Das BSI hat zusammen mit der Verbraucherzentrale NRW zehn weit verbreitete Passwortmanager geprüft und dabei bei der Mehrheit teils gravierende Sicherheits- und Datenschutzprobleme gefunden – trotzdem rät die Behörde weiter klar zur Nutzung von Passwortmanagern.

Was das BSI getestet hat

• Untersucht wurden zehn populäre Lösungen, darunter dedizierte Passwortmanager, Cloud‑Dienste und Browser‑Passwortspeicher (z.B. Chrome Password Manager, mSecure, PassSecurium, SecureSafe/S‑Trust).
• Geprüft wurden u.a. Verschlüsselungskonzepte, mögliche Herstellerzugriffe, Speicherung von Metadaten, Schutz vor Angreifern und die Transparenz der Sicherheitsarchitektur.

Zentrale Ergebnisse

• Nur drei von zehn Produkten verschlüsseln laut BSI sämtliche Daten so, dass der Hersteller technisch keinen Zugriff auf Passwörter oder Metadaten hat.
• Bei drei Managern (u.a. Chrome Password Manager, mSecure, ältere PassSecurium‑Versionen) speichert die Architektur Passwörter so, dass der Hersteller theoretisch Zugriff haben kann; bei zwei weiteren (SecureSafe, S‑Trust) ließ sich nicht eindeutig ausschließen, dass der Anbieter Zugriff erlangen könnte.
• Teilweise werden Nutzernamen oder Metadaten unverschlüsselt gespeichert, was Rückschlüsse auf Konten und Nutzungsverhalten zulässt und die Angriffsfläche vergrößert.

Konkrete Warnungen und Empfehlungen

• Besonders kritisch äußert sich das BSI zu bestimmten App‑Versionen von PassSecurium (vor Version 3.x) und zum mSecure Password Manager; hier wird Nutzer:innen geraten, die Vertrauenswürdigkeit genau zu prüfen bzw. bis zu Updates auf die Nutzung bestimmter Versionen zu verzichten.
• Gleichzeitig betont das BSI, dass Passwortmanager insgesamt klar sicherer sind, als Passwörter zu wiederverwenden oder schwache Passwörter zu nutzen – auf einen Manager zu verzichten wäre also riskanter als die Mängel einzelner Produkte.

Was Nutzer jetzt tun sollten

• Einen Passwortmanager weiter nutzen, aber auf Produkte achten, die eine nachweislich vollständige Ende‑zu‑Ende‑Verschlüsselung ohne Herstellerzugriff bieten und etablierte Kryptoverfahren einsetzen.
• Wo möglich Zwei‑Faktor‑Authentifizierung (2FA) am Passwortmanager aktivieren, ein starkes Master‑Passwort wählen und automatische Logins absichern.
• BSI‑Empfehlungen und Hersteller‑Statements zu Updates im Blick behalten, insbesondere wenn man Chrome‑Speicher, mSecure, PassSecurium, SecureSafe oder S‑Trust nutzt.

**

Hier findest du weiterführende Informationen: BSI