Passwortmanager gelten seit Jahren als zentrale Sicherheitslösung im digitalen Alltag. Sie versprechen, starke Zugangsdaten zu erzeugen, sicher zu speichern und auf allen Geräten verfügbar zu machen. Doch aktuelle Forschungsergebnisse zeigen: Die Sicherheit dieser Tools ist komplexer – und teilweise fragiler – als viele Nutzer annehmen. Sicherheitsforscher aus der Schweiz haben populäre Lösungen wie Bitwarden, LastPass und Dashlane technisch analysiert und dabei strukturelle Schwachstellen entdeckt, die unter bestimmten Bedingungen missbraucht werden könnten.
Warum Passwortmanager überhaupt so wichtig sind
Die Idee hinter Passwortmanagern ist simpel: Alle Zugangsdaten werden verschlüsselt in einem digitalen Tresor gespeichert. Nutzer müssen sich nur noch ein Master-Passwort merken. Moderne Dienste synchronisieren diese Daten über die Cloud, sodass sie auf Smartphone, PC und Browser gleichermaßen verfügbar sind.
Die Sicherheit basiert dabei auf zwei zentralen Prinzipien: starke Verschlüsselung und ein Vertrauensmodell, bei dem selbst die Anbieter keinen Zugriff auf die Inhalte haben. Genau hier setzen jedoch die Analysen der Forschenden an.
Forschung aus der Schweiz: Angriffsszenarien auf reale Systeme
Untersuchungen der ETH Zürich und der Università della Svizzera italiana zeigen, dass sich unter bestimmten Umständen Angriffe auf Passwortmanager konstruieren lassen. In ihren Tests simulierten die Forscher kompromittierte Server und beobachteten, wie sich Clients – also Apps oder Browser – verhalten.
Das Ergebnis: In mehreren Szenarien war es möglich,
- auf gespeicherte Passwörter zuzugreifen
- Daten in Tresoren zu manipulieren
- Integrität einzelner Nutzerkonten zu verletzen
- im Extremfall komplette Organisationstresore zu kompromittieren
Die Forscher demonstrierten zahlreiche konkrete Angriffspfade: zweistellige Fallzahlen bei Bitwarden sowie mehrere Szenarien bei LastPass und Dashlane. Ausgangspunkt war jeweils ein Server, der sich wie ein legitimer Dienst verhielt, tatsächlich aber bösartige Antworten lieferte. Anschließend reichten normale Nutzeraktionen – etwa Login, Synchronisation oder das Anzeigen eines Passworts –, um Angriffsketten auszulösen.
Komplexität als Sicherheitsrisiko
Ein zentrales Problem liegt nicht allein in der Verschlüsselung selbst, sondern in der Architektur der Systeme. Passwortmanager müssen heute mehr leisten als nur Daten speichern:
- Wiederherstellung vergessener Konten
- Synchronisation über viele Geräte
- Familien- und Teamfunktionen
- Integration in Browser und Apps
Diese Features erhöhen die Benutzerfreundlichkeit, machen die Software aber gleichzeitig komplex. Laut Forschern entstehen dadurch ungewöhnliche Code-Strukturen und zusätzliche Angriffsflächen. Je komplexer ein System, desto schwieriger ist es, alle möglichen Angriffspunkte vollständig abzusichern.
Hinzu kommt, dass für manche Angriffe keine hochgerüstete Infrastruktur nötig wäre. Teilweise reichen einfache Programme, die sich gegenüber Clients als legitime Server ausgeben.
Der Faktor Zeit: Updates sind riskant
Ein überraschender Befund der Untersuchung betrifft den Umgang mit kryptografischen Technologien. Viele Anbieter sind bei grundlegenden Systemupdates vorsichtig – aus gutem Grund. Ein Wechsel von Verschlüsselungs- oder Schlüsselmanagement-Mechanismen kann dazu führen, dass Nutzer den Zugriff auf ihre eigenen Daten verlieren.
Für Anbieter bedeutet das ein massives Risiko: Millionen Privatnutzer und Unternehmen vertrauen ihnen ihr gesamtes Passwort-Ökosystem an. Ein fehlerhaftes Update könnte gravierende Folgen haben.
Deshalb setzen manche Systeme weiterhin auf ältere kryptografische Konzepte, teilweise mit Wurzeln in den 1990er-Jahren. Diese sind nicht zwangsläufig unsicher, aber häufig weniger robust gegenüber modernen Angriffsszenarien.
Kein akuter Alarm – aber strukturelle Gefahr
Wichtig ist die Einordnung: Die untersuchten Angriffsszenarien setzen voraus, dass ein Server böswillig oder kompromittiert ist. Die Forscher betonen ausdrücklich, dass es keine Hinweise darauf gibt, dass aktuelle Anbieter bewusst unsicher arbeiten oder ihre Systeme bereits übernommen wurden.
Solange die Infrastruktur vertrauenswürdig bleibt, sind gespeicherte Passwörter weiterhin geschützt. Dennoch bleiben Passwortmanager attraktive Ziele für Angreifer – einfach weil sie enorme Mengen sensibler Daten bündeln.
Sicherheitsverletzungen im Umfeld großer Dienste sind in der Vergangenheit bereits vorgekommen. Damit wird klar: Die theoretischen Schwachstellen sind relevant, auch wenn sie nicht unmittelbar ausgenutzt werden.
LastPass als Sonderfall
Unter den untersuchten Lösungen nimmt LastPass eine besondere Rolle ein. Der Dienst war in der Vergangenheit tatsächlich Ziel realer Hackerangriffe. Das unterstreicht, dass Passwortmanager nicht nur theoretisch, sondern auch praktisch im Fokus von Angreifern stehen.
Was Anbieter jetzt tun müssen
Die Forscher sehen eine langfristige Lösung vor allem in einer strategischen Modernisierung. Neue Kunden könnten standardmäßig auf aktualisierte kryptografische Systeme gesetzt werden, während Bestandsnutzer die Wahl behalten:
- Migration auf ein neues Sicherheitsmodell
- oder Verbleib im bestehenden System mit bekannten Einschränkungen
Ein solcher Ansatz würde Innovation ermöglichen, ohne bestehende Nutzer zu gefährden.
Worauf Nutzer bei der Auswahl achten sollten
Für Anwender ergibt sich daraus kein Grund, Passwortmanager grundsätzlich infrage zu stellen. Im Gegenteil: Ohne sie wäre die Mehrheit der Nutzer deutlich schlechter geschützt. Entscheidend ist die Auswahl des richtigen Dienstes.
Achte insbesondere auf folgende Punkte:
Ein seriöser Anbieter kommuniziert offen über Sicherheitslücken und deren Behebung. Transparenz ist ein wichtiger Indikator für ein funktionierendes Sicherheitsmanagement. Ebenso relevant sind unabhängige Audits durch externe Sicherheitsexperten. Diese Prüfungen zeigen, dass ein Dienst nicht nur intern bewertet wird.
Technisch sollte End-zu-End-Verschlüsselung Standard sein – also eine Architektur, bei der selbst der Anbieter keinen Zugriff auf deine Daten hat. Außerdem lohnt sich ein Blick auf Update-Zyklen, Bug-Bounty-Programme und Sicherheitsdokumentation.
Fazit: Passwortmanager bleiben sinnvoll – aber nicht unfehlbar
Die Forschung zeigt vor allem eines: Sicherheit ist kein Zustand, sondern ein Prozess. Auch etablierte Passwortmanager sind nicht automatisch unangreifbar. Komplexe Funktionen, alte kryptografische Strukturen und die Abhängigkeit von Servern schaffen potenzielle Schwachstellen.
Trotzdem bleibt ihr Einsatz sinnvoll. Sie ermöglichen starke, einzigartige Passwörter und reduzieren menschliche Fehler – nach wie vor der größte Risikofaktor.
Für dich als Nutzer bedeutet das: Setze weiterhin auf Passwortmanager, aber wähle bewusst. Transparenz, moderne Verschlüsselung und regelmäßige Sicherheitsprüfungen sind wichtiger als Marketingversprechen.
Denn am Ende gilt: Der sicherste Passwortmanager ist nicht der, der behauptet perfekt zu sein – sondern der, der seine Grenzen kennt und aktiv daran arbeitet, sie zu verbessern.
