Passwortmanager im BSI-Test: Worauf Nutzer achten sollten

Bonn/Düsseldorf (dpa/tmn) - Die Gefahr, im Alltag zu einfache Passwörter oder dasselbe Passwort für verschiedene Konten zu nutzen, ist groß - es sei denn, man nutzt Hilfsmittel wie einen Passwortmanager, der sich zahllose komplexe, sichere Passwörter «merken» kann und sie jederzeit einfach abrufbar macht.

Eine Untersuchung von zehn Passwortmanagern durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ergeben, dass es zwar bei einigen der Programme Verbesserungsbedarf gibt. So speicherten etwa drei der getesteten Manager die Passwörter in einer Weise, die Herstellern theoretisch den Zugriff ermöglicht und die Software auf Herstellerseite angreifbarer macht. Das müssen die Hersteller durch ergänzende Maßnahmen kompensieren, denen Nutzerinnen und Nutzer dann schlichtweg vertrauen müssen.

Defizite sind kein Grund, auf Manager zu verzichten

Trotzdem seien die festgestellten Defizite bei den Passwortmanagern kein Grund, auf die Helfer zu verzichten: Ihr Nutzen überwiege bei weitem, erklärt das BSI. Viel riskanter sei es, keinen Passwortmanager zu nutzen und daher vielleicht Passwörter mehrfach zu verwenden oder einfach schwache Passwörter zu nutzen.

Dennoch sollten die Hersteller natürlich Mängel in ihren Passwortmanagern beheben. Mehrere Unternehmen haben laut BSI bereits Verbesserungen eingeleitet oder zugesagt.

Die Hälfte der Manager im Test ist recht datensparsam

Die Datenschutzhinweise und die für den Registrierungsprozess erhobenen Daten bei den zehn Passwortmanagern hat die Verbraucherzentrale Nordrhein-Westfalen im Rahmen einer Kooperation mit dem BSI einer datenschutzrechtlichen Prüfung unterzogen.

Diese hat ergeben, dass ungefähr die Hälfte der geprüften Manager insgesamt eher datensparsam ist und entweder keinerlei personenbezogene Daten erfassen oder vornehmlich nur für die Bereitstellung des Dienstes erforderliche Daten erheben und verarbeiten.

Aber wie sieht es mit den Nutzungsdaten aus?

Einige Anbieter erfassen zusätzlich Nutzungsdaten wie beispielsweise die Webseiten, für die die Zugangsdaten gespeichert wurden, sowie die Häufigkeit ihrer Aufrufe. Diese Daten werden teilweise zur Verbesserung der Dienste ausgewertet. Nur wenige Anbieter nutzen Daten auch zu Marketingzwecken oder teilen sie mit Marketingpartnern, so die Verbraucherschützer.

Bei der Auswahl eines Passwortmanagers sollte man also unbedingt die verschiedenen Datenschutzhinweise prüfen und darauf achten, dass er keine unnötigen Daten erhebt und weitergibt.

Wo wird gespeichert - und wie ist das Schutzniveau?

Werden die Passwortmanager-Daten beim Hersteller gespeichert (Cloud-basierte Speicherung), sollten sich Verbraucherinnen und Verbraucher grundsätzlich über den Speicherort und dessen Schutzniveau informieren.

Diese Informationen finden sich etwa auf der Webseite des Herstellers, in den allgemeinen Geschäftsbedingungen (AGB) zur Nutzung des Produkts oder eben in den Datenschutzhinweisen.

Cloud vs. lokal - die Vorteile und Nachteile

Die Cloud-Speicherung ist bei den meisten Passwortmanagern Standard, weil sie erst die geräteübergreifenden Nutzung des Programms und die Synchronisierung der Daten ermöglicht.

Es gibt auch Passwortmanager, die ausschließlich lokal auf einem einzigen Gerät arbeiten. Datenschutz-Vorteil: Alle Daten bleiben beim Nutzer. Praxis-Nachteil: Kein Zugriff auf die Passwörter von anderen Geräten aus - es sei denn man installiert auch dort einen kompatiblen Passwortmanager, kopiert und aktualisiert die Passwort-Datenbank regelmäßig händisch zwischen den Geräten. 

Etwas Recherche - und ein Blick in die Passkeys-Zukunft

Bevor man einen Passwortmanager installiert, sollte man auch einmal im Internet recherchieren, ob dieser bereits in der Vergangenheit durch Sicherheitsvorfälle negativ aufgefallen ist, raten die Verbraucherschützer. Gab es etwa schon einmal ein Zugangsdaten-Leck, entscheidet man sich besser für einen anderen Anbieter.

Gleichzeitig lohnt es, sich schon mit der Passwort-Alternative Passkeys zu beschäftigen, die immer mehr Verbreitung findet. Passkeys ermöglichen das passwortlose Anmelden über ein kryptographisches Schlüsselpaar. Das Verfahren gilt als besonders sicher, weil Passkeys nicht einfach erbeutet, gestohlen, erraten oder vergessen werden können - und die Anmeldung durch einen weiteren Faktor wie Fingerabdruck- oder Gesichts-Scan gesichert wird. Passkey-Schlüssel lassen sich auch in immer mehr Passwortmanagern speichern.

5 wichtige Dinge bei der Passwortmanager-Nutzung

Hat man sich für einen Passwortmanager entschieden, sollte man bei der Nutzung auf diese 5 Punkte achten, raten BSI und Verbraucherschützer in einer Ergebniszusammenfassung des Tests:

1. Ein starkes Masterpasswort einrichten.
2. Zwei-Faktor-Authentifizierung (2FA) aktivieren.
3. Automatische Backups der gespeicherten Passwörter einschalten oder die Daten regelmäßig manuell sichern.
4. Automatische Sperrung bei Nichtnutzung aktivieren, um unberechtigten Zugriff zu verhindern.
5. Regelmäßige Programmaktualisierungen seitens der Hersteller sind ein zusätzlicher, wichtiger Schutz für Passwortmanager. Ob Updates kommen und wann sie kommen, haben Verbraucherinnen und Verbraucher nicht in der Hand. Aber wenn sie kommen, sollte man sie zeitnah installieren.