Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat gemeinsam mit dem FZI Forschungszentrum Informatik und der Verbraucherzentrale Nordrhein-Westfalen (VZ NRW) eine umfassende Überprüfung gängiger Passwort-Manager durchgeführt. Ziel der gemeinsamen Untersuchung war es, die IT-Sicherheit und den Datenschutz dieser Tools realistisch zu bewerten und Verbraucherinnen und Verbrauchern eine fundierte Orientierung zu geben.

Insgesamt wurden zehn weit verbreitete Passwort-Manager analysiert, darunter unabhängige Programme und auch browserbasierte Lösungen wie die Passwort-Speicher von Google Chrome und Mozilla Firefox. Die Bewertung durch das BSI und das FZI konzentrierte sich speziell auf technische Sicherheitsmerkmale wie kryptographische Konzepte, Schutzmechanismen gegen Angriffe, Phishing-Abwehr, Zugriffsbeschränkungen und die generelle Zukunftssicherheit der eingesetzten Verfahren. Dabei zeigte sich, dass die konzeptionelle Sicherheit der Lösungen erheblich variiert und nicht alle Programme gleich starke Schutzmechanismen bieten.

Parallel dazu hat die Verbraucherzentrale NRW die Datenschutzpraxis der getesteten Passwort-Manager untersucht, also wie sie mit sensiblen Nutzerdaten umgehen und welche Informationen sie im Rahmen der Nutzung erheben. Etwa die Hälfte der überprüften Produkte arbeitet dabei datensparsam und erhebt nur die unbedingt für den Betrieb erforderlichen Daten. Bei anderen wurden weitergehende Nutzungsdaten gespeichert, etwa welche Websites gesichert werden oder wie häufig bestimmte Funktionen verwendet werden. Nur wenige Anbieter nutzten Daten auch zu Marketingzwecken.

Ein zentrales Ergebnis der Tests ist, dass bei mehreren Passwortmanagern technische Schwachstellen bestehen, bei denen Passwörter so gespeichert werden, dass unter bestimmten Bedingungen theoretisch auch der Anbieter selbst Zugriff hätte. Dies kann die Angriffsfläche prinzipiell erhöhen und verlangt zusätzliche Schutzmaßnahmen seitens der Entwickler. Bei einigen Produkten war aufgrund fehlender Transparenz eine abschließende Bewertung nicht möglich. Zugleich betonen die Prüfstellen jedoch, dass solche Defizite nicht generell gegen die Nutzung von Passwortmanagern sprechen: Die grundlegende Verwendung von Passwortmanagern bleibt aus Sicht der Sicherheitsexperten empfehlenswert, weil sie starke und unterschiedliche Passwörter für viele Konten ermöglicht und damit deutlich sicherer ist als einfache oder mehrfach genutzte Passwörter.

Die Ergebnisse der Untersuchung sind in der gemeinsamen Veröffentlichung „Passwortmanager im Test: IT-Sicherheit und Datenschutz im Fokus“ zusammengefasst und sollen sowohl Verbrauchern bei der Auswahl sicherer Produkte helfen, als auch Anbietern Impulse geben, ihre Sicherheits- und Datenschutzstandards zu verbessern.