Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zehn beliebte Passwort-Manager unter die Lupe genommen. Ergebnis: Es gibt Verbesserungsbedarf, doch die Behörde betont: Passwort-Manager sind weiterhin unverzichtbar für Ihre IT-Sicherheit.
Warum Passwort-Manager wichtig sind
In Zeiten zunehmender Cyberangriffe sind Passwort-Manager entscheidend für:
- Starke, einzigartige Passwörter
- Schutz vor Passwort-Wiederverwendung
- Einfaches und sicheres Login auf allen Geräten
Doch wie sicher sind die Tools, denen wir unsere sensibelsten Daten anvertrauen?
So hat das BSI getestet
Die Auswahlkriterien:
✅ Unterstützung für Windows, macOS, Android und iOS
✅ Sichere Vertriebskanäle
✅ Sowohl Standalone-Apps als auch Browser-Manager
Getestet wurden:
- Browser-Manager: Chrome Passwort-Manager, Mozilla Firefox Passwort-Manager
- Apps: 1Password, Avira Password Manager, mSecure, PassSecurium, S-Trust, SecureSafe
- Open-Source: KeePassXC, KeePass2Android
Die wichtigsten Ergebnisse
- 1Password: Keine Designfehler festgestellt.
- Avira Password Manager: Kryptografie nicht überprüfbar; biometrische Authentifizierung deaktivieren, Master-Passwort sicher aufbewahren.
- Chrome Passwort-Manager: Herstellerzugriff möglich, wenn keine Passphrase gesetzt ist; Nutzernamen im Klartext gespeichert.
- KeePassXC & KeePass2Android: Sicher, wenn Auto-Sperre und Backups aktiviert sind.
- Mozilla Firefox Passwort-Manager: Sicher mit aktiviertem Hauptpasswort; Synchronisation empfohlen.
- mSecure: Hersteller könnte theoretisch zugreifen; Konzept erfüllt nicht die üblichen Sicherheitsstandards.
- PassSecurium: Herstellerzugriff jederzeit möglich – BSI rät von älteren Versionen ab.
- SecureSafe & S-Trust: Serverseitige Verschlüsselung erfordert Vertrauen in den Anbieter; S-Trust wird 2026 eingestellt.
Fazit: Von PassSecurium, SecureSafe, S-Trust und mSecure rät das BSI aktuell ab.
BSI-Empfehlungen für mehr Sicherheit
- Zwei-Faktor-Authentifizierung (2FA) aktivieren
Am besten Hardware-Token oder TOTP-Apps; SMS-OTP vermeiden (SIM-Swapping-Risiko). - Starkes Master-Passwort setzen und sicher verwahren.
- Apps regelmäßig aktualisieren und nur aus offiziellen Quellen beziehen.
Warum Passwort-Manager trotzdem unverzichtbar sind
Trotz einiger Schwachstellen sind Passwort-Manager deutlich sicherer als manuelle Passwortverwaltung. Sie reduzieren Phishing-Risiken, verhindern Credential-Stuffing und erleichtern die Umsetzung starker Passwort-Richtlinien.
Wichtige Erkenntnisse
- BSI prüfte 10 Passwort-Manager – einige mit Risiken
- Finger weg von Apps mit Herstellerzugriff
- 2FA und Master-Passwort sind Pflicht
- Passwort-Manager bleiben essenziell für Cybersecurity