Zum Inhalt springen
Technik. Tests. Trends.
VG Wort Pixel

Sicherheitsanalyse und Empfehlungen

BSI: Passwortmanager mit potenziellen Risiken

Das BSI hat Passwortmanager getestet. Drei ermöglichen theoretisch einen Herstellerzugriff. Trotz Mängeln überwiegt aber der Nutzen.

9 Passwort-Manager im Test
Passwortmanager sorgen gleichsam für mehr Sicherheit, bergen aber andere Risiken.
© 13_Phunkod / shutterstock.com

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in Zusammenarbeit mit der Verbraucherzentrale Nordrhein-Westfalen (VZ NRW) zehn Passwortmanager auf ihre Sicherheitsmerkmale untersucht. Die Analyse zielte darauf ab, die IT-Sicherheit dieser Programme zu bewerten, die für viele Nut...

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in Zusammenarbeit mit der Verbraucherzentrale Nordrhein-Westfalen (VZ NRW) zehn Passwortmanager auf ihre Sicherheitsmerkmale untersucht. Die Analyse zielte darauf ab, die IT-Sicherheit dieser Programme zu bewerten, die für viele Nutzerinnen und Nutzer essenziell sind, um Passwörter sicher zu verwalten und Onlinekonten zu schützen.

Technische Details

Das BSI hat zehn Passwortmanager hinsichtlich ihrer Sicherheitsarchitektur und Verschlüsselungstechniken analysiert. Zu den getesteten Programmen gehören unter anderem 1Password, Avira Password Manager, mSecure und PassSecurium. Die Untersuchung ergab, dass drei der getesteten Programme Passwörter in einer Weise speichern, die theoretisch den Herstellern Zugriff ermöglichen könnte. Diese Programme sind der Chrome Password Manager, mSecure und PassSecurium. Die Sicherheitsarchitektur dieser Anwendungen weist Schwächen auf, da sie keine vollständige Ende-zu-Ende-Verschlüsselung implementieren.

Der Chrome Password Manager speichert Nutzernamen teilweise im Klartext, was Rückschlüsse auf das Nutzungsverhalten zulassen könnte. Bei PassSecurium ist der Herstellerzugriff technisch jederzeit möglich, was den modernen Sicherheitsstandards widerspricht. Das BSI empfiehlt, dass Hersteller den Zugriff technisch vollständig ausschließen und die Zero-Knowledge-Architektur implementieren, bei der der Entschlüsselungsschlüssel das Endgerät niemals verlässt.

Die Open-Source-Programme KeePassXC und KeePass2Android schnitten in der Bewertung positiv ab. Sie bieten eine lokale Speicherung der Datenbank, was den Nutzern die volle Kontrolle über ihre Daten gibt. Das BSI empfiehlt, einen automatischen Sperr-Timer bei Inaktivität zu konfigurieren, um unbefugte Zugriffe zu verhindern.

Zwei-Faktor-Authentifizierung (2FA) als zusätzliche Sicherheitsebene

Das BSI empfiehlt die Verwendung von Hardware-Token oder TOTP-Apps für die 2FA und warnt vor der Nutzung von SMS-Verfahren aufgrund der Anfälligkeit für SIM-Swapping.

Autor: Leif Bärler • 10.12.2025

Frag’ die KI
Weitere Artikel aus diesem Bereich:
Windows 11 läuft bald nicht mehr auf älteren Rechnern.
Optionales November-Update Windows 11: Fehler und Ausfälle nach Patch KB5070311
9 Passwort-Manager im Test
Sicherheitsanalyse und Empfehlungen BSI: Passwortmanager mit potenziellen Risiken
Künstliche Intelligenz (KI/AI) lässt Hardware-Preise explodieren und Firmen wie Konsumenten leiden.
Speicherknappheit treibt Preise in die Höhe Flash- und DRAM-Mangel belastet Technikmärkte
Der Ausfall von ChatGPT hatte Auswirkungen auf andere KI-Systeme.
Wege zur Monetarisierung ChatGPT: Gerüchte um Werbung dementiert, Fokus auf Kernentwicklung
Weiter zur Startseite