Passwort-Manager – nicht alle Produkte sicher und datensparsam

Die Verbraucherzentrale NRW und das BSI untersuchten im Rahmen einer Kooperation, wie sicher und datenschutzkonform ausgewählte Passwort-Manager sind

[datensicherheit.de, 14.12.2025] Da viele Verbraucher im Alltag identische oder zu einfache Passwörter verwenden, riskieren sie damit den Missbrauch ihrer Daten bzw. Opfer eines Betrugs zu werden. Passwort-Manager könnten nun dabei helfen, diese Gefahr durch die Verwaltung starker und individueller Passwörter zu verringern. Doch nicht alle Produkte schützten gleich gut und datensparsam – dies hat demnach eine gemeinsame Untersuchung der Verbraucherzentrale Nordrhein-Westfalen (VZ NRW) und des Bundesamts für Sicherheit in der Informationstechnik (BSI) gezeigt. Zehn weit verbreitete Passwort-Manager seien daraufhin überprüft worden, wie sicher sie Passwörter speichern und wie sie mit den sensiblen Nutzerdaten umgehen.

Abbildung: BDI & VZ NRW

Abschlussbericht der Untersuchung des BSI und der VZ NRW zur Sicherheit und Datenschutzkonformität ausgewählter Passwort-Manager

IT-Sicherheit und Datenschutz der Passwort-Manager auf dem Prüfstand

Im Rahmen einer Kooperation zwischen der VZ NRW und dem BSI sei im ersten Halbjahr 2025 untersucht worden, wie sicher und datenschutzkonform ausgewählte Passwort-Manager sind. Auf Grundlage einer systematischen Marktanalyse habe das BSI zehn ausgewählte Passwort-Manager einer Gefährdungsanalyse unterzogen und die Ergebnisse den Herstellern mit Gelegenheit zur Stellungnahme vorab zur Verfügung gestellt. Ziel dieser Untersuchung sei es gewesen, die IT-Sicherheit der Passwort-Manager zu bewerten.

• Die VZ NRW habe dann die vom BSI ausgewählten Passwort-Manager hinsichtlich der Frage untersucht, wie diese mit dem Thema Datenschutz umgehen. Dazu seien zum einen die Datenschutzhinweise und zum anderen der Registrierungsprozess begutachtet worden.

Ergänzend habe die VZ NRW eine Verbraucherumfrage zum Thema Passwortverwaltung durchgeführt, um konkrete Treiber und Barrieren für die Nutzung von Passwort-Managern zu erheben. An dieser Umfrage haben laut VZ NRW 1.203 Internet-Nutzer teilgenommen.

Hälfte der geprüften Passwort-Manager erfreulicherweise datensparsam

„Die Auswertung der Datenschutzhinweise zeigt, dass ungefähr die Hälfte der geprüften Passwort-Manager erfreulicherweise datensparsam sind und entweder keinerlei personenbezogene Daten erfassen oder vornehmlich nur für die Bereitstellung des Dienstes erforderliche Daten erheben und verarbeiten“, berichtet Dr. Ayten Öksüz, Expertin für Datenschutz bei der VZ NRW.

• Einige Anbieter erfassten zusätzlich Nutzungsdaten wie beispielsweise die Webseiten, für welche die Zugangsdaten gespeichert wurden, sowie die Häufigkeit ihrer Aufrufe. Diese Daten würden teilweise zur Verbesserung der Dienste ausgewertet. Nur wenige Anbieter nutzten Daten auch zu Marketingzwecken oder teilten sie mit Marketingpartnern.

Vor der Wahl des Passwort-Managers sollten Verbraucher daher laut Öksüz unbedingt die Datenschutzhinweise der jeweiligen Anbieter prüfen und darauf achten, dass die Passwort-Manager keine unnötigen Daten erheben und weitergeben.

Drei der zehn untersuchten Passwort-Manager speicherten Passwörter in bedenklicher Weise

Mehr Mängel seien bei der Prüfung der IT-Sicherheit durch das BSI festgestellt worden. Drei der zehn untersuchten Passwort-Manager speicherten Passwörter in einer Weise, welche Herstellern einen Zugriff zumindest theoretisch ermöglichten – wenn auch teilweise nur unter gewissen Bedingungen.

• Dies erweitere aber prinzipiell die Angriffsfläche und erfordere zusätzliche Schutzmaßnahmen des Anbieters. Bei zwei Passwort-Managern sei eine Bewertung nicht möglich gewesen.

Lediglich drei der untersuchten Passwort-Manager verschlüsselten den kompletten Inhalt. Bei anderen würden teilweise Daten wie Benutzername und die Webseiten der gespeicherten Zugänge unverschlüsselt abgelegt.

Kriterien für einen guten Passwort-Manager

Um eine sichere und effektive Verwaltung unterschiedlicher Passwörter zu gewährleisten, seien Passwort-Manager sinnvoll. Wie diese Untersuchung gezeigt habe, gebe es aber auch Schwachstellen bei einzelnen Anbietern. Bei der Auswahl sollte der Fokus auf Sicherheit und Datenschutz gelegt werden.

• Die Passwort-Manager sollten sämtliche Daten nach aktuellem Stand der Technik verschlüsseln und nur die notwendigsten Daten verarbeiten, welche zur Bereitstellung des Dienstes unumgänglich sind. Bei der anschließenden Nutzung sollte auf die Einrichtung eines starken Master-Passworts, die Aktivierung einer Zwei-Faktor-Authentifizierung (2FA), automatische Backups der gespeicherten Passwörter sowie eine automatische Sperrung bei Nichtnutzung geachtet werden, um einen unberechtigten Zugriff zu verhindern.

Werden die Daten im Passwort-Manager in einer „Cloud“ gespeichert, sollten Verbraucher sich über den Ort der Speicherung und dessen Schutzniveau beim Hersteller informieren.

Anbieter in der Pflicht, Passwort-Manager datensparsam und sicher zu gestalten

Eine Umfrage der Verbraucherzentrale NRW habe zudem weitere Erkenntnisse über den Umgang mit Passwörtern und die Nutzung von Passwort-Managern unter Verbraucher erbracht. Die Mehrheit der Befragten, die keinen Passwort-Manager nutzen, habe als Grund dafür angegeben, dass sie Angst hätten, die darin gespeicherten Passwörter könnten gestohlen oder vom Anbieter eingesehen werden.

• Diese Angst teile bei den Nutzern von Passwort-Managern immerhin noch ein Fünftel der Befragten. Sowohl unter denjenigen, die einen Passwort-Manager nutzen, als auch unter denjenigen, die keinen nutzen, sei die Sicherheit mit Abstand die am häufigsten genannte Eigenschaft, welche bei der Wahl eine Rolle spiele.

„Damit Passwort-Manager genutzt werden, ist es unerlässlich, dass dem Produkt und dem Hersteller Vertrauen geschenkt werden kann und kein Zugriff auf die Daten möglich ist, auch nicht seitens des Anbieters!“, betont Öksüz und fordert abschließend: „Hier sehen wir die Hersteller in der Pflicht, durch hohe Sicherheits- und Datenschutzstandards vertrauenswürdige Produkte anzubieten.“

Weitere Informationen zum Thema:

Verbraucherzentrale Nordrhein-Westfalen
Verbraucherzentrale NRW: Wir über uns / Von Jahresberichten und Leitbild bis zur Satzung oder aktuellen Stellenangeboten: Informationen der Verbraucherzentrale NRW „in eigener Sache“

Verbraucherzentrale Nordrhein-Westfalen, 09.12.2025
10 Passwort-Manager im Vergleich: Wie datenschutzfreundlich und sicher sind Passwort-Manager? Die Verbraucherzentrale NRW und das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben 10 Passwort-Speicher geprüft – darunter die der Browser Chrome und Firefox

Verbraucherzentrale, 09.12.2025
Passwort-Manager: So verwalten Sie Passwörter sicher und einfach / Ein Passwort-Manager hilft, sichere Passwörter zu erstellen und zu speichern. In diesem Artikel der Verbraucherzentralen erfahren Sie, welche Vorteile ein solches Tool hat, wie Sie es sicher nutzen und welche Alternativen es gibt.

lpb.nrw
Frau Dr. Öksüz, sollen wir KI im Alltag nutzen oder nicht? / Wie jede Technologie birgt die Künstliche Intelligenz Chancen und Risiken. Wir haben Dr. Ayten Öksüz, Datenschutzexpertin bei der Verbraucherzentrale NRW, um ihre Einschätzung gebeten…

Bundesamt für Sicherheit in der Informationstechnik
Auftrag: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cybersicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland

Bundesamt für Sicherheit in der Informationstechnik
Passwortverwaltung: Wie merke ich mir viele verschiedene Passwörter?

Bundesamt für Sicherheit in der Informationstechnik
Passwörter verwalten mit einem Passwort-Manager

Bundesamt für Sicherheit in der Informationstechnik & Verbraucherzentrale Nordrhein-Westfalen
Passwortmanager im Test: IT-Sicherheit und Datenschutz im Fokus / Ergebnisse einer Untersuchung des BSI und der VZ NRW

datensicherheit.de, 11.12.2025
Passwort-Manager: BSI-Untersuchung identifiziert Verbesserungsbedarf / Aufgrund der Sensibilität der in Passwort-Managern gespeicherten Daten bestehen hohe Anforderungen an deren IT-Sicherheit – das BSI hat diese Produktkategorie gemeinsam mit dem FZI Forschungszentrum Informatik untersucht

datensicherheit.de, 24.04.2025
Welt-Passwort-Tag am 1. Mai 2025: Sicherheit und Benutzererfahrung ausbalancieren / Tom Haak rät, bei Passwort-Regelungen stets die alltägliche Benutzererfahrung mitzudenken

datensicherheit.de, 29.01.2024
Ändere Dein Passwort: eco-Tipps zum Thementag am 1. Februar 2024 / Im eco-Auftrag wurden rund 2.519 volljährige Bundesbürger zwischen dem 16. und 17. Januar 2024 repräsentativ befragt

datensicherheit.de, 15.12.2023
Passwort-Handhabung als Herausforderung: Wenn möglich zusätzlich Zwei-Faktor-Authentifizierung einrichten! / Passwort-Vielzahl im Alltag und Berufsleben erfordert methodisches Vorgehen