Trotz wachsender digitaler Risiken setzen viele Menschen weiterhin auf einfache Passwörter wie 123456, Passwort oder den eigenen Namen. Diese Kombinationen sind für Angreifer leicht zu erraten und können innerhalb weniger Sekunden geknackt werden. Oft liegt es daran, dass sich Nutzer komplexe Passwörter schlecht merken können oder aus Bequemlichkeit dieselben Zugangsdaten für mehrere Dienste verwenden.
Passwort-Manager auf dem Prüfstand – Nicht alle Produkte sind sicher und datensparsam – Bild von Pete Linforth auf Pixabay
Doch genau das öffnet Cyberkriminellen Tür und Tor: Wird ein Konto gehackt, sind meist auch andere Zugänge gefährdet. Starke Passwörter – idealerweise zufällig erzeugt, lang und einzigartig – sowie die Nutzung eines Passwort-Managers erhöhen die Sicherheit erheblich. Wer sein digitales Leben schützen will, sollte deshalb auf einfache Muster verzichten und bewusst auf sichere Passwörter setzen.
Ein Passwort-Manager ist ein digitales „Schlüsselkästchen“, das alle Passwörter sicher speichert und verwaltet. Statt sich viele komplizierte Zugangsdaten merken zu müssen, benötigt man nur noch ein einziges Master-Passwort, um den Tresor zu öffnen. Ein Passwort-Manager hilft, digitale Zugänge sicher und bequem zu organisieren – und ist damit ein wichtiger Baustein für gute IT-Sicherheit. Eine Untersuchung der Verbraucherzentrale Nordrhein-Westfalen und des Bundesamts für Sicherheit in der Informationstechnik (BSI) zeigt,
Passwort-Manager auf dem Prüfstand – Nicht alle Produkte sind sicher und datensparsam
Viele Verbraucher:innen verwenden im Alltag identische oder zu einfache Passwörter – und riskieren damit den Missbrauch ihrer Daten oder Opfer eines Betrugs zu werden. Passwort-Manager können helfen, diese Gefahr durch die Verwaltung starker und individueller Passwörter zu verringern. Doch nicht alle Produkte schützen gleich gut und datensparsam. Das zeigt eine gemeinsame Untersuchung der Verbraucherzentrale Nordrhein-Westfalen und des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Zehn weit verbreitete Passwort-Manager wurden daraufhin überprüft, wie sicher sie Passwörter speichern und wie sie mit den sensiblen Nutzerdaten umgehen. „Die Auswertung der Datenschutzhinweise zeigt, dass ungefähr die Hälfte der geprüften Passwort-Manager erfreulicherweise datensparsam sind und entweder keinerlei personenbezogene Daten erfassen oder vornehmlich nur für die Bereitstellung des Dienstes erforderliche Daten erheben und verarbeiten“, sagt Ayten Öksüz, Expertin für Datenschutz bei der Verbraucherzentrale NRW. Einige Anbieter erfassen zusätzlich Nutzungsdaten wie beispielsweise die Webseiten, für die die Zugangsdaten gespeichert wurden, sowie die Häufigkeit ihrer Aufrufe.
Diese Daten werden teilweise zur Verbesserung der Dienste ausgewertet. Nur wenige Anbieter nutzen Daten auch zu Marketingzwecken oder teilen sie mit Marketingpartnern. „Vor der Wahl des Passwort-Managers sollten Verbraucher:innen unbedingt die Datenschutzhinweise der jeweiligen Anbieter prüfen und darauf achten, dass die Passwort-Manager keine unnötigen Daten erheben und weitergeben“, rät Öksüz.
Mehr Mängel wurden bei der Prüfung der IT-Sicherheit durch das BSI festgestellt. Drei der zehn untersuchten Passwort-Manager speichern Passwörter in einer Weise, die Herstellern einen Zugriff zumindest theoretisch ermöglichen – wenn auch teilweise nur unter gewissen Bedingungen. Dies erhöht prinzipiell die Angriffsfläche und erfordert zusätzliche Schutzmaßnahmen des Anbieters. Bei zwei Passwort-Managern war eine Bewertung nicht möglich. Lediglich drei der untersuchten Passwort-Manager verschlüsseln den kompletten Inhalt. Bei anderen werden teilweise Daten wie Benutzername und die Webseiten der gespeicherten Zugänge unverschlüsselt abgelegt.
Was einen guten Passwort-Manager ausmacht
Um eine sichere und effektive Verwaltung unterschiedlicher Passwörter zu gewährleisten, sind Passwort-Manager sinnvoll. Wie die Untersuchung zeigt, gibt es aber auch Schwachstellen bei einzelnen Anbietern. Bei der Auswahl sollte der Fokus auf Sicherheit und Datenschutz gelegt werden. Die Passwort-Manager sollten sämtliche Daten nach aktuellem Stand der Technik verschlüsseln und nur die notwendigsten Daten verarbeiten, welche zur Bereitstellung des Dienstes unumgänglich sind. Bei der anschließenden Nutzung sollte auf die Einrichtung eines starken Masterpassworts, die Aktivierung einer Zwei-Faktor-Authentifizierung (2FA), automatische Backups der gespeicherten Passwörter sowie eine automatische Sperrung bei Nichtnutzung geachtet werden, um einen unberechtigten Zugriff zu verhindern. Werden die Daten im Passwort-Manager in einer Cloud gespeichert, sollten Verbraucher:innen sich über den Ort der Speicherung und dessen Schutzniveau beim Hersteller informieren.
Umfrage zeigt: Verbraucher:innen sorgen sich um ihre Daten
Eine Umfrage der Verbraucherzentrale NRW lieferte zudem weitere Erkenntnisse über den Umgang mit Passwörtern und die Nutzung von Passwort-Managern unter Verbraucher:innen. Die Mehrheit der Befragten, die keinen Passwort-Manager nutzen, gab als Grund dafür an, dass sie Angst haben, die darin gespeicherten Passwörter könnten gestohlen oder vom Anbieter eingesehen werden. Diese Angst teilt bei den Nutzer:innen von Passwort-Managern immerhin noch ein Fünftel der Befragten. Sowohl unter denjenigen, die einen Passwort-Manager nutzen, als auch unter denjenigen, die keinen nutzen, ist die Sicherheit mit Abstand die am häufigsten genannte Eigenschaft, die bei der Wahl eine Rolle spielt. „Damit Passwort-Manager genutzt werden, ist es unerlässlich, dass dem Produkt und dem Hersteller Vertrauen geschenkt werden kann und kein Zugriff auf die Daten möglich ist, auch nicht seitens des Anbieters“ so Öksüz. „Hier sehen wir die Hersteller in der Pflicht, durch hohe Sicherheits- und Datenschutzstandards vertrauenswürdige Produkte anzubieten.“
Hintergrund
Im Rahmen einer Kooperation zwischen der Verbraucherzentrale Nordrhein-Westfalen e.V. und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde im ersten Halbjahr 2025 untersucht, wie sicher und datenschutzkonform ausgewählte Passwort-Manager sind. Auf Grundlage einer systematischen Marktanalyse hat das BSI zehn ausgewählte Passwort-Manager einer Gefährdungsanalyse unterzogen und die Ergebnisse den Herstellern mit Gelegenheit zur Stellungnahme vorab zur Verfügung gestellt. Ziel der Untersuchung war es, die IT-Sicherheit der Passwort-Manager zu bewerten. Die Verbraucherzentrale NRW hat die vom BSI ausgewählten Passwort-Manager hinsichtlich der Frage untersucht, wie diese mit dem Thema Datenschutz umgehen. Dazu wurden zum einen die Datenschutzhinweise und zum anderen der Registrierungsprozess begutachtet. Ergänzend hat die Verbraucherzentrale NRW eine Verbraucherumfrage zum Thema Passwortverwaltung durchgeführt, um konkrete Treiber und Barrieren für die Nutzung von Passwort-Managern zu erheben. An der Umfrage haben 1.203 Internet-Nutzer:innen teilgenommen.
Weiterführende Informationen:
- Die Ergebnisse der Untersuchungen durch das BSI und der Verbraucherzentrale NRW sind in einer gemeinsamen Veröffentlichung zusammengefasst und können hier abgerufen werden:
https://www.bsi.bund.de/dok/1148996 - Die zentralen Ergebnisse der Verbraucherumfrage sind unter folgendem Link einsehbar:
https://www.verbraucherzentrale.nrw/node/ 113439 - Weitere Tipps und Erläuterungen rund um das Thema Passwort-Manager unter:
www.verbraucherzentrale.de/passwort-manager
