Aktuelles, Experten, Produkte, Studien - geschrieben von dp am Sonntag, Dezember 14, 2025 0:47 - noch keine Kommentare
Passwort-Manager: BSI-Untersuchung identifiziert Verbesserungsbedarf
Aufgrund der Sensibilität der in Passwort-Managern gespeicherten Daten bestehen hohe Anforderungen an deren IT-Sicherheit – das BSI hat diese Produktkategorie gemeinsam mit dem FZI Forschungszentrum Informatik untersucht
[datensicherheit.de, 14.12.2025] Eine Flut von Passwörtern begleitet in der Regel den Alltag von Verbrauchern, sind diese doch für die Nutzung zahlreicher Online-Dienste, wie z.B. Online-Shopping, „Social Media“ oder E-Mail-Dienste, zwingend erforderlich. Passwort-Manager stellen nun eine Möglichkeit zu deren Verwaltung dar und können somit einen signifikanten Beitrag zur Absicherung von Online-Konten leisten. Indes aufgrund der Sensibilität der in Passwort-Managern gespeicherten Daten bestehen hohe Anforderungen an deren IT-Sicherheit. So hat zur Prüfung der Umsetzung dieser Anforderungen das Bundesamt für Sicherheit in der Informationstechnik (BSI) diese Produktkategorie gemeinsam mit dem FZI Forschungszentrum Informatik in den Blick genommen und die IT-Sicherheitseigenschaften von zehn ausgewählten Passwort-Managern untersucht. Der Abschlussbericht „IT-Sicherheit auf dem digitalen Verbrauchermarkt: Fokus Passwortmanager“ der Untersuchung enthält weitere Informationen zu sicherheitsrelevanten Eigenschaften der Produkte.
Abbildung: BDI & VZ NRW
Produktübersicht aus dem Abschlussbericht zur Untersuchung des BSI und der VZ NRW zur Sicherheit und Datenschutzkonformität ausgewählter Passwort-Manager
Defizite einiger Passwort-Manager kein Grund für grundsätzlichen Verzicht
Wie bei jeder anderen Software gebe es auch bei einzelnen Passwort-Managern Verbesserungsbedarf. „Drei von zehn der untersuchten Passwort-Manager speicherten Passwörter in einer Weise, die Herstellern theoretisch den Zugriff ermöglicht.“ Dies erweitere prinzipiell die Angriffsfläche auf Seiten des Herstellers, welche durch ergänzende kompensatorische Maßnahmen mitigiert werden müsse.
- Nutzer müssten diesen zusätzlich ergriffenen Maßnahmen vertrauen. Bei „cloud“-basierter Speicherung der Daten im Passwort-Manager sollten Verbraucher sich über den Ort der Speicherung und dessen Schutzniveau beim Hersteller informieren: „Diese finden sich zum Beispiel auf der Website des Herstellers, in den AGBs zur Nutzung des Produktes oder in den Datenschutzhinweisen.“
Doch die Defizite der Passwort-Manager seien kein Grund, auf diese zu verzichten. Aus Sicht des BSI überwiegt der Nutzen bei weitem. Passwörter wiederzuverwenden oder schwache Passwörter zu nutzen, könne zu erhöhten Phishing-Anfälligkeiten führen, so dass die Risiken, keine Passwort-Manager zu nutzen, deutlich größer seien als die Implementierungsmängel einzelner Produkte.
Passwort-Manager als essenzielles Sicherheitstool für Verbraucher
Trotz einiger Implementierungsmängel bei einzelnen Produkten bleibe die BSI-Empfehlung klar: „Passwort-Manager sind ein essenzielles Sicherheitstool und können für viele Verbraucherinnen und Verbraucher ein wichtiger Begleiter im digitalen Alltag sein!“
- Die vorliegende Untersuchung ermögliche es, sich vor der Auswahl eines Passwort-Managers gründlich über die Funktionalitäten und Sicherheitsmerkmale einer präferierten Anwendung zu informieren. Hierzu enthält der BSI-Abschlussbericht eine tabellarische Darstellung für Verbraucher.
Es ist demnach zu beachten, dass regelmäßige Programm-Aktualisierungen seitens der Hersteller ein zusätzlicher wichtiger Schutz sind: Verbraucher sollten daher Updates zeitnah übernehmen. Weitere Tipps und Erläuterungen rund um das Thema Passwort-Manager stehen auf der Website des BSI zur Verfügung.
Mehrere Anbieter von Passwort-Managern haben bereits Verbesserungen eingeleitet bzw. zugesagt
Transparenz schaffe Vertrauen und Sicherheit. Im kooperativen Herstellerdialog des BSI hätten mehrere Unternehmen bereits Verbesserungen eingeleitet oder zugesagt. Es sei erfreulich, dass sich nach dieser Untersuchung nahezu alle beteiligten Hersteller offen und fachlich fundiert über die Erkenntnisse der Untersuchung mit dem BSI ausgetauscht hätten. „Dies trug dazu bei, identifizierte Defizite zu beheben und damit die IT-Sicherheit im Bereich der Passwort-Manager voranzubringen.“
- Zur Unterstützung unabhängiger Prüfungen sollten Hersteller die von ihnen eingesetzten Konzepte möglichst vollständig öffentlich dokumentieren. „Dies beinhaltet insbesondere die Sicherheitskonzepte, die wesentlichen Züge der Systemarchitektur, Details der eingesetzten Kryptographie sowie den Software-Entwicklungsprozess und die darin eingesetzten Schutzmechanismen.“ Diese Art von Transparenz ermögliche detailliertere Überprüfungen und erhöhe somit das Vertrauen der Verbraucher.
Auf Basis der aktuellen Untersuchungserkenntnisse empfiehlt das BSI den Herstellern, stets etablierte kryptographische Konzepte und Algorithmen einzusetzen. Die „BSI TR-02102-1“ soll hierzu eine passgenaue Übersicht über empfohlene kryptographische Mechanismen, Schlüssellängen und Betriebsmodi bieten.
Veröffentlichung „Passwortmanager im Test: IT-Sicherheit und Datenschutz im Fokus“ online
Das BSI unterstreicht die Schlussfolgerungen für die Branche: „Sicherheitskonzepte und Audit-Berichte öffentlich dokumentieren, den Herstellerzugriff technisch ausschließen, etablierte Kryptographie nutzen und alle Daten, einschließlich Metadaten, vollständig verschlüsseln!“
- Die Nutzung eines Passwort-Managers habe für Verbraucher auch datenschutzrechtliche Relevanz. Im Rahmen einer Kooperation hat die Verbraucherzentrale Nordrhein-Westfalen (VZ NRW) jene vom BSI ausgewählten Passwort-Manager einer datenschutzrechtlichen Prüfung unterzogen.
Hierfür habe die VZ NRW sowohl die Datenschutzhinweise, als auch die für den Registrierungsprozess erhobenen Daten begutachtet. Die Ergebnisse dieser Untersuchungen durch das BSI und der VZ NRW wurden in der Veröffentlichung „Passwortmanager im Test: IT-Sicherheit und Datenschutz im Fokus“ zusammengefasst.
Weitere Informationen zum Thema:
Bundesamt für Sicherheit in der Informationstechnik
Auftrag: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cybersicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland
Bundesamt für Sicherheit in der Informationstechnik
Passwortverwaltung: Wie merke ich mir viele verschiedene Passwörter?
Bundesamt für Sicherheit in der Informationstechnik
Passwörter verwalten mit einem Passwort-Manager
Bundesamt für Sicherheit in der Informationstechnik
IT-Sicherheit auf dem digitalen Verbrauchermarkt: Fokus Passwortmanager
Bundesamt für Sicherheit in der Informationstechnik, 04.03.2025
BSI TR-02102-1 „Kryptographische Verfahren: Empfehlungen und Schlüssellängen“ / Version: 2025-01
Bundesamt für Sicherheit in der Informationstechnik & Verbraucherzentrale Nordrhein-Westfalen
Passwortmanager im Test: IT-Sicherheit und Datenschutz im Fokus / Ergebnisse einer Untersuchung des BSI und der VZ NRW
Verbraucherzentrale Nordrhein-Westfalen
Verbraucherzentrale NRW: Wir über uns / Von Jahresberichten und Leitbild bis zur Satzung oder aktuellen Stellenangeboten: Informationen der Verbraucherzentrale NRW „in eigener Sache“
datensicherheit.de, 11.12.2025
Passwort-Manager – nicht alle Produkte sicher und datensparsam / Die Verbraucherzentrale NRW und das BSI untersuchten im Rahmen einer Kooperation, wie sicher und datenschutzkonform ausgewählte Passwort-Manager sind
datensicherheit.de, 24.04.2025
Welt-Passwort-Tag am 1. Mai 2025: Sicherheit und Benutzererfahrung ausbalancieren / Tom Haak rät, bei Passwort-Regelungen stets die alltägliche Benutzererfahrung mitzudenken
datensicherheit.de, 29.01.2024
Ändere Dein Passwort: eco-Tipps zum Thementag am 1. Februar 2024 / Im eco-Auftrag wurden rund 2.519 volljährige Bundesbürger zwischen dem 16. und 17. Januar 2024 repräsentativ befragt
datensicherheit.de, 15.12.2023
Passwort-Handhabung als Herausforderung: Wenn möglich zusätzlich Zwei-Faktor-Authentifizierung einrichten! / Passwort-Vielzahl im Alltag und Berufsleben erfordert methodisches Vorgehen
Kooperation
Mitgliedschaft
Mitgliedschaft
Multiplikator
Aktuelles, Gastbeiträge - Jan. 28, 2026 21:47 - noch keine Kommentare
Neue Rolle des CFO: Finanzchefs werden zu digitalen Architekten der Unternehmenszukunft
weitere Beiträge in Experten
- KI-Agenten und IT-Sicherheit: Zwei Seiten einer Medaille
- Cohesity-Studie zur Cyberresilienz deutscher Unternehmen
- Digitale Souveränität: Mehrheit sieht Übernahme wichtiger Unternehmen in Deutschland kritisch
- Basis für Alarmketten: Neues Drohnen-Lagezentrum in Bayern
- eco-Position zu Regierungskonsultationen: Deutschland und Italien gemeinsam als digitaler Stabilitätsanker Europas
Aktuelles, Branche - Jan. 28, 2026 16:17 - noch keine Kommentare
Video-KI: Europas strengste Datenschutz-Regeln prägen die Zukunft
weitere Beiträge in Branche
- KI-Agenten und IT-Sicherheit: Zwei Seiten einer Medaille
- 149 Millionen gestohlene Benutzernamen: Erneut umfangreicher Datendiebstahl aufgedeckt
- Data Privacy Week 2026: Datenschutz ein europäischer Wettbewerbsvorteil
- Post-Quantum-Readiness: Akuter Anspruch für die Datensicherheit der Zukunft
- Strategische Prioritäten für Unternehmen 2026: Informationssicherheit, Compliance und Datenschutz
Aktuelles, A, Experten, Service, Wichtige Adressen - Jan. 13, 2026 1:08 - noch keine Kommentare
Registrierung bei ELEFAND: Krisen- und Katastrophenvorsorge bei Auslandsaufenthalten
weitere Beiträge in Service
- DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
- Threat Hunting: Bedeutung und Wertschätzung steigt
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
Kommentieren