Passwort-Manager im Unternehmenseinsatz – Teil 3: Was drei unabhängige Studien zeigen – und welcher Anbieter empfehlenswert ist

Im dritten und letzten Teil dieser Serie verlassen wir die Produktebene und schauen auf das, was unabhängige Forscher und Behörden über Passwort-Manager herausgefunden haben. Drei Studien aus den Jahren 2024–2026 liefern dabei das bislang fundierteste Bild – und haben direkte Konsequenzen für die Produktwahl.

Drei Studien, ein Fazit

BSI CAOS 3.0 – KeePass und Vaultwarden (Oktober 2024)

Das BSI hat im Rahmen seines Projekts „Codeanalyse von Open Source Software" (CAOS) gemeinsam mit mgm security partners eine eingehende Analyse von KeePass und Vaultwarden durchgeführt.

KeePass bestand den Audit mit ausschließlich niedrig eingestuften Schwachstellen: eine Auto-Type-Funktion, die unter bestimmten Umständen missbraucht werden könnte, sowie Mängel bei der SSL-Zertifikatvalidierung. Keine kritischen Probleme. Das BSI bestätigt KeePass als grundsätzlich sicher – insbesondere für den lokalen, offline-basierten Einsatz.

Vaultwarden (die leichtgewichtige Open-Source-Alternative für Bitwarden-Self-Hosting) war das andere Bild. Zwei Schwachstellen mit der Einstufung „hoch":

• CVE-2024-39925 – Fehlender Offboarding-Prozess: Wenn ein Mitarbeiter eine Organisation verlässt, wird der Master-Schlüssel nicht ausgetauscht. Das ausgeschiedene Mitglied behält kryptografischen Zugriff auf alle Organisationsdaten – auch auf zukünftig erzeugte Passwörter.
• CVE-2024-39924 / CVE-2024-39926 – Cross-Tenant-Datenzugriff: In Multi-Mandanten-Betrieb war unbefugter Zugriff auf verschlüsselte Daten anderer Organisationen möglich. In Kombination mit dem fehlenden Offboarding-Prozess konnte ein ausgeschiedener Mitarbeiter dauerhaften Klartext-Zugriff auf sämtliche Geheimnisse der betroffenen Organisationen behalten.

Alle drei CVEs wurden von den Vaultwarden-Entwicklern in Version 1.32.0 (August 2024) behoben – noch vor der BSI-Veröffentlichung. Wer Vaultwarden betreibt und noch nicht auf Version ≥ 1.32.0 aktualisiert hat, sollte das sofort nachholen.

BSI / FZI / Verbraucherzentrale NRW – Große Passwortmanager-Studie (Dezember 2025)

Im Dezember 2025 veröffentlichte das BSI gemeinsam mit dem FZI Forschungszentrum Informatik und der Verbraucherzentrale NRW die bislang umfassendste deutsche Untersuchung. Zehn Produkte wurden nach knapp 60 Prüfpunkten bewertet – darunter 1Password, KeePassXC, Google Chrome und Mozilla Firefox.

Die zentralen Befunde:

Herstellerzugriff: Bei 3 von 10 Produkten (Google Chrome, mSecure, PassSecurium) speichern die Anbieter Passwörter in einer Weise, die ihnen theoretisch Zugriff ermöglicht. Zero-Knowledge ist hier nur Eigenaussage – keine technische Garantie.

Vollständige Verschlüsselung: Nur 3 Produkte verschlüsseln sämtliche Inhalte lückenlos: 1Password, KeePass2Android und KeePassXC.

Masterpasswort-Neuverschlüsselung: 8 von 10 Anwendungen verschlüsseln den Tresor nach einer Masterpasswort-Änderung nicht vollständig neu. Ein Angreifer, der einmal Zugriff hatte, könnte unter Umständen weiter lesen.

Kryptografie: Nur 4 Produkte setzen durchgängig auf moderne, korrekt konfigurierte Algorithmen. RSA-2048 gilt laut BSI TR-02102-1 (Version 2026) für Neuentwicklungen nicht mehr als empfohlen.

Das Fazit der Studie für die im zweiten Teil behandelten Produkte: 1Password weist laut Bericht keine Designfehler auf und verschlüsselt vollständig. KeePassXC zeigt keine grundsätzlichen Bedenken. Browser-integrierte Lösungen wie Google Chrome erhalten nur bedingte Empfehlung.

ETH Zürich / USI – „Zero Knowledge (About) Encryption" (Februar 2026)

Das wissenschaftlich anspruchsvollste Paper der drei Studien erscheint im August 2026 auf der USENIX Security Conference. Forscher der ETH Zürich und der Università della Svizzera italiana untersuchten im sogenannten Malicious Server Threat Model: Was geschieht, wenn der Server des Passwort-Manager-Anbieters vollständig kompromittiert ist?

Dieses Bedrohungsmodell ist praxisrelevant – es entspricht exakt dem Szenario, das 2022 bei LastPass eingetreten ist.

Die Forscher fanden 27 erfolgreiche Angriffsszenarien gegen Bitwarden (12), LastPass (7) und Dashlane (6), sowie architektonische Limitationen bei 1Password (ohne neue Angriffsvektoren).

Die wichtigsten Angriffsklassen:

• Key-Escrow-Angriffe in Kontowiederherstellungs- und SSO-Mechanismen (Bitwarden, LastPass)
• Vault-Integritätsverletzungen: Benutzername, Passwort und URL werden separat gespeichert und können vom kompromittierten Server vertauscht werden – die App sendet dann das Passwort an eine falsche Gegenstelle
• Angriffe auf Sharing-Funktionen: Schlüssel können durch den Server substituiert werden
• Downgrade-Angriffe auf veraltete Kryptografie (Bitwarden, Dashlane)

1Password schnitt am besten ab. Das SRP-Protokoll (Secure Remote Password) verhindert, dass der AgileBits-Server überhaupt jemals den Schlüssel erhält. Keine neuen Angriffsvektoren wurden identifiziert.

Reaktionen der Anbieter: Bitwarden hat alle Probleme bestätigt und arbeitet an der Behebung. Dashlane hat den Downgrade-Angriff behoben. LastPass hat Härtungsmaßnahmen eingeleitet. Die Forscher betonen ausdrücklich: Derzeit gibt es keine Hinweise auf reale Ausnutzung. Gespeicherte Passwörter sind sicher – solange Server nicht aktiv kompromittiert werden.

DSGVO: Zwei Dimensionen, die Sie trennen müssen

Für Unternehmen gilt es, zwei DSGVO-Dimensionen sauber zu unterscheiden:

Payload (die Passwortdaten selbst): Bei echter Zero-Knowledge-Verschlüsselung verarbeitet der Anbieter nur unlesbaren Ciphertext. Ein US-CLOUD-Act-Bescheid würde insoweit ins Leere laufen. Die Qualität der ZKE-Implementierung ist entscheidend – 1Password hat hier das stärkste unabhängig verifizierte Setup.

Accountdaten und Metadaten (Name, E-Mail, Zugriffszeitpunkte, URLs): Diese liegen beim Anbieter im Klartext und unterliegen vollumfänglich der DSGVO sowie dem Unternehmensrecht des Anbieters. US-amerikanische und kanadische Unternehmen unterliegen dem CLOUD Act – unabhängig vom physischen Serverstandort.

Für KMU mit erhöhter DSGVO-Sensibilität bedeutet das: Bitwarden Cloud (EU-Server, AVV verfügbar, US-Firmensitz aber ZKE verifiziert), heylogin (Hosting und Entwicklung Deutschland, keine US-Verbindung) oder KeePassXC / Vaultwarden Self-Hosted (keine Drittpartei) bieten die stärkste Gesamtposition.

Handlungsempfehlung – je nach Profil

„Wir wollen die beste Balance aus Sicherheit, Komfort und DSGVO-Konformität." → Bitwarden Cloud mit EU-Server-Auswahl und abgeschlossenem Auftragsverarbeitungsvertrag. Kostengünstig, Open Source, keine bekannte Datenpanne, EU-DSGVO-freundlich.

„Maximale Datensouveränität ist für uns nicht verhandelbar." → KeePassXC mit Sync über eigene Nextcloud oder NAS, oder Vaultwarden Self-Hosted (≥ 1.32.0) auf eigenem Server. Kein Drittanbieter in der Kette.

„Wir brauchen die beste Benutzeroberfläche und starke Business-Funktionen – Sicherheit hat höchste Priorität." → 1Password. Stärkste ZKE laut BSI/FZI und ETH. Travel Mode für Geschäftsreisende. Kein kostenloses Tier, proprietär, aber konsistent beste Audit-Ergebnisse.

„Wir sind ein KMU in Deutschland, DSGVO-konform und möchten keine technische Infrastruktur betreiben." → heylogin. Kein Master-Passwort, hardwarebasierte Verschlüsselung, Hosting ausschließlich in Deutschland. Einschränkung: noch kein öffentlicher Sourcecode-Audit.

„Wir nutzen noch LastPass." → Migration zu Bitwarden oder 1Password einleiten. Jetzt.

Das bleibt immer gültig – unabhängig vom Anbieter

Kein Passwort-Manager der Welt kann kompensieren, was folgende Maßnahmen leisten:

Ein starkes, einzigartiges Master-Passwort. Mindestens 16 Zeichen, keine Wörter aus dem Wörterbuch. Das Master-Passwort ist der einzige Schlüssel zu allem.

Zwei-Faktor-Authentifizierung aktivieren. TOTP-App (z. B. Aegis, Authy) oder Hardware-Key (YubiKey). Nicht per SMS.

Regelmäßige Sicherheitsaudits im Tool. Doppelt verwendete, schwache oder kompromittierte Passwörter umgehend ersetzen.

Diese drei Maßnahmen kompensieren die meisten anbieterseitigen Risiken erheblich – und sind in jedem Passwort-Manager in wenigen Minuten eingerichtet.

Fazit der Serie

Passwort-Manager sind kein Luxus – sie sind Pflicht. Drei unabhängige Studien aus 2024–2026 zeigen: Die Produkte unterscheiden sich erheblich in ihrer Sicherheitsarchitektur, Transparenz und DSGVO-Eignung. Die gute Nachricht: Es gibt klare Empfehlungen. Und jeder Passwort-Manager – auch ein mittelmäßiger – ist besser als keiner.

Marc Dauenhauer ist IT-Management-Berater und externer Datenschutzbeauftragter. Dieser Artikel basiert auf einem ausführlichen Exposé mit Quellenverzeichnis (BSI, ETH Zürich, Verizon DBIR u. a.) – Stand März 2026. Das vollständige Exposé ist auf Anfrage erhältlich.