Passwortmanager im Fokus: BSI sieht Verbesserungsbedarf
Geschrieben von Miriam Harringer, veröffentlicht am 18.12.2025Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat verbreitete Passwortmanager untersucht. Das Fazit: Es gibt bei einigen technischen Verbesserungsbedarf – der Einsatz von Passwortmanagern bleibt dennoch sinnvoll.
Warum Passwortmanager für die IT-Sicherheit wichtig sind
Unsichere Passwortpraktiken zählen zu den häufigsten Ursachen für Sicherheitsvorfälle. Phishing-Angriffe, Kontoübernahmen und Datenlecks lassen sich oft auf zu einfache oder wiederverwendete Passwörter zurückführen. Passwortmanager reduzieren dieses Risiko deutlich, da sie für jeden Dienst ein eigenes, komplexes Passwort bereitstellen.
BSI-Untersuchung: Wo der Verbesserungsbedarf liegt
Im Rahmen der Analyse untersuchte das BSI zehn Passwortmanager (als PDF downloadbar). Im Fokus stand die technische Umsetzung der Passwortspeicherung. Dabei zeigte sich: Bei einzelnen Produkten besteht theoretisch die Möglichkeit, dass Hersteller auf gespeicherte Passwörter zugreifen könnten.
Drei der untersuchten Manager — Chrome Password Manager, mSecure Password Manager und PassSecurium — wurden als technisch verbesserungswürdig eingestuft.
Warum das BSI trotzdem zur Nutzung rät
Trotz dieser Schwächen spricht sich das BSI generell nicht gegen Passwortmanager aus. Der Grund ist pragmatisch: Die Risiken durch schlechte Passwortpraxis wiegen in der Realität deutlich schwerer als die identifizierten Mängel einzelner Produkte!
Welche Passwortmanager sind robust?
Laut BSI-Analyse galten im Test folgende Tools als vergleichsweise robust (keine Rangliste):
- 1Password
- KeePass2Android
- KeePassXC
- Firefox Passwortmanager (mit aktiviertem Masterpasswort)
Diese Manager zeigen im Vergleich die wenigsten architektonischen Schwächen und entsprechen am ehesten den Erwartungen moderner IT-Sicherheit in Bezug auf Verschlüsselung und Datenzugriff.
Worauf bei Auswahl und Nutzung zu achten ist
Nicht jeder Passwortmanager bietet das gleiche Schutzniveau. Achten Sie generell auf eine konsequente Ende-zu-Ende-Verschlüsselung, transparente Sicherheitskonzepte und keine Zugriffsmöglichkeiten für Anbieter. Cloud-Funktionen sollten ausschließlich verschlüsselt genutzt werden. Ein starkes Masterpasswort, aktivierte Zwei-Faktor-Authentifizierung, regelmäßige Updates und automatische Sperrzeiten erhöhen den Schutz zusätzlich.
Empfehlung: Nutzen Sie Passwortmanager
Die BSI-Analyse demonstriert: Die Analyse zeigt Verbesserungsbedarfe, aber das ist kein Grund zum Umstieg auf Zettelwirtschaft. Wer geprüfte Lösungen auswählt und richtig nutzt, bewegt sich in den meisten Fällen auf der sicheren Seite.
Sprechen Sie uns gerne an, bei Fragen zu Passwortmanager im Fokus: BSI sieht Verbesserungsbedarf
Miriam Harringer,
Medien- und Kulturmanagerin sowie Redakteurin.
Auf unserem Blog schreibt sie Artikel für die Themenbereiche Datenschutz, Informationssicherheit und Künstliche Intelligenz.
Weitere Artikel
- Ist DeepSeek doch rechtswidrig?
- Neuer Einwilligungsdienst nach § 26 TDDDG: Macht Consenter bald Schluss mit Cookie-Banner-Flut?
- Werbe-E-Mails ohne Einwilligung: EuGH erlaubt das jetzt teilweise
- Was ist die Grundrechte-Folgenabschätzung gem. Art. 27 KI-VO?
- Was verbirgt sich hinter den Kennzeichnungspflichten des Art. 50 KI-VO?
- Was sind biometrische Daten gemäß Art. 4 Nr. 14 DSGVO?
Verwandte Artikel
- Darum zahlen Behörden keine Bußgelder
- Europäische Datenanalyse-Software anstatt US-Firma Palantir
- Das Daten-Governance-Gesetz (DGG) ist in Kraft: Neue Aufgaben für die Bundesnetzagentur
- Microsofts neue Datenschutz-Hilfen: Wie dokumentieren Verantwortliche den KI-Einsatz rechtssicher?
- Welche Daten sammeln VR-Brillen für welche Zwecke?
- Dashcams im Auto: Welche Bußgelder drohen bei DSGVO-Verstößen?