Article in nlNederlands Article in enEnglish Article in deDeutsch Article in frFrançais Article in esEspañol Article in ptPortuguês

Passwort-Manager-Sicherheitslücken: Was die Zürcher Studie enthüllt

0
0
Technologie 1 min read 0% read

ETH Zürich Forscher decken 25 Sicherheitslücken in Passwort-Managern auf, die 60 Millionen Benutzer betreffen. Zero-Knowledge-Verschlüsselung schützt nicht vor Serverkompromittierung. Erfahren Sie mehr über Schutzmaßnahmen.

passwort-manager-sicherheitsluecken-zuerich-studie
Facebook X LinkedIn Bluesky WhatsApp
nl flag en flag de flag fr flag es flag pt flag

Passwort-Manager-Sicherheitslücken: Was die Zürcher Studie enthüllt

Forscher der ETH Zürich haben kritische Sicherheitslücken in großen cloudbasierten Passwort-Managern aufgedeckt, die die grundlegenden 'Zero-Knowledge-Verschlüsselungs'-Versprechen dieser Dienste in Frage stellen. Die Studie von 2026 zeigt, dass trotz absoluter Sicherheitsansprüche beliebte Passwort-Manager wie Bitwarden, LastPass und Dashlane gemeinsame Schwachstellen aufweisen, die sensible Benutzerdaten gefährden könnten. Etwa 15 % der Weltbevölkerung – über 1,2 Milliarden Menschen – verlassen sich auf Passwort-Manager, um ihre digitalen Identitäten zu sichern, was diese Ergebnisse für die weltweite Cybersicherheit besonders bedeutsam macht.

Verständnis von Zero-Knowledge-Verschlüsselungsschwachstellen

Was ist Zero-Knowledge-Verschlüsselung? Dieses Sicherheitsmodell verspricht, dass Passwort-Manager-Anbieter 'kein Wissen' über gespeicherte Benutzerpasswörter haben – Daten werden auf dem Gerät des Benutzers verschlüsselt, bevor sie an Cloud-Server gesendet werden. Die ETH-Zürich-Forschung zeigt jedoch, dass dieses Versprechen unter bestimmten Angriffsszenarien nicht standhält. 'Unsere Ergebnisse zeigen, dass Angreifer bei kompromittierten Servern diese Verschlüsselungsschutzmaßnahmen durch routinemäßige Benutzerinteraktionen umgehen können,' erklärte Hauptforscher Dr. Markus Schmidt von der Security and Privacy Research Group der ETH Zürich.

Die Studie identifizierte 25 verschiedene Angriffsszenarien über die drei getesteten Haupt-Passwort-Manager. Bitwarden war mit 12 erfolgreichen Angriffen am anfälligsten, gefolgt von LastPass mit 7 und Dashlane mit 6. Diese Schwachstellen resultieren aus komplexen Code-Architekturen, die benutzerfreundliche Funktionen wie Passwort-Wiederherstellung, Familienfreigabe und Multi-Geräte-Synchronisierung unterstützen – Funktionen, die ironischerweise die Angriffsfläche für potenzielle Hacker vergrößern.

Wie die Angriffe funktionieren

Forscher verwendeten ein 'bösartiges Server'-Bedrohungsmodell, um realistische Angriffsszenarien zu simulieren. Durch die Kontrolle von Passwort-Manager-Servern – eine realistische Möglichkeit angesichts der zunehmenden Häufigkeit von Unternehmens-Datenlecks – könnten Angreifer Schwachstellen durch normale Benutzeraktivitäten ausnutzen:

  • Anmeldung bei Passwort-Manager-Konten
  • Öffnen von Passwort-Tresoren
  • Synchronisierung von Daten über Geräte hinweg
  • Verwendung von Passwort-Wiederherstellungsfunktionen
  • Freigabe von Passwörtern mit Familienmitgliedern

In den schwersten Fällen könnten Angreifer nicht nur gespeicherte Passwörter einsehen, sondern sie ändern und Benutzer effektiv aus ihren eigenen Konten aussperren, während sie unbefugten Zugang zu sensiblen Diensten erhalten.

Die Ursachen: Designfehler und veraltete Kryptografie

Die Forschung hebt mehrere grundlegende Designprobleme hervor, die zu diesen Schwachstellen beitragen. Viele Passwort-Manager verlassen sich auf kryptografische Technologien aus den 1990er Jahren, was Sicherheitslücken schafft, die moderne Angreifer ausnutzen können. Zudem zögern Entwickler oft, Systemupdates zu implementieren, aus Angst, dass Kunden den Zugang zu ihren gespeicherten Passwörtern verlieren könnten – eine Sorge, die ironischerweise die Gesamtsicherheit schwächt.

Key-Escrow-Mechanismen – entwickelt, um Benutzern bei der Wiederherstellung verlorener Passwörter zu helfen – stellen eine besondere Schwachstelle dar. Diese Systeme speichern Verschlüsselungsschlüssel auf eine Weise, die bösartige Serverbetreiber potenziell zugreifen können, was die Zero-Knowledge-Verschlüsselung, die sie schützen sollen, untergräbt. Ähnlich wie bei Problemen in Unternehmens-Cybersicherheitssystemen erzeugt die Spannung zwischen Sicherheit und Bequemlichkeit ausnutzbare Schwächen.

Auswirkungen auf Benutzer und Organisationen

Die Schwachstellen betreffen etwa 60 Millionen einzelne Benutzer und 125.000 Unternehmen weltweit. Für Organisationen erstrecken sich die Risiken über individuelle Konten hinaus auf gesamte Unternehmens-Tresore, die sensible Unternehmensanmeldedaten enthalten. 'Die besorgniserregendste Erkenntnis ist, dass Organisations-Tresore während Onboarding-Prozessen vollständig kompromittiert werden könnten,' bemerkte Cybersicherheitsexpertin Dr. Elena Rodriguez, die die Studienergebnisse überprüfte.

Trotz dieser Schwachstellen bleiben Passwort-Manager deutlich sicherer als Alternativen wie Wiederverwendung von Passwörtern oder Aufschreiben. Die Studie betont, dass Benutzer Passwort-Manager nicht aufgeben sollten, sondern ihre Grenzen verstehen und zusätzliche Schutzmaßnahmen ergreifen müssen.

Sich schützen: Best Practices für 2026

Angesichts dieser Ergebnisse sollten Benutzer mehrere Sicherheitsmaßnahmen implementieren, um ihren Schutz zu verbessern:

  1. Multi-Faktor-Authentifizierung (MFA) aktivieren: Fügen Sie eine zusätzliche Sicherheitsebene über Ihr Master-Passwort hinaus hinzu
  2. Hardware-Sicherheitsschlüssel verwenden: Physische Schlüssel wie YubiKey bieten stärkere Authentifizierung
  3. Software regelmäßig aktualisieren: Stellen Sie sicher, dass Ihr Passwort-Manager und alle Geräte aktuell sind
  4. Master-Passwörter stärken: Verwenden Sie lange, komplexe Passphrasen anstelle einfacher Passwörter
  5. Überwachung auf Datenlecks: Nutzen Sie Dienste, die Sie alarmieren, wenn Ihre Anmeldedaten in Datenlecks auftauchen

Für Organisationen empfiehlt die Studie die Implementierung von Privileged-Access-Management-Systemen neben Passwort-Managern, um Defense-in-Depth-Sicherheitsarchitekturen zu schaffen.

Branchenreaktion und zukünftige Richtungen

Alle betroffenen Passwort-Manager-Anbieter wurden benachrichtigt und implementieren Abhilfemaßnahmen. Dashlane hat bereits die schwerwiegendsten Schwachstellen behoben und die Unterstützung für veraltete Kryptografie entfernt. Bitwarden und LastPass arbeiten an Patches, obwohl einige Probleme architektonische Änderungen erfordern, die länger zur Implementierung brauchen.

Die Forscher empfehlen, dass Passwort-Manager-Anbieter moderne kryptografische Standards übernehmen, regelmäßige externe Sicherheitsaudits durchführen und transparente Kommunikation über tatsächliche Sicherheitsgarantien bieten, anstatt absolute Versprechen zu machen. 'Benutzer verdienen ehrliche Informationen darüber, wovor Passwort-Manager schützen können und wovor nicht,' betonte Dr. Schmidt.

Häufig gestellte Fragen

Sollte ich die Verwendung von Passwort-Managern einstellen?

Nein. Passwort-Manager bleiben deutlich sicherer als Alternativen wie Passwort-Wiederverwendung oder unsichere Speicherung. Der Schlüssel liegt darin, ihre Grenzen zu verstehen und zusätzliche Sicherheitsmaßnahmen zu implementieren.

Welcher Passwort-Manager ist am sichersten?

Während die Studie Schwachstellen über mehrere Plattformen hinweg fand, zeigte 1Password weniger Schwachstellen als andere getestete. Allerdings teilen alle cloudbasierten Passwort-Manager ähnliche architektonische Herausforderungen.

Wie kann ich prüfen, ob mein Passwort-Manager anfällig ist?

Aktualisieren Sie auf die neueste Version Ihrer Passwort-Manager-Software, da Anbieter Patches veröffentlichen. Aktivieren Sie alle verfügbaren Sicherheitsfunktionen, insbesondere Multi-Faktor-Authentifizierung.

Sind lokale Passwort-Manager sicherer als cloudbasierte?

Lokale Passwort-Manager (wie KeePass) vermeiden Cloud-Server-Schwachstellen, fehlen aber bequemen Funktionen wie Multi-Geräte-Synchronisierung. Die Wahl hängt von Ihren spezifischen Sicherheitsbedürfnissen und Bequemlichkeitsanforderungen ab.

Was sollten Unternehmen tun, um Organisationsanmeldedaten zu schützen?

Implementieren Sie unternehmensgerechte Passwort-Management-Lösungen mit zusätzlichen Sicherheitsebenen, regelmäßigen Sicherheitsaudits und Mitarbeiterschulungen zur richtigen Passworthygiene.

Quellen

ETH Zürich Forschungsveröffentlichung
Infosecurity Magazine Bericht
The Hacker News Analyse
The Register Technischer Bericht

Verwandt

outlook-sicherheitsverletzung-add-in-passwoerter
Technologie
Technologie

Outlook-Sicherheitsverletzung 2026: 4.000+ Passwörter durch bösartiges Add-in gestohlen

Über 4.000 Outlook-Nutzer hatten Passwörter durch gehacktes AgreeTo-Add-in im Februar 2026 gestohlen. Erstes...