Das BSI hat 10 beliebte Passwort-Manager überprüft – bei vier von ihnen solltet ihr wechseln

Das Bundesamt für Sicherheit hat zehn populäre Passwort-Manager untersucht. Vier von ihnen ermöglichen theoretisch Herstellerzugriff.

Profilbild von Jusuf Hatic

Jusuf Hatic
09.12.2025 | 20:20 Uhr

Passwort-Manager sind wichtige Sicherheitstools – doch nicht alle sind gleich sicher. Das BSI hat zehn Lösungen überprüft und klare Empfehlungen gegeben. (Bildquelle: VZ_Art über Adobe Stock) Passwort-Manager sind wichtige Sicherheitstools – doch nicht alle sind gleich sicher. Das BSI hat zehn Lösungen überprüft und klare Empfehlungen gegeben. (Bildquelle: VZ_Art über Adobe Stock)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen umfassenden Bericht zur IT-Sicherheit von zehn gängigen Passwort-Managern veröffentlicht. Die Analyse, die gemeinsam mit dem FZI (Forschungszentrum Informatik) durchgeführt wurde, offenbart teils erhebliche Sicherheitsbedenken bei mehreren Produkten – insbesondere beim Zugriff durch Hersteller auf Nutzerdaten.

Das BSI wählte Passwort-Manager aus, die für die gängigsten Betriebssysteme verfügbar sind – also Windows, macOS, Android und iOS. Zudem mussten die Anwendungen über sichere Vertriebskanäle erhältlich sein.

Video starten 31:56 Teurer als je zuvor: Fällt Gaming-Weihnachten dieses Jahr aus?

Vier Manager mit kritischen Schwächen

Die klare Erkenntnis: Bei vier der getesteten Passwort-Manager soll laut BSI ein theoretisches Sicherheitsrisiko bestehen; drei von zehn speichern Passwörter laut BSI in einer Weise, die Herstellern einen Zugriff theoretisch ermöglicht.

  • Besonders deutlich äußert sich das BSI zu PassSecurium: »Die Tatsache, dass der Hersteller jederzeit auf gespeicherte Passwörter von Nutzenden zugreifen kann, ist mit grundsätzlichen Sicherheitsanforderungen an Passwort-Manager unvereinbar«, erklärt die Behörde.
  • Das BSI rät explizit von der Nutzung der Free/Standard-Apps (Version 1.1.63 für Android und 2.1.2 für iOS) ab.

Ähnliche Bedenken hat das BSI beim mSecure Password Manager. Der Hersteller könne laut BSI-Bewertung theoretisch auf die Daten zugreifen. Die Behörde sieht hier »insgesamt nicht die üblichen Erwartungen an Passwort-Manager« erfüllt. Verbraucher sollten prüfen, ob dem Hersteller »ohne objektive Grundlage das notwendige Vertrauen« entgegenzubringen sei.

Mehr zum Thema
Das Unternehmen gab es für 158 Jahre und es hatte 700 Mitarbeiter: Ein schwaches Passwort reichte aus, um es in die Knie zu zwingen
von Jonas Herrmann
Das Unternehmen gab es für 158 Jahre und es hatte 700 Mitarbeiter: Ein schwaches Passwort reichte aus, um es in die Knie zu zwingen

Beim Chrome-Passwort-Manager bemängelt das BSI potenziellen Datenzugriff durch Google, sofern keine Passphrase von Nutzern gesetzt wurde. Auch die On-Device-Verschlüsselung lasse laut BSI theoretisch Zugriff bei aktiver Benutzung zu. Ebenfalls problematisch: Nicht alle Felder werden verschlüsselt, so liegen etwa Nutzernamen im Klartext vor.​

Der SecureSafe Password-Manager kann dem BSI zufolge ebenfalls zu potenziellen Herstellerzugriffen führen, da dieser die Daten nur serverseitig ver- und entschlüsselt.

  • Das BSI weist darauf hin, dass Nutzer entsprechend den »kompensatorischen Maßnahmen« der Entwickler vertrauen müssen, deren Wirksamkeit sich nicht objektiv überprüfen lässt.
  • Der S-Trust Passwort-Manager, ein Sparkassen-Produkt, basiert laut BSI auf derselben Technologie und unterliegt denselben Bedenken. Die Sparkassen werden den Betrieb zum 31. März 2026 einstellen.​

Die Infografik des BSI zu allen wichtigen Empfehlungen rund um Passwort-Manager. Die Infografik des BSI zu allen wichtigen Empfehlungen rund um Passwort-Manager.

Diese Manager überzeugen das BSI

Immerhin gab es auch Anwendungen, die sich wesentlich zuverlässiger in der BSI-Untersuchung präsentieren und keine gravierenden Schwachstellen aufweisen. Die uneingeschränkte Empfehlung unter den zehn getesteten Passwort-Managern ist in diesem Kontext 1Password, das laut BSI keine Designfehler aufweisen soll.​

  • Der Firefox-Passwort-Manager lässt sich laut BSI-Einschätzung bedenkenlos nutzen, sofern die Einstellung »Hauptpasswort setzen« aktiviert wurde. Die Synchronisation mit dem Mozilla-Konto sollte aktiviert werden – oder ihr sorgt eigenständig für eine Sicherung.​
  • Bei KeePass2Android gibt es für das BSI ebenfalls keine Probleme – allerdings solltet ihr hier selbst ein Backup anlegen. KeePassXC erhält nahezu die gleiche Einordnung, wobei das BSI hier anmerkt, einen Zeitraum einzustellen, nach dem die App sich selbst gegen Zugriff sperrt.
  • Der Avira-Passwort-Manager nutzt laut BSI nicht überprüfbare kryptografische Algorithmen. Dies erfordert Vertrauen in den Hersteller. Das BSI empfiehlt, die biometrische Authentifizierung zu deaktivieren und das Masterpasswort zusätzlich an einem sicheren Ort aufzubewahren.​
Mehr zum Thema
Zum Welt-Passwort-Tag: So lange braucht es 2025, um euer Kennwort zu knacken
von Jusuf Hatic
Zum Welt-Passwort-Tag: So lange braucht es 2025, um euer Kennwort zu knacken

Kein Grund, auf Passwort-Manager zu verzichten

Obwohl das BSI Verbesserungsbedarf identifiziert, gibt die Behörde in der Pressemitteilung auch eine Entwarnung mit auf den Weg: Es gibt keinen Grund, auf Passwort-Manager zu verzichten.

Der Nutzen überwiegt die Risiken schlichtweg bei weitem. Das Wiederverwenden von oder grundsätzlich schwache Passwörter führen laut BSI zu deutlich höheren Phishing-Anfälligkeiten. Die Implementierungsmängel einzelner Produkte sind damit weniger kritisch als die Risiken ohne Passwort-Manager.​

zu den Kommentaren (14)
Kommentare(14)
Kommentar-Regeln von GameStar
Bitte lies unsere Kommentar-Regeln, bevor Du einen Kommentar verfasst.
Kommentare einblenden

Nur angemeldete Benutzer können kommentieren und bewerten.

Ich habe ein Konto
Kostenlos registrieren
Neueste zuerst
Älteste zuerst
Top Kommentare
Aktuelle News
alle anzeigen
Neue Webseite der NASA geht gerade viral: Alles, was ihr dort tun könnt, ist euren Namen eingeben   1

vor einer Stunde

Neue Webseite der NASA geht gerade viral: Alles, was ihr dort tun könnt, ist euren Namen eingeben
Dungeons + Dragons als Bösewicht spielen: Ein neues Regelset bringt neue Unterklassen und frischen Wind in eure Abenteuer

vor einer Stunde

Dungeons & Dragons als Bösewicht spielen: Ein neues Regelset bringt neue Unterklassen und frischen Wind in eure Abenteuer
»Wenn wir LAN-Partys wieder einführen, will ich dieses Case« – Spieler baut sich beeindruckenden Gaming-PC zum Mitnehmen

vor einer Stunde

»Wenn wir LAN-Partys wieder einführen, will ich dieses Case« – Spieler baut sich beeindruckenden Gaming-PC zum Mitnehmen
In 9 Sekunden war alles weg: KI löscht gesamte Firmendatenbank trotz Sicherheitsregeln und gibt dann zu: »Ich habe es eigenmächtig getan«   2     2

vor 2 Stunden

In 9 Sekunden war alles weg: KI löscht gesamte Firmendatenbank trotz Sicherheitsregeln und gibt dann zu: »Ich habe es eigenmächtig getan«
mehr anzeigen