Kurz: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Verbraucherzentrale NRW haben sich 10 Passwortmanager vorgenommen. Ergebnis: Katastrophal. Hersteller-Backdoors, unverschlüsselte Metadaten und Tracking bei Bezahl-Software. Wer immer noch glaubt, „Cloud“ sei „nur der Computer von jemand anderem“ und deshalb sicher, kriegt hier die Quittung.

Aber von vorn. Untersucht wurden im ersten Halbjahr 2025 zehn Kandidaten: 1Password, Avira, Chrome, KeePass2Android, KeePassXC, Mozilla Firefox, mSecure, PassSecurium, SecureSafe und S-Trust .

Hier sind die blutigen Details aus dem Leichenschauhaus der IT-Sicherheit.

1. Krypto-Fail: Wenn der Schlüsselmeister schläft

Man sollte meinen, bei einem Passwortmanager wäre die Verschlüsselung das absolute Basis-Feature. Pustekuchen.

Das BSI hat geprüft, was passiert, wenn ihr euer Masterpasswort ändert. Die logische Erwartung: Alles wird neu verschlüsselt, damit der alte Schlüssel nutzlos wird.

Realität: Nur ZWEI der zehn Kandidaten kriegen das hin (1Password und KeePassXC). Bei den anderen bleiben die alten Schlüssel für die Datencontainer bestehen oder es wird nur schlampig drübergebügelt. Das bedeutet: Wenn ein Angreifer eure alten Schlüssel/Backups hat, hilft auch das Ändern des Masterpassworts herzlich wenig.

Noch schlimmer: Unverschlüsselte Metadaten. Einige Manager speichern URLs und Benutzernamen im Klartext. Warum ist das schlimm? Weil es niemanden etwas angeht, dass ich einen Account bei ashleymadison.com oder fetisch-dating.de habe, selbst wenn das Passwort dazu sicher ist. Die bloße Existenz des Accounts ist die sensible Info.

2. Die „Vertrau mir, Bruder“-Falle (Herstellerzugriff)

Jetzt wird es richtig gruselig. Die heilige Gral der Passwortmanager ist „Zero Knowledge“. Der Hersteller darf niemals Zugriff auf eure Daten haben. Das BSI hat festgestellt: Bei Chrome Password Manager, PassSecurium und S-Trust besteht zumindest theoretisch die Möglichkeit, dass der Hersteller auf die Daten zugreift. Bei Chrome heißt es „Nein“, aber in bestimmten Modi haben sie technisch doch Zugriff.

Wer also Google oder der Sparkasse (S-Trust) seine digitalen Schlüssel gibt, kann sie eigentlich auch gleich auf Facebook posten. Okay, Polemik aus, aber: Ein Zugriff muss technisch ausgeschlossen sein, nicht nur per AGB versprochen werden .

3. Datenschutz: Wir tracken dich, während du bezahlst

Kommen wir zum Thema „Datensparsamkeit“. Die Open-Source-Helden KeePassXC und KeePass2Android gewinnen hier haushoch. Sie speichern lokal, funken nicht nach Hause, wollen keine Daten.

Die kommerziellen Anbieter? Ein Trauerspiel.

• 1Password verlangt Geld für den Dienst, trackt euch aber trotzdem zu Marketingzwecken und teilt Daten mit „Marketingpartnern“. Geht’s noch? Ich bezahle, damit ihr meine Daten nicht verkauft!
• Avira sammelt sogar ungefähre Standortdaten über die IP und nutzt Dark Patterns, um euch Sachen unterzujubeln. Wenn ihr FaceID ablehnen wollt, ist der Button versteckt oder farblich so gestaltet, dass ihr aus Versehen „Ja“ klickt. Widerlich.

4. Single-Sign-On (SSO): Die Mutter aller dummen Ideen

Einige Manager (wie Avira) bieten an, sich per Facebook, Apple oder Google einzuloggen. LASST. DAS. SEIN. Das ist, als würdet ihr den Schlüssel zu eurem Tresor an eure Haustür kleben. Wenn euer Google-Account fällt (Phishing, Leak, Dummheit), hat der Angreifer nicht nur eure E-Mails, sondern alle eure Passwörter auf einen Schlag. Außerdem fließen im Hintergrund munter Daten zwischen den Konzernen. Das BSI rät explizit davon ab.

Fazit & Was ihr tun müsst

Trotz des Gemeckers: Nutzt Passwortmanager! Das BSI sagt (und da haben sie recht): Das Risiko durch schlechte Passwörter („123456“ überall) ist größer als das Risiko eines schlechten Passwortmanagers .

Aber wählt weise:

1. Open Source und Lokal: Nehmt KeePassXC (Desktop) oder KeePass2Android (Mobile). Die Daten bleiben bei euch, kein Cloud-Geraffel, keine Werbung, keine Backdoors.
2. Finger weg von SMS-2FA: Wenn ihr Cloud-Dienste nutzt, sichert den Account mit einem Hardware-Token (YubiKey etc.) ab. SMS ist unsicher (SIM-Swapping).
3. Backups machen: Verlasst euch nicht auf die Cloud. Wenn ihr euer Masterpasswort vergesst, ist bei guten Managern (die keine Backdoor haben) Schicht im Schacht.
4. Kein SSO: Niemals.

Das PDF ist übrigens lesenswert, wenn man auf Schmerzen steht. Da sieht man schwarz auf weiß, welche Versionen getestet wurden (Stand Ende 2024/Anfang 2025). Die Hersteller geloben Besserung. Wer’s glaubt.

Zusammenfassung: Open Source > Cloud. Lokal > Server. KeePass > Rest.

Ende der Durchsage.