Viele Internet-Nutzer verwenden im Alltag identische oder zu einfache Passwörter. Damit riskieren sie den Missbrauch ihrer Daten oder Opfer eines Betrugs zu werden. Passwort-Manager können helfen, diese Gefahr durch die Verwaltung starker und individueller Passwörter zu verringern. Doch nicht alle Produkte schützen gleich gut und datensparsam. Das zeigt eine gemeinsame Untersuchung der Verbraucherzentrale Nordrhein-Westfalen und des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Zehn weit verbreitete Passwort-Manager wurden daraufhin überprüft, wie sicher sie Passwörter speichern und wie sie mit den sensiblen Nutzerdaten umgehen. «Die Auswertung der Datenschutz-Hinweise zeigt, dass ungefähr die Hälfte der geprüften Passwort-Manager erfreulicherweise datensparsam sind und entweder keinerlei personenbezogene Daten erfassen oder vornehmlich nur für die Bereitstellung des Dienstes erforderliche Daten erheben und verarbeiten», sagt Ayten Öksüz. Sie ist Expertin für Datenschutz bei der Verbraucherzentrale in Nordrhein-Westfalen.
Auf Datenschutz achten
Einige Anbieter erfassen zusätzlich Nutzungsdaten wie beispielsweise die Webseiten, für die die Zugangsdaten gespeichert wurden, sowie die Häufigkeit ihrer Aufrufe. Diese Daten werden teilweise zur Verbesserung der Dienste ausgewertet. Nur wenige Anbieter nutzen Daten auch zu Marketingzwecken oder teilen sie mit Marketingpartnern. Vor der Wahl des Passwort-Managers sollte man unbedingt die Datenschutz-Hinweise der jeweiligen Anbieter prüfen und darauf achten, dass die Passwort-Manager keine unnötigen Daten erheben und weitergeben, rät Öksüz.
Mehr Mängel wurden bei der Prüfung der IT-Sicherheit durch das BSI festgestellt. Drei der zehn untersuchten Passwort-Manager speichern Passwörter in einer Weise, die Herstellern einen Zugriff zumindest theoretisch ermöglichen – wenn auch teilweise nur unter gewissen Bedingungen. Dies erhöht prinzipiell die Angriffsfläche und erfordert zusätzliche Schutzmaßnahmen des Anbieters. Bei zwei Passwort-Managern war eine Bewertung nicht möglich. Lediglich drei der untersuchten Passwort-Manager verschlüsseln den kompletten Inhalt. Bei anderen werden teilweise Daten wie Benutzername und die Webseiten der gespeicherten Zugänge unverschlüsselt abgelegt.
Was macht einen guten Passwort-Manager aus?
Um eine sichere und effektive Verwaltung unterschiedlicher Passwörter zu gewährleisten, sind Passwort-Manager sinnvoll. Wie die Untersuchung zeigt, gibt es aber auch Schwachstellen bei einzelnen Anbietern. Bei der Auswahl sollte der Fokus auf Sicherheit und Datenschutz gelegt werden. Die Passwort-Manager sollten sämtliche Daten nach aktuellem Stand der Technik verschlüsseln und nur die notwendigsten Daten verarbeiten, welche zur Bereitstellung des Dienstes unumgänglich sind.
Bei der anschließenden Nutzung sollte auf die Einrichtung eines starken Masterpassworts, die Aktivierung einer Zwei-Faktor-Authentifizierung (2FA), automatische Backups der gespeicherten Passwörter sowie eine automatische Sperrung bei Nichtnutzung geachtet werden. So lässt sich ein unberechtigter Zugriff verhindern. Werden die Daten im Passwort-Manager in einer Cloud gespeichert, sollte man sich über den Ort der Speicherung und dessen Schutzniveau beim Hersteller informieren.
Umfrage zeigt: Man sorgt sich um die Daten
Eine Umfrage der Verbraucherzentrale NRW lieferte zudem weitere Erkenntnisse über den Umgang mit Passwörtern und die Nutzung von Passwort-Managern. Die Mehrheit der Befragten, die keinen Passwort-Manager nutzen, gab als Grund dafür an, man habe Angst, die darin gespeicherten Passwörter könnten gestohlen oder vom Anbieter eingesehen werden. Diese Angst teilt bei den Nutzern von Passwort-Managern immerhin noch ein Fünftel der Befragten. Sowohl unter denjenigen, die einen Passwort-Manager nutzen, als auch unter denjenigen, die keinen nutzen, ist die Sicherheit mit Abstand die am häufigsten genannte Eigenschaft, die bei der Wahl eine Rolle spielt.
«Damit Passwort-Manager genutzt werden, ist es unerlässlich, dass dem Produkt und dem Hersteller Vertrauen geschenkt werden kann und kein Zugriff auf die Daten möglich ist, auch nicht seitens des Anbieters» so Ayten Öksüz. «Hier sehen wir die Hersteller in der Pflicht, durch hohe Sicherheits- und Datenschutzstandards vertrauenswürdige Produkte anzubieten.»
10 Passwort-Manager analysiert
Im Rahmen einer Kooperation zwischen der Verbraucherzentrale Nordrhein-Westfalen und dem BSI wurde im ersten Halbjahr 2025 untersucht, wie sicher und datenschutzkonform ausgewählte Passwort-Manager sind. Auf Grundlage einer systematischen Marktanalyse hat das BSI zehn ausgewählte Passwort-Manager einer Gefährdungsanalyse unterzogen und die Ergebnisse den Herstellern mit Gelegenheit zur Stellungnahme vorab zur Verfügung gestellt.
Ziel der Untersuchung war, die IT-Sicherheit der Passwort-Manager zu bewerten. Die Verbraucherzentrale NRW hat die vom BSI ausgewählten Passwort-Manager hinsichtlich der Frage untersucht, wie diese mit dem Thema Datenschutz umgehen. Dazu wurden zum einen die Datenschutzhinweise und zum anderen der Registrierungsprozess begutachtet.
Ergänzend hat die Verbraucherzentrale NRW eine Verbraucher-Umfrage zum Thema Passwortverwaltung durchgeführt. Konkrete Treiber und Barrieren für die Nutzung von Passwort-Managern wurden erhoben. An der Umfrage haben 1.203 Internet-User teilgenommen. Die Ergebnisse der Untersuchungen durch das BSI und der Verbraucherzentrale NRW sind in einer gemeinsamen Veröffentlichung zusammengefasst.
Weitere hilfreiche Informationen:
Zentrale Ergebnisse der Verbraucher-Umfrage
Weitere Tipps und Erläuterungen rund um das Thema Passwort-Manager
(Quelle: VZ NRW)
Symbolfoto: Mmh30 / Pixabay
05.01.26 wel