BSI‑Analyse: Sicherheitslage bei Passwortmanagern

Sicherheit und Passwortmanager

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Rahmen einer IT‑Sicherheitsanalyse auf dem digitalen Verbrauchermarkt die Sicherheitsaspekte gängiger Passwortmanager untersucht. Der Bericht basiert auf einer Bewertung von zehn verbreiteten Produkten verschiedener Typen (inkl. browserbasierter Lösungen, Apps und Open‑Source‑Varianten). Ziel ist es, Chancen und Risiken dieser zentralen Tools zur Passwortverwaltung praxisnah aufzuzeigen.

Wesentliche Befunde

  • Sicherheitsunterschiede zwischen Anbietern: Die Bewertung zeigt deutliche Unterschiede im konzeptionellen Sicherheitsniveau:
    – Bei mehreren getesteten Passwortmanagern ermöglichen die Konstruktion oder Implementierung theoretischen Herstellerzugriff auf gespeicherte Daten, was die Angriffs‑ und Vertrauensfläche erhöht.
    – Nur wenige Produkte bieten vollständige Verschlüsselung inkl. sicherer Neuverschlüsselung nach Änderung des Masterpassworts, was bei Kompromittierung zentral ist.
  • Kryptographie‑ und Konzeptqualität: Die Untersuchung bewertet kryptographische Mechanismen, Phishing‑Schutz, Backup‑Strategien und Konzepte zur Minimierung von Hersteller‑ oder Cloud‑Zugriffen – letztlich ein Maßstab für die Resilienz gegenüber realen Angriffsszenarien.

Nutzen vs. Risiken

Trotz festgestellter Schwächen betont das BSI, dass der Nutzen von Passwortmanagern die Risiken überwiegt: Das Verwalten individueller, starker Passwörter reduziert deutlich das Phishing‑ und Kompromittierungsrisiko im Vergleich zu wiederverwendeten oder schwachen Passwörtern.

Empfehlungen für Verantwortliche

  • Bei Auswahl und Einsatz sollten Datenschutz‑ und Sicherheitsverantwortliche auf:
    Comple­te Verschlüsselung aller gespeicherten Daten, inklusive Metadaten,
    Transparente kryptographische Konzepte und Audit‑Nachweise,
    Minimierung von Herstellerzugriffen und klare Kontrollmechanismen,
    Regelmäßige Software‑Updates und robuste Backup‑Verfahren achten.
  • Bei cloudbasierter Synchronisation ist es zudem wichtig, Standort und Rechtsrahmen der Speicherdaten zu kennen und datenschutzrechtlich zu bewerten.

Fazit: Für Datenschutz‑ und Sicherheitsstrategien bleibt die Nutzung von Passwortmanagern ein zentraler Baustein zur Stärkung von Accountschutz und Passworthygiene; die Auswahl geeigneter Produkte und eine sachkundige Risikoabschätzung sind jedoch entscheidend.

(Foto: chinnarach – stock.adobe.com)

Letztes Update:04.01.26

  • Online Recruiting Datenschutzhinweis Transparenz

    Datenschutzverstoß beim Online-Recruiting

    Informationspflicht bei Datenerhebung aus Drittquellen Werden personenbezogene Daten nicht direkt bei der betroffenen Person erhoben, sondern aus Drittquellen wie öffentlich einsehbaren Profilen, greift die strengere Informationspflicht des Art. 14 DS-GVO statt der milderen Regelung des Art. 13 DS-GVO. Verantwortliche müssen der betroffenen Person dann von sich aus mitteilen, woher die Daten stammen, zu welchem Zweck

    Mehr erfahren
  • Backup Strategie Ransomware

    Ransomware-Angriff: Mangelhafte Datensicherung führt zu Totalverlust

    Der aktuelle Tätigkeitsbericht 2025 der Landesbeauftragten für den Datenschutz Brandenburg (LDA) dokumentiert einen abgeschlossenen Fall (S. 47), der die Grenzen rein formaler Backup-Konzepte verdeutlicht: Eine Arztpraxis meldete der Aufsichtsbehörde nach Art. 33 DS-GVO eine Datenschutzverletzung infolge eines Ransomware-Angriffs. Betroffen waren rund 75 Gigabyte medizinischer und administrativer Daten von über 8.000 Patientinnen und Patienten. Ein Datenabfluss

    Mehr erfahren
  • Interne Revision und Datenschutz

    Datenschutz, Informationssicherheit und KI als integriertes Prüffeld der Internen Revision

    Der DIIR-Arbeitskreis „Datenschutz & Data Governance“ hat seinen bewährten Leitfaden zur Internen Revision und Datenschutz sowie die begleitende Checkliste zur Prüfung der Datenschutzorganisation grundlegend überarbeitet und als Version 3.0 veröffentlicht. Beide Dokumente reagieren auf die erheblich veränderten regulatorischen und technologischen Rahmenbedingungen der letzten Jahre. Erweiterter Themenrahmen: KI und Informationssicherheit neu integriert Datenschutz ist längst kein

    Mehr erfahren
WordPress Cookie Hinweis von Real Cookie Banner