BSI sieht Optimierungsbedarf bei der Sicherheit populärer Passwortmanager

Passwörter sind zentrale Bausteine digitaler Identität. Ob Onlinehandel, soziale Netzwerke oder E-Mail-Dienste – ohne sie geht im Alltag der meisten Nutzer kaum etwas. Passwortmanager gelten dabei als wirksames Werkzeug, um komplexe Zugangsdaten komfortabel zu verwalten und gleichzeitig die Sicherheit von Onlinekonten zu erhöhen.

Angesichts der hohen Sensibilität der dort hinterlegten Informationen unterliegt diese Produktkategorie strengen Sicherheitsanforderungen. Um deren Umsetzung zu überprüfen, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen mit dem FZI Forschungszentrum Informatik zehn ausgewählte Passwortmanager einer detaillierten Analyse unterzogen.

Das Ergebnis zeigt: Wie bei jeder Software gibt es auch hier Schwachstellen. Bei drei der getesteten Produkte werden Passwörter so gespeichert, dass ein theoretischer Zugriff durch den Hersteller nicht ausgeschlossen ist. Das vergrößert die potenzielle Angriffsfläche und macht zusätzliche, vom Anbieter implementierte Schutzmaßnahmen erforderlich – Maßnahmen, deren Wirksamkeit die Nutzerinnen und Nutzer letztlich vertrauen müssen.

Insbesondere bei cloudbasierten Lösungen empfiehlt das BSI, sich vorab über den Speicherort der Daten und das dort geltende Schutzniveau zu informieren. Relevante Angaben finden sich in der Regel auf den Webseiten der Anbieter, in den Nutzungsbedingungen oder in den Datenschutzhinweisen.

Doch die Defizite der Passwortmanager sind kein Grund, auf diese zu verzichten. Aus Sicht des BSI überwiegt der Nutzen bei weitem. Passwörter wiederzuverwenden oder schwache Passwörter zu nutzen kann zu erhöhten Phishing-Anfälligkeiten führen, sodass die Risiken, keine Passwortmanager zu nutzen, deutlich größer sind als die Implementierungsmängel einzelner Produkte.

Der Abschlussbericht „IT-Sicherheit auf dem digitalen Verbrauchermarkt: Fokus Passwortmanager“ der Untersuchung enthält weitere Informationen zu sicherheitsrelevanten Eigenschaften der Produkte.

Trotz einiger Implementierungsmängel bei einzelnen Produkten bleibt die Empfehlung klar: Passwortmanager sind ein essenzielles Sicherheitstool und können für viele Verbraucher ein wichtiger Begleiter im digitalen Alltag sein. Die Untersuchung ermöglicht es, sich vor der Auswahl eines Passwortmanagers gründlich über die Funktionalitäten und Sicherheitsmerkmale ihrer präferierten Anwendung zu informieren. Hierfür enthält der Abschlussbericht eine tabellarische Darstellung für Verbraucher. Es ist zu beachten, dass regelmäßige Programmaktualisierungen seitens der Hersteller ein zusätzlicher wichtiger Schutz sind. Verbraucher sollten daher Updates zeitnah übernehmen. Weitere Tipps und Erläuterungen rund um das Thema Passwortmanager stehen auf der Website des BSI zur Verfügung.

Transparenz schafft Vertrauen und Sicherheit. Im kooperativen Herstellerdialog des BSI haben mehrere Unternehmen bereits Verbesserungen eingeleitet oder zugesagt. Es ist erfreulich, dass sich nach der Untersuchung nahezu alle beteiligten Hersteller offen und fachlich fundiert über die Erkenntnisse der Untersuchung mit dem BSI austauschten. Dies trug dazu bei, identifizierte Defizite zu beheben und damit die IT-Sicherheit im Bereich der Passwortmanager voranzubringen.

Zur Unterstützung unabhängiger Prüfungen sollten Hersteller die von ihnen eingesetzten Konzepte möglichst vollständig öffentlich dokumentieren. Dies beinhaltet insbesondere die Sicherheitskonzepte, die wesentlichen Züge der Systemarchitektur, Details der eingesetzten Kryptografie sowie den Softwareentwicklungsprozess und die darin eingesetzten Schutzmechanismen. Diese Art von Transparenz ermöglicht detailliertere Überprüfungen und erhöht somit das Vertrauen von Verbrauchern.

Auf Basis der Untersuchungserkenntnisse empfiehlt das BSI den Herstellern stets etablierte kryptographische Konzepte und Algorithmen einzusetzen. Die BSI TR-02102-1 bietet eine passgenaue Übersicht über empfohlene kryptographische Mechanismen, Schlüssellängen und Betriebsmodi.

Das BSI unterstreicht die Schlussfolgerungen für die Branche: Sicherheitskonzepte und Audit-Berichte öffentlich dokumentieren, den Herstellerzugriff technisch ausschließen, etablierte Kryptographie nutzen und alle Daten, einschließlich Metadaten, vollständig verschlüsseln.

Die Nutzung eines Passwortmanagers hat für Verbraucher auch datenschutzrechtliche Relevanz. Im Rahmen einer Kooperation hat die Verbraucherzentrale Nordrhein-Westfalen (VZ NRW) die vom BSI ausgewählten Passwortmanager einer datenschutzrechtlichen Prüfung unterzogen. Hierfür hat die VZ NRW sowohl die Datenschutzhinweise, als auch die für den Registrierungsprozess erhobenen Daten begutachtet. Die Ergebnisse der Untersuchungen durch das BSI und der VZ NRW sind in der Veröffentlichung „Passwortmanager im Test: IT-Sicherheit und Datenschutz im Fokus“ zusammengefasst.

Entdecke mehr

---