BSI‑Analyse: Sicherheitslage bei Passwortmanagern
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Rahmen einer IT‑Sicherheitsanalyse auf dem digitalen Verbrauchermarkt die Sicherheitsaspekte gängiger Passwortmanager untersucht. Der Bericht basiert auf einer Bewertung von zehn verbreiteten Produkten verschiedener Typen (inkl. browserbasierter Lösungen, Apps und Open‑Source‑Varianten). Ziel ist es, Chancen und Risiken dieser zentralen Tools zur Passwortverwaltung praxisnah aufzuzeigen.
Wesentliche Befunde
- Sicherheitsunterschiede zwischen Anbietern: Die Bewertung zeigt deutliche Unterschiede im konzeptionellen Sicherheitsniveau:
– Bei mehreren getesteten Passwortmanagern ermöglichen die Konstruktion oder Implementierung theoretischen Herstellerzugriff auf gespeicherte Daten, was die Angriffs‑ und Vertrauensfläche erhöht.
– Nur wenige Produkte bieten vollständige Verschlüsselung inkl. sicherer Neuverschlüsselung nach Änderung des Masterpassworts, was bei Kompromittierung zentral ist. - Kryptographie‑ und Konzeptqualität: Die Untersuchung bewertet kryptographische Mechanismen, Phishing‑Schutz, Backup‑Strategien und Konzepte zur Minimierung von Hersteller‑ oder Cloud‑Zugriffen – letztlich ein Maßstab für die Resilienz gegenüber realen Angriffsszenarien.
Nutzen vs. Risiken
Trotz festgestellter Schwächen betont das BSI, dass der Nutzen von Passwortmanagern die Risiken überwiegt: Das Verwalten individueller, starker Passwörter reduziert deutlich das Phishing‑ und Kompromittierungsrisiko im Vergleich zu wiederverwendeten oder schwachen Passwörtern.
Empfehlungen für Verantwortliche
- Bei Auswahl und Einsatz sollten Datenschutz‑ und Sicherheitsverantwortliche auf:
• Complete Verschlüsselung aller gespeicherten Daten, inklusive Metadaten,
• Transparente kryptographische Konzepte und Audit‑Nachweise,
• Minimierung von Herstellerzugriffen und klare Kontrollmechanismen,
• Regelmäßige Software‑Updates und robuste Backup‑Verfahren achten. - Bei cloudbasierter Synchronisation ist es zudem wichtig, Standort und Rechtsrahmen der Speicherdaten zu kennen und datenschutzrechtlich zu bewerten.
Fazit: Für Datenschutz‑ und Sicherheitsstrategien bleibt die Nutzung von Passwortmanagern ein zentraler Baustein zur Stärkung von Accountschutz und Passworthygiene; die Auswahl geeigneter Produkte und eine sachkundige Risikoabschätzung sind jedoch entscheidend.
(Foto: chinnarach – stock.adobe.com)
Das könnte Sie auch interessieren
-
Folge 87: Reformbedarf bei der DSGVO: Eine Parallelspur für den Digitalomnibus
An der Technischen Universität München (TUM) hat sich ein Think Tank formiert. Er bietet die organisatorische Plattform für Impulse zur Diskussion aktueller Themen der Digitalisierung. Für die Gesellschaft für Datenschutz und Datensicherheit ist Dr. Stefan Brink vom wissenschaftlichen Institut für die Digitalisierung der Arbeitswelt (WIDA) beteiligt. Ende 2025 hat das Gremium mit einem erweiterten Kreis von
Mehr erfahren -
Personalakten sind nicht Teil des Bewerbungsverfahrens
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat sich im Tätigkeitsbericht 2024 grundsätzlich gegen die Praxis ausgesprochen, im öffentlichen Dienst Bewerbenden die Einwilligung zur Personalakteneinsicht abzuverlangen, und entsprechende Änderungen bei der Senatsverwaltung für Finanzen (SenFin) angeregt. Bisherige Praxis Wer sich aus einem bestehenden öffentlich-rechtlichen Beschäftigungsverhältnis heraus auf eine neue Stelle im Berliner Landesdienst bewirbt,
Mehr erfahren -
Ignorierte Verwarnung der Aufsichtsnehörde wirkt bußgelderhöhend
Das Landgericht Berlin hat in einem Bußgeldverfahren gegen einen E-Commerce-Konzern grundlegende Aussagen zur Bemessung von DS-GVO-Geldbußen getroffen. Der Fall ist dem Tätigkeitsbericht 2024 der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) zu entnehmen. Ausgangslage Die BlnBDI hatte 2022 ein Bußgeld gegen ein Unternehmen wegen eines Interessenkonflikts des betrieblichen Datenschutzbeauftragten verhängt: Die als DSB benannte Person
Mehr erfahren
