Studie von BSI und Verbraucherzentrale
Viele Passwortmanager schützen Nutzerdaten unzureichend
09.12.2025 – 16:44 UhrLesedauer: 3 Min.
Passwortmanager im Test: Nur drei von zehn Produkten verschlüsseln alle Daten komplett. Bei einigen können Hersteller auf Passwörter zugreifen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Verbraucherzentrale Nordrhein-Westfalen haben zehn verbreitete Passwortmanager untersucht – mit ernüchterndem Ergebnis: Nur drei der getesteten Produkte verschlüsseln sämtliche Inhalte vollständig. Bei mehreren Anbietern können Hersteller zumindest theoretisch auf die gespeicherten Daten zugreifen.
Die gemeinsame Untersuchung, die im ersten Halbjahr 2025 durchgeführt wurde, nahm sowohl die IT-Sicherheit als auch den Datenschutz der Programme unter die Lupe. Getestet wurden bekannte Anbieter wie 1Password, die Browser-Passwortmanager von Google Chrome und Mozilla Firefox sowie verschiedene eigenständige Programme.
Das zentrale Ergebnis der Sicherheitsprüfung: Lediglich 1Password, KeePass2Android und KeePassXC verschlüsseln den kompletten Inhalt der gespeicherten Daten. Die anderen sieben getesteten Programme speichern Teile wie Benutzernamen oder Website-Adressen unverschlüsselt ab.
- Analyse deckt auf: Diese beliebte Shopping-App sammelt sensible Daten
- Cybersicherheit: Deutsche setzen auf wirkungslose Passwort-Methoden
Besonders kritisch bewerten die Prüfer, dass nur zwei der zehn Programme – KeePass2Android und KeePassXC – nach einer Änderung des Masterpassworts alle abhängigen Schlüssel vollständig ändern und die Daten komplett neu verschlüsseln. Diese Maßnahme sei wichtig, um potenzielle Angriffsvektoren auszuschließen, heißt es in dem Bericht.
Ein weiterer kritischer Befund: Bei drei Passwortmanagern können die Hersteller auf die gespeicherten Daten zugreifen. Betroffen seien der Chrome-Passwortmanager von Google sowie die Programme mSecure und PassSecurium. Bei zwei weiteren Anbietern – SecureSafe und S-Trust – war eine Bewertung nach Angaben der Prüfer nicht möglich.
Google gibt in seinen Datenschutzhinweisen zwar an, aufgrund der Verschlüsselung keinen Zugriff auf die Zugangsdaten zu haben. Die sicherheitstechnische Untersuchung des BSI ergab jedoch, dass der Anbieter in Abhängigkeit des gewählten Modus im Passwortmanager zumindest theoretisch eine Zugriffsmöglichkeit habe.
Bei der Prüfung der Datenschutzhinweise zeigte sich ein gemischtes Bild: Rund die Hälfte der getesteten Passwortmanager erhebt laut Verbraucherzentrale NRW vornehmlich nur Daten, die für die Bereitstellung des Dienstes erforderlich sind – etwa E-Mail-Adresse, Benutzername und technische Daten wie IP-Adresse oder Betriebssystem.
Besonders datenschutzfreundlich seien die Open-Source-Programme KeePassXC und KeePass2Android, da die Passwörter primär lokal auf dem Gerät gespeichert werden. Nach Angaben der Hersteller werden keine personenbezogenen Daten erhoben oder an Server weitergeleitet.
Einige Anbieter erfassen jedoch zusätzlich Nutzungsdaten wie die Webseiten, für die Zugangsdaten gespeichert wurden, sowie die Häufigkeit ihrer Aufrufe. Diese Daten werden teilweise zur Verbesserung der Dienste ausgewertet. Wenige Anbieter – darunter 1Password, SecureSafe und Avira – nutzen Daten auch zu Marketingzwecken oder teilen sie mit Marketingpartnern.
„Vor der Wahl des Passwortmanagers sollten Verbraucherinnen und Verbraucher unbedingt die Datenschutzhinweise der jeweiligen Anbieter prüfen und darauf achten, dass die Passwortmanager keine unnötigen Daten erheben und weitergeben“, rät Ayten Öksüz, Datenschutz-Expertin bei der Verbraucherzentrale NRW.
Die Prüfer empfehlen Nutzern, auf folgende Sicherheitsmerkmale zu achten: Die Verwendung eines starken Masterpassworts ist Pflicht. Wo möglich, sollte die Zwei-Faktor-Authentifizierung aktiviert werden – dabei seien Hardware-Tokens oder zeitbasierte Einmalpasswörter (TOTP) SMS-Codes vorzuziehen. Zudem sollten Nutzer prüfen, ob der Passwortmanager automatisch Backups erstellt oder ob sie selbst regelmäßig Sicherungen anlegen müssen.
