Essenzielles Sicherheitstool
Passwortmanager im BSI-Test: Worauf Nutzer achten sollten
11.12.2025 – 11:27 UhrLesedauer: 3 Min.
Eine Untersuchung von zehn Passwortmanagern zeigt: Ihre Nutzung bleibt selbst dann sinnvoll, wenn sie Mängel haben. Worauf es bei Datenschutz und Sicherheit der Programme besonders ankommt.
Die Gefahr, im Alltag zu einfache Passwörter oder dasselbe Passwort für verschiedene Konten zu nutzen, ist groß – es sei denn, man nutzt Hilfsmittel wie einen Passwortmanager, der sich zahllose komplexe, sichere Passwörter „merken“ kann und sie jederzeit einfach abrufbar macht.
Eine Untersuchung von zehn Passwortmanagern durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ergeben, dass es zwar bei einigen Programmen Verbesserungsbedarf gibt. So speicherten etwa drei der getesteten Manager die Passwörter in einer Weise, die Herstellern theoretisch den Zugriff ermöglicht und die Software auf Herstellerseite angreifbarer macht. Das müssen sie durch ergänzende Maßnahmen kompensieren, denen Nutzerinnen und Nutzer dann schlichtweg vertrauen müssen.
Trotzdem seien die festgestellten Defizite bei den Passwortmanagern kein Grund, auf die Helfer zu verzichten: Ihr Nutzen überwiege bei weitem, erklärt das BSI. Viel riskanter sei es, keinen Passwortmanager zu nutzen und daher vielleicht Passwörter mehrfach zu verwenden oder einfach schwache Passwörter zu nutzen.
Dennoch sollten die Hersteller natürlich Mängel in ihren Passwortmanagern beheben. Mehrere Unternehmen haben laut BSI bereits Verbesserungen eingeleitet oder zugesagt.
Die Datenschutzhinweise und die für den Registrierungsprozess erhobenen Daten bei den zehn Passwortmanagern hat die Verbraucherzentrale Nordrhein-Westfalen im Rahmen einer Kooperation mit dem BSI einer datenschutzrechtlichen Prüfung unterzogen.
Diese hat ergeben, dass ungefähr die Hälfte der geprüften Manager insgesamt eher datensparsam ist und entweder keinerlei personenbezogene Daten erfassen oder vornehmlich nur für die Bereitstellung des Dienstes erforderliche Daten erheben und verarbeiten.
Einige Anbieter erfassen zusätzlich Nutzungsdaten wie beispielsweise die Webseiten, für die die Zugangsdaten gespeichert wurden, sowie die Häufigkeit ihrer Aufrufe. Diese Daten werden teilweise zur Verbesserung der Dienste ausgewertet. Nur wenige Anbieter nutzen Daten auch zu Marketingzwecken oder teilen sie mit Marketingpartnern, so die Verbraucherschützer.
Bei der Auswahl eines Passwortmanagers sollte man also unbedingt die verschiedenen Datenschutzhinweise prüfen und darauf achten, dass er keine unnötigen Daten erhebt und weitergibt.
Werden die Passwortmanager-Daten beim Hersteller gespeichert (Cloud-basierte Speicherung), sollten sich Verbraucherinnen und Verbraucher grundsätzlich über den Speicherort und dessen Schutzniveau informieren.
Diese Informationen finden sich etwa auf der Webseite des Herstellers, in den allgemeinen Geschäftsbedingungen (AGB) zur Nutzung des Produkts oder eben in den Datenschutzhinweisen.
Die Cloud-Speicherung ist bei den meisten Passwortmanagern Standard, weil sie erst die geräteübergreifende Nutzung des Programms und die Synchronisierung der Daten ermöglicht.
Es gibt auch Passwortmanager, die ausschließlich lokal auf einem einzigen Gerät arbeiten. Datenschutz-Vorteil: Alle Daten bleiben beim Nutzer. Praxis-Nachteil: Kein Zugriff auf die Passwörter von anderen Geräten aus – es sei denn, man installiert auch dort einen kompatiblen Passwortmanager, kopiert und aktualisiert die Passwort-Datenbank regelmäßig händisch zwischen den Geräten.
