitsalltag.

Wie hat das BSI Passwortmanager geprüft?

Für den Passwortmanager-Test hat das BSI gemeinsam mit dem FZI Forschungszentrum Informatik zehn ausgewählte Produkte untersucht. Die Auswahl erfolgte auf Basis einer systematischen Marktanalyse und berücksichtigt sowohl eigenständige Passwortmanager als auch browserbasierte Lösungen. Folgende Passwortmanager, die über ein Masterpasswort in der Standard­kon­fi­gu­ra­tion verfügen und mit zweitem Faktor geschützt werden können, wurden untersucht:

• 1Password, Version 8.10.62 für Android
• Avira Password Manager, Version 2.11 für Android
• mSecure Password Manager, Version 6.1.5 für Android
• PassSecurium, Privatkunden-Tarife FREE/Standard; Android 1.1.63 / iOS 2.1.2
• KeePass2 Android, Version 1.12-r5 für Android
• KeePassXC, Version 2.7.9 für Windows
• S-Trust Password Manager, Version 4.0.1 für Windows
• SecureSafe Password Manager, 2.24.1 für Windows
• Google Chrome Password Manager, Version 137.0.7151.69 unter Windows 10 Pro
• Mozilla Firefox Password Manager, Version 139.0.1 für Windows

Im Fokus standen die sicherheitstechnischen Eigenschaften der Anwendungen. Geprüft wurden unter anderem die Verschlüsselung der gespeicherten Daten, der Schutz durch ein Masterpasswort, die Unterstützung eines zweiten Faktors sowie die sichere Integration in Betriebssysteme und Browser. Zusätzlich analysierte das BSI, ob Hersteller technisch auf gespeicherte Passwörter zugreifen können.

Ergänzend floss eine datenschutzrechtliche Bewertung ein. In Kooperation mit der Verbraucherzentrale Nordrhein-Westfalen wurden Datenschutzhinweise und Registrierungsprozesse geprüft. Ziel war es, Transparenz, Datenminimierung und den Umgang mit personenbezogenen Informationen nachvollziehbar zu bewerten. Die Ergebnisse beider Prüfungen wurden in einer gemeinsamen Veröffentlichung zusammengeführt.

Das BSI hat Sicherheit und Datenschutz der unterschiedlichen Passwortmanager überprüft. Bild: stock.adobe.com/rh2010 

Passwortmanager-Test: die Ergebnisse

Der Passwortmanager-Test des BSI zeigt ein differenziertes Bild. Keines der untersuchten Produkte ist vollständig frei von Schwächen. Dennoch erfüllen viele Lösungen zentrale Sicherheitsanforderungen und bieten einen deutlich höheren Schutz als manuelle Passwortverwaltung. Auffälligkeiten sind:

• Drei der zehn geprüften Passwortmanager (Chrome, mSecure und PassSecurium) speichern Passwörter so, dass Hersteller theoretisch darauf zugreifen könnten. Dadurch erhöht sich die Angriffsfläche auf Seiten des Anbieters. Nutzer müssen in diesen Fällen zusätzliches Vertrauen in technische und organisatorische Schutzmaßnahmen des Herstellers setzen. Besonders bei cloudbasierter Speicherung empfiehlt das BSI, den Speicherort und das dortige Schutzniveau genau zu prüfen.
• Sieben der zehn Passwortmanager (Avira, Chrome, Mozilla, mSecure, PassSecurium, SecureSafe und S-Trust) verschlüsseln Metadaten unvollständig
• Acht der zehn Passwortmanager (1Password, Avira, Chrome, Mozilla, mSecure, PassSecurium, SecureSafe und S-Trust) weisen eine fehlende Neuverschlüsselung nach einer Änderung des Masterpassworts auf.

Positiv fiel auf, dass viele Passwortmanager etablierte Sicherheitsfunktionen wie Zwei-Faktor-Authentisierung, automatische Sperren und Schutz vor bekannten Datenlecks unterstützen. Das erste Fazit lautet also, dass zwar Sicherheitsmängel existieren, diese jedoch stark variieren. Wichtig: Die Risiken fallen deutlich geringer aus als die Gefahren, die durch schwache oder wiederverwendete Passwörter entstehen.

Mängel da, Nutzung dennoch empfohlen

Trotz der im Passwortmanager-Test identifizierten Schwachstellen rät das BSI zur Nutzung eines Passwortmanagers. Der Grund ist einfach: Die Risiken unsicherer Passwortpraktiken wie Wiederverwendung oder zu einfache Kennwörter überwiegen deutlich.

Ohne Passwortmanager greifen viele Nutzer auf wenige, leicht merkbare Passwörter zurück. Gelangt eines davon durch Phishing oder Datenlecks in falsche Hände, sind häufig mehrere Konten gleichzeitig betroffen. Passwortmanager unterbinden dieses Risiko, indem sie für jeden Dienst ein eigenes, komplexes Passwort erzeugen und verwalten.

Auch aus Unternehmenssicht ist der Nutzen klar. Passwortmanager reduzieren menschliche Fehler, vereinfachen den sicheren Zugriff auf Arbeitskonten und stärken die Schutzwirkung zusätzlicher Sicherheitsmechanismen. Selbst bei einzelnen Implementierungsmängeln bieten sie ein deutlich höheres Sicherheitsniveau als jede manuelle Lösung.

Das BSI kommt daher zu einer eindeutigen Bewertung: Wer keinen Passwortmanager nutzt, setzt sich größeren Gefahren aus als durch die Nutzung eines Produkts mit begrenzten Schwächen.

Wissen Sie, welcher Passwortmanager zu Ihren Anforderungen passt? PC-SPEZIALIST bringt Licht ins Dunkel. Bild: stock.adobe.com/vegefox.com

Wahl des Passwortmanagers

Der Passwortmanager-Test des BSI zeigt, dass sich Produkte deutlich unterscheiden. Vor der Entscheidung sollten Sie daher zentrale Sicherheits- und Nutzungsaspekte prüfen. Eine bewusste Auswahl reduziert Risiken und erhöht den Schutz sensibler Zugangsdaten.

Ein sicheres Masterpasswort bildet die Grundlage jeder Lösung. Achten Sie darauf, dass dieses standardmäßig aktiv ist und ausreichend komplex gewählt wird. Zusätzlich empfiehlt sich der Einsatz eines zweiten Faktors, idealerweise über Hardware-Token oder zeitbasierte Einmalpasswörter.

Bei cloudbasierter Nutzung spielt der Speicherort der Daten eine wichtige Rolle. Informieren Sie sich, wo Passwörter abgelegt werden und ob sämtliche Inhalte inklusive Metadaten vollständig verschlüsselt sind. Ebenso relevant ist, ob der Hersteller technisch vom Zugriff ausgeschlossen ist.

Für den praktischen Einsatz sollten Sie außerdem prüfen, ob automatische Sperren, sichere Backup-Funktionen und regelmäßige Updates vorgesehen sind. Nur ein gepflegter und aktuell gehaltener Passwortmanager bietet langfristig verlässlichen Schutz.

Verbraucherzentrale prüft Datenschutz

Neben der IT-Sicherheit hat der Passwortmanager-Test auch datenschutzrechtliche Aspekte beleuchtet. In Zusammenarbeit mit der Verbraucherzentrale Nordrhein-Westfalen wurden die vom BSI ausgewählten Passwortmanager hinsichtlich ihrer Datenschutzhinweise und Registrierungsprozesse geprüft.

Die Untersuchung zeigt, dass viele Anbieter vergleichsweise datensparsam arbeiten. Häufig werden nur Daten erhoben, die für den Betrieb notwendig sind, etwa eine E-Mail-Adresse oder technische Basisinformationen. Besonders positiv fielen Open-Source-Lösungen auf, bei denen Passworttresore primär lokal gespeichert werden und keine Weitergabe personenbezogener Daten erfolgt.

Kritisch bewertet wurden unklare oder nicht deutschsprachige Datenschutzhinweise sowie die Nutzung von Daten zu Marketingzwecken. Auch Single-Sign-On-Verfahren bergen aus Datenschutz- und Sicherheits­sicht zusätzliche Risiken, da sie den Passwortmanager an externe Konten koppeln.

Sind Ihre Passwörter und hinterlegten Daten im Passwortmanager sicher? Das hat die Verbraucherzentrale interessiert. Bild: stock.adobe.com/Deemerwha studio

Transparenz als Sicherheitsfaktor

Ein zentrales Ergebnis des Passwortmanager-Tests betrifft die Rolle der Hersteller. Das BSI betont, dass transparente Sicherheitskonzepte maßgeblich zum Vertrauen in digitale Produkte beitragen. Nur wenn technische Grundlagen offen nachvollziehbar sind, lassen sich Sicherheitsversprechen fundiert bewerten.

Im Rahmen eines kooperativen Herstellerdialogs haben viele Anbieter auf die Untersuchung reagiert, leiteten Verbesserungen ein oder sagten konkrete Maßnahmen zu. Der fachliche Austausch trug dazu bei, identifizierte Schwachstellen zu beheben und das Sicherheitsniveau insgesamt anzuheben.

Das BSI empfiehlt Herstellern, Sicherheitskonzepte, Systemarchitekturen und eingesetzte kryptografische Verfahren möglichst vollständig zu dokumentieren. Ebenso wichtig ist der technische Ausschluss eines Herstellerzugriffs auf gespeicherte Daten. Etablierte Kryptografie und eine durchgängige Verschlüsselung aller Inhalte gelten dabei als Mindeststandard.

Mehr IT-Sicherheit dank PC-SPEZIALIST

Bei allen Tests, Für und Wider: Entscheidend ist der verantwortungsvolle Einsatz eines Passwortmanagers. Regelmäßige Programmaktualisierungen schließen bekannte Schwachstellen und erhöhen das Schutzniveau kontinuierlich. Ebenso wichtig sind eine sichere Konfiguration, ein starkes Masterpasswort und die Aktivierung zusätzlicher Sicherheitsfunktionen.

Wer diese Punkte beachtet, nutzt seinen Passwortmanager als wirksames Werkzeug für mehr IT-Sicherheit im digitalen Alltag – sowohl privat als auch im Unternehmen. Sind Sie auf der Suche nach einem geeigneten Passwortmanager? Dann kommen Sie gern zu Ihrem IT-Dienstleister in der Nähe und lassen Sie sich beraten. Zuvor können Sie sich bereits an der Checkliste des BSI orientieren und folgende Fragen stellen:

• Für welche Konten brauchen Sie einen Passwort-Manager?
• Welches Programm passt am besten zu Ihren Online-Gewohnheiten?
• Wo werden Ihre Daten gesichert?
• Benötigen Sie einen zweiten Faktor zur Authentisierung?
• Haben Sie ein sicheres Masterpasswort?

Unsere IT-Experten helfen Ihnen bei der Auswahl eines Passwortmanagers, der zu Ihren Arbeitsabläufen passt. Wir prüfen Sicherheitsfunktionen, Datenschutzaspekte und Integrationsmöglichkeiten in bestehende Systeme. Auf Wunsch übernehmen wir auch die sichere Einrichtung, Schulung Ihrer Mitarbeiter und die laufende Betreuung. Nehmen Sie gern Kontakt zu uns auf.

_______________________________________________

Quellen: BSI, BSI-Publikation, BSI-Publikation, IT-Business, Pexels/fauxels (Headerbild)