BSI überprüft Passwortmanager: Von Masterpasswort bis Notfallzugriff

Das BSI hat zehn Passwortmanager auf ihre IT-Sicherheitseigenschaften untersucht und gibt Anwendern Tipps zur Softwarewahl.

9. Dezember 2025 um 16:10 Uhr / Mike Faust

64 Kommentare News folgen (öffnet im neuen Fenster)

Grundsätzlich empfiehlt das BSI den Einsatz von Passwortmanagern. (Bild: Leon Neal/Getty Images) — Grundsätzlich empfiehlt das BSI den Einsatz von Passwortmanagern. Bild: Leon Neal/Getty Images

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in Zusammenarbeit mit dem Forschungszentrum Informatik (FZI) die Sicherheit von zehn Passwortmanager untersucht. Wie das BSI in einer Pressemitteilung schreibt(öffnet im neuen Fenster) , wurde bei drei der zehn Passwortmanagern festgestellt, dass diese Passwörter auf eine Weise speichern, die den Herstellern theoretisch einen Zugang ermöglichen könnte.

Das führe aufseiten des Herstellers zu einem erhöhten Risiko für Angriffe , welche dieser durch zusätzliche Maßnahmen verhindern müsse. Anwendern bleibe nichts anderes übrig, als auf diese Maßnahmen zu vertrauen, so das BSI.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Effiziente Containerverwaltung mit Kubernetes

zum Artikel

Karriere Ratgeber: Microsoft Cloud verwalten auf höchstem Niveau

zum Ratgeber

Seminar: KI-Bilderkennung in Python - Deep Learning mit Keras: virtueller Drei-Tage-Workshop

zum Kurs

Linux Administration: Betriebsbereitstellung - als Vorbereitung zum Linux Foundation Certified System Administrator (LFCS) (E-Learning)

E-Learning: Linux Administration: Betriebsbereitstellung - als Vorbereitung zum Linux Foundation Certified System Administrator (LFCS) (E-Learning)

zum Kurs

Immer auf Verwendung eines Masterpassworts achten

Bei einer cloudbasierten Speicherung von Passwörtern empfiehlt das BSI Anwendern, sich Informationen über den Ort der Speicherung und dessen Schutzniveau einzuholen. Das BSI stellt aber auch klar, dass es trotz der gefundenen Defizite keinen Grund gebe, auf Passwortmanager zu verzichten.

Im detaillierten Abschlussbericht(öffnet im neuen Fenster) werden sowohl die produktspezifischen Eigenschaften der getesteten Passwortmanager als auch die Ergebnisse der Überprüfung dargestellt. Anwendern wird zudem empfohlen, immer auf die Verwendung eines Masterpassworts zu achten, da diese Funktion nicht bei jedem Passwortmanager standardmäßig aktiviert ist.

Auch sollte an regelmäßige Backups gedacht werden, sofern der gewählte Passwortmanager diese nicht selbst automatisiert anlegt. Besonders aufmerksam sollten Verbraucher sein, wenn der Hersteller einen Notfallzugriff im Falle eines Verlusts des Masterpassworts bewirbt.

Notfallzugriff muss vorab konfiguriert werden

Damit ein solcher Notzugriff keinen zusätzlichen Angriffsvektor darstellt, müssen die Zugriffsinformationen vorab gespeichert werden und dürfen ebenfalls nicht verloren gehen. Bei Mechanismen, die dem Hersteller den Zugriff im Nachgang ermöglichen, sollte der Anbieter auf seine Vertrauenswürdigkeit überprüft werden.

Außerdem sollte sich der Passwortmanager nach Verwendung automatisch sperren, damit andere Personen, die dasselbe Gerät verwenden, keinen Zugriff auf die Informationen bekommen. Auch Maßnahmen wie das Verwenden einer Zwei-Faktor-Authentifizierung (2FA) werden empfohlen.

Die vom BSI überprüften Passwortmanager sind: 1Password, Avira Password Manager, Chrome Password Manager, KeePass2 Android, KeePassXC, Mozilla Firefox Password Manager, mSecure Password Manager, PassSecurium, SecureSafe Password Manager und S-Trust Password Manager.

Zur Startseite 64 Kommentare