Wer kennt es nicht? Beim Eingeben eines Passworts auf einer Webseite fragt der Browser, ob die Zugangsdaten gespeichert werden sollen. Diese Funktion lässt sich in den Einstellungen deaktivieren, und viele Browser bieten einen integrierten Passwort-Manager an, der ohne großen Aufwand genutzt werden kann. Doch obwohl die Bequemlichkeit verlockend ist, birgt das Speichern von Passwörtern direkt im Browser erhebliche Risiken. Browser sind komplexe Softwarepakete, und die Passwortverwaltung steht oft nicht im Fokus ihrer Sicherheitsarchitektur. Dies kann dazu führen, dass Zugangsdaten leichter von Schadsoftware ausgelesen und von Kriminellen missbraucht werden.
Um die Sicherheit Ihrer Daten zu gewährleisten, ist es unerlässlich, stets die neuesten Updates für Ihren Browser zu installieren und ein starkes Master-Passwort zu verwenden, wenn Sie den integrierten Passwort-Speicher nutzen. Darüber hinaus sollte der Zugang zu Ihren Geräten – sei es Computer, Tablet oder Smartphone – stets durch eine PIN- oder Passwort-Abfrage gesichert sein. Diese grundlegenden Maßnahmen bilden die erste Verteidigungslinie gegen unbefugten Zugriff.
Die vorliegende Untersuchung befasste sich eingehend mit den Passwort-Managern von Google Chrome und Mozilla Firefox. Wird beispielsweise der browserbasierte Passwort-Manager von Firefox in Verbindung mit einem Mozilla-Konto und der “Firefox Sync”-Funktionalität genutzt, so werden die synchronisierten Zugangsdaten (Benutzername, Passwort, Hostname) laut Anbieter vollständig verschlüsselt auf Mozillas Sync-Server hochgeladen. Eine ähnliche Vorgehensweise findet sich beim Google Chrome Passwort-Manager: Werden die dort gespeicherten Daten mit einem Chrome- bzw. Google-Konto synchronisiert, erfolgt die Übertragung der Zugangsdaten laut Anbieter ebenfalls verschlüsselt auf deren Server. Wer jedoch auch in komplexeren Softwarelösungen wie der Bearbeitung von Excel-Dateien auf Android oder dem Umgang mit Online-Office-Tools auf maximale Sicherheit achtet, sollte über dedizierte Passwort-Manager nachdenken.
Technische Untersuchung der Passwort-Manager
Die folgende technische Untersuchung beleuchtet verschiedene Aspekte der Sicherheit und Funktionalität gängiger Passwort-Manager. Alle hier präsentierten Angaben beziehen sich auf den Stand bzw. die Produktversion zum Zeitpunkt der Untersuchung und können sich durch zwischenzeitliche Updates verändert haben.
| Merkmal | 1Password | Avira PM | Chrome PM | Keepass 2 Android | KeePass XC | Firefox PM | mSecure PM | PassSecurium | SecureSafe PM | S-Trust PM |
|---|---|---|---|---|---|---|---|---|---|---|
| Master-Passwort (Standard) | ja | ja | ja (*1) | ja | ja | nein | ja | ja | ja | ja |
| Wiederherstellungsoption | ja | nein (*2) | nein (*3) | nein | nein | ja | nein | ja | ja | ja |
| 2FA-Schutz | ja | ja | ja | ja | ja | ja | ja | ja | ja | ja |
| 2FA-Verwaltung | ja | ja | nein | ja | ja | nein | ja | ja | nein | nein |
| Auto. Zwischenablage leeren | ja (*4) | ja | nein | ja | ja | nein | ja (*5) | nein | ja | ja |
| Auto. Sperre (Zeitüberschreitung) | ja | ja | ja | ja | nein | nein | ja | ja | ja | ja |
| Cloud-Synchronisation | ja | ja | ja | ja | nein | ja | ja | ja | ja | ja |
| Prüfung gegen Leaks | ja | ja | ja | nein | ja | ja | nein | ja | nein | nein |
| Export von Passwörtern | nein | nein | ja | ja | ja | ja | nein | ja | ja | ja |
| Kompletter Inhalt verschlüsselt? | ja | nein | nein | ja | ja | nein | nein | nein | nein | nein |
| Inhalt bei MP-Änderung neu verschlüsselt? | nein | nein | nein | ja | ja | nein | nein | nein | nein | nein |
| Herstellerzugriff auf Daten? | nein | nein | ja | nein | nein | nein | ja | ja | nicht bewertbar | nicht bewertbar |
| Untersuchte Version | 8.10.62 (Android) | 2.11 (Android) | 37.0.7151.69 (Win 10 Pro) | 1.12-r5 (Android) | 2.7.9 (Windows) | 139.0.1 (Windows) | 6.1.5 (Android) | 1.1.63 (Android)/2.1.2 (iOS) | 8.10.62 (Android) | 2.11 (Android) |
*1: Statt Master-Passwort wird Windows-Authentifizierung genutzt, was vergleichbar ist.
*2: Biometrische Wiederherstellung sollte aus Sicherheitsgründen deaktiviert werden.
*3: Ein eigenes Master-Passwort sollte gesetzt werden; Wiederherstellung entfällt dann.
*4 & 5: Von aktuellen Android-Versionen übernommen.
Die Tabelle zeigt, dass viele Passwort-Manager ein Master-Passwort zur Absicherung verwenden. Einige bieten auch die Möglichkeit einer Wiederherstellung, was bei Verlust des Master-Passworts nützlich sein kann, aber auch ein potenzielles Sicherheitsrisiko darstellt. Die Unterstützung von Zwei-Faktor-Authentifizierung (2FA) sowohl zum Schutz des Passwort-Managers als auch zur Verwaltung von 2FA für andere Dienste ist ein entscheidendes Sicherheitsmerkmal. Während Programme wie der Excel Viewer 2003 oder andere ältere Software oft keine solchen Sicherheitsmechanismen boten, sind sie für moderne Passwort-Manager unerlässlich.
Besonders hervorzuheben ist die Verschlüsselung des gesamten Inhalts. Nur 1Password, Keepass 2 Android und KeePass XC verschlüsseln den kompletten Inhalt vollständig, wobei Keepass 2 Android und KeePass XC auch den kompletten Inhalt nach Änderung des Master-Passworts neu verschlüsseln. Dies ist ein starkes Indiz für eine hohe Sicherheit.
Untersuchung der Datenschutzerklärungen
Die Datenschutzerklärungen sind ein entscheidender Faktor bei der Bewertung der Vertrauenswürdigkeit eines Passwort-Managers. Bei einigen Anbietern waren Kriterien nicht anwendbar, da sie laut eigenen Angaben keine personenbezogenen Daten erfassen. Nur für das Erfassen und Verarbeiten personenbezogener Daten sind die Kriterien unserer Datenschutzprüfung relevant. Die folgenden Angaben beziehen sich auf den Stand bzw. die Produktversion zum Zeitpunkt der Untersuchung und können sich durch zwischenzeitliche Updates geändert haben.
| Merkmal | 1Password | Avira PM | Chrome PM | Keepass 2 Android | KeePass XC | Firefox PM | mSecure PM | PassSecurium | SecureSafe PM | S-Trust PM |
|---|---|---|---|---|---|---|---|---|---|---|
| Datenschutzerklärung auf Deutsch | nein | ja | ja (*6) | ja | ja | ja (*7) | nein (*8) | ja (*9) | ja | ja |
| Angabe einer verantwortlichen Person | ja | ja | nicht relevant | nicht relevant | nicht relevant | nicht relevant | ja | ja | ja | ja |
| Angabe zur Dauer der Datenspeicherung | ja | ja | nicht relevant | nicht relevant | nicht relevant | nicht relevant | nein | ja | ja | ja |
| Angaben zu Empfängern | ja | ja | nicht relevant | nicht relevant | nicht relevant | nicht relevant | nein | ja | ja | ja |
| Zweck & Rechtsgrundlage | ja | ja | nicht relevant | nicht relevant | nicht relevant | nicht relevant | ja | teilweise ja (*10) | ja | ja |
| Betroffenenrechte | ja | ja | nicht relevant | nicht relevant | nicht relevant | nicht relevant | teilweise ja (*11) | teilweise ja (*12) | ja | ja |
*6: Keine separaten Datenschutzhinweise für den Passwort-Manager. Allgemeine Hinweise nicht geprüft.
*7: Keine separaten Datenschutzhinweise für den Passwort-Manager. Allgemeine Hinweise nicht geprüft.
*8: Unklar, welche personenbezogenen Daten bei Nutzung erfasst werden.
*9: Separate Hinweise für Apps, aber undifferenziert.
*10: Zwecke angegeben, Rechtsgrundlagen fehlen.
*11 & 12: Einige Angaben zu Betroffenenrechten fehlen (z.B. Beschwerderecht).
Die Auswertung der Datenschutzhinweise zeigt, dass etwa die Hälfte der geprüften Passwort-Manager eher datensparsam ist oder vornehmlich personenbezogene Daten erhebt und verarbeitet, die für den Dienst oder bestimmte Funktionen erforderlich sind (z. B. E-Mail-Adresse, Benutzername, Zahlungsdaten, IP-Adresse, Betriebssystem). Dabei sind die beiden quelloffenen Passwort-Manager KeePassXC und KeePass2Android besonders datenschutzfreundlich, da sie lokal arbeiten und laut eigenen Angaben keine personenbezogenen Daten an eigene Server oder Drittanbieter weiterleiten. Die browserbasierten Passwort-Manager von Chrome und Firefox speichern die Zugangsdaten ebenfalls lokal, sofern kein Nutzer-Account zur Synchronisierung verwendet wird. Es ist jedoch zu beachten, dass bei der Nutzung der Browser selbst personenbezogene Daten erhoben und gespeichert werden können, was nicht Gegenstand dieser Prüfung war.
Einige Anbieter wie 1Password, S-Trust, Avira und SecureSafe erfassen zusätzlich Nutzungs- oder Produktdaten (z. B. Datum, Uhrzeit, Frequenz der Besuche, Speicherauslastung, Anzahl der besuchten Internetseiten), teilweise auch zur Verbesserung der eigenen Dienste. In manchen Fällen wird angegeben, dass die personenbezogenen Daten für diesen Zweck pseudonymisiert oder anonymisiert werden. Für Nutzer, die Wert auf Open-Source-Lösungen legen und zum Beispiel mit OpenOffice Online Excel arbeiten, können die datenschutzfreundlichen Eigenschaften von KeePassXC oder KeePass2Android besonders attraktiv sein.
Als Kategorien von Datenempfängern nennen einige Anbieter verbundene Unternehmen, IT-Infrastruktur-Dienstleister, Partnernetzwerke, Zahlungsdienstleister oder – unter bestimmten Umständen – auch Strafverfolgungsbehörden (z. B. S-Trust, SecureSafe, Avira, 1Password, PassSecurium).
Wenige Anbieter (1Password, SecureSafe und Avira) nutzen Daten – laut eigenen Angaben in der Regel mit Einwilligung – zu Marketingzwecken und teilen in diesem Zusammenhang Daten teilweise auch mit Marketingpartnern, die nicht näher benannt werden. Was genau für Daten oder Marketingzwecke das im Konkreten sind, geht aus den Datenschutzhinweisen nicht immer eindeutig hervor. Die Wirksamkeit der Einwilligung wurde nicht gesondert geprüft. In den allgemeinen Datenschutzhinweisen von Avira werden als Kategorien von Empfängern auch Dienstleister und Anbieter von Marketingleistungen genannt. Inwiefern personenbezogene Daten, die bei der Nutzung des Passwort-Managers von Avira anfallen, auch für Marketingzwecke verwendet oder an Dritte weitergegeben werden, ging aus der Prüfung der Datenschutzhinweisen nicht eindeutig hervor.
1Password ist der einzige der geprüften Passwort-Manager, der nur kostenpflichtig nutzbar ist und zusätzlich personenbezogene Daten auch für Marketingzwecke nutzt. Avira erlaubt Single-Sign-On über Drittanbieter (Facebook, Apple, Google) und kann dabei unter anderem Profilbild und E-Mail-Adresse erheben, die beim jeweiligen Drittanbieter genutzt werden.
Können Anbieter auf die gespeicherten Daten zugreifen?
Die Sorge, dass der Anbieter auf gespeicherte Passwörter zugreifen könnte, hält laut einer Umfrage rund ein Viertel der Teilnehmer davon ab, einen Passwort-Manager zu verwenden. Tatsächlich geben einige Anbieter explizit an, auf die Inhalte der hochgeladenen Dateien oder die im Passworttresor gespeicherten Passwörter keinen Zugriff zu haben (z. B. Avira und Mozilla Firefox). Auch bei SecureSafe verstehen wir die Datenschutzerklärung so, dass das Unternehmen keinen Zugriff auf die gespeicherten Inhalte hat.
Die technische Untersuchung des BSI zeigt jedoch, dass 3 der 10 untersuchten Passwort-Manager die Passwörter in einer Weise speichern, die Herstellern einen Zugriff zumindest theoretisch oder unter gewissen Bedingungen ermöglicht (Google Chrome, mSecure, PassSecurium). Dies erhöht prinzipiell die Angriffsfläche und erfordert zusätzliche Schutzmaßnahmen des Anbieters, denen Nutzende dann auch vertrauen müssen. Bei den Programmen von SecureSafe und S-Trust konnte nicht bewertet werden, ob der Anbieter auf die gespeicherten Inhalte zugreifen kann.
Gibt der Hersteller an, Daten des Passwort-Managers in einer Cloud zu speichern, sollten Sie sich stets über den Ort der Speicherung und dessen Schutzniveau beim Hersteller informieren. Solche Überlegungen sind auch wichtig, wenn man zum Beispiel PDF-Dateien auf einem Mac kostenlos bearbeiten möchte und dabei sensible Informationen verarbeitet. Es ist entscheidend, dass Sie sich der potenziellen Risiken bewusst sind und Maßnahmen ergreifen, um Ihre digitale Sicherheit zu gewährleisten.
Fazit und Empfehlungen für die Sicherheit von Passwort-Managern
Die Auswahl des richtigen Passwort-Managers ist eine persönliche Entscheidung, die ein Gleichgewicht zwischen Bequemlichkeit und Sicherheit erfordert. Während browserbasierte Passwort-Manager eine einfache Lösung bieten, zeigen die Untersuchungen, dass dedizierte Lösungen oft höhere Sicherheitsstandards, insbesondere in Bezug auf vollständige Verschlüsselung und Datenschutz, aufweisen. Open-Source-Anbieter wie KeePassXC und KeePass2Android sind hierbei hervorzuheben, da sie eine maximale Kontrolle über die eigenen Daten ermöglichen.
Bevor Sie sich für einen Passwort-Manager entscheiden, sollten Sie dessen technische Merkmale, insbesondere die Art der Verschlüsselung und die Unterstützung von 2FA, genau prüfen. Ebenso wichtig ist eine transparente Datenschutzerklärung, die klar aufzeigt, welche Daten erfasst, wie sie verarbeitet und an wen sie weitergegeben werden. Informieren Sie sich kritisch über den Anbieterzugriff auf Ihre Daten und den Speicherort bei Cloud-Synchronisierung.
Ihre digitale Sicherheit beginnt mit fundierten Entscheidungen. Wählen Sie einen Passwort-Manager, der nicht nur Ihre Passwörter sicher verwaltet, sondern auch Ihr Vertrauen in den Schutz Ihrer persönlichen Daten stärkt. Bleiben Sie informiert und schützen Sie Ihre digitale Identität aktiv.