Passwort-Manager gelten als das Fundament einer guten digitalen Sicherheitsstrategie. Doch eine aktuelle Untersuchung des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) und des Forschungszentrums ATHENE lässt aufhorchen: In mehreren Cloud-basierten Passwort-Managern wurden teils kritische Schwachstellen entdeckt.
Wer heute im Netz sicher unterwegs sein will, kommt an einem Passwort-Manager kaum vorbei. Die Tools generieren komplexe Passwörter und speichern sie in einem verschlüsselten Tresor. Doch wie sicher ist dieser Tresor wirklich, wenn er mit der Cloud synchronisiert wird? Forscher haben nun gezeigt, dass selbst bei Marktführern unter bestimmten Umständen sensible Daten abgegriffen werden könnten.
Das Problem: Wenn das Geheimnis im Speicher bleibt
Die Sicherheitsexperten untersuchten namhafte Anbieter wie Bitwarden, 1Password und andere populäre Dienste. Im Fokus stand dabei vor allem der Umgang mit dem sogenannten „Master-Key“ im Arbeitsspeicher (RAM) der Geräte.
Das Kernproblem: Sobald ein Nutzer seinen Tresor entsperrt, muss die Software den Entschlüsselungskey im Speicher vorhalten, um auf die Passwörter zuzugreifen. Die Forscher fanden heraus, dass diese sensiblen Informationen bei einigen Anbietern deutlich länger im RAM verbleiben als notwendig – selbst nachdem der Tresor wieder gesperrt wurde. Ein Angreifer, der physischen Zugriff auf das Gerät hat oder eine Schadsoftware einschleusen konnte, könnte diesen Speicher auslesen und so den Zugriff auf alle gespeicherten Zugangsdaten erhalten.
Lokale vs. Cloud-basierte Schwachstellen
Besonders kritisch ist die Handhabung der Sitzungs-Tokens. In einigen Fällen war es möglich, Sitzungen zu übernehmen oder den Schutzmechanismus der Zwei-Faktor-Authentifizierung (2FA) zu umgehen, wenn die Implementierung der Cloud-Anbindung lückenhaft war.
Obwohl die Cloud-Synchronisation den Komfort bietet, Passwörter nahtlos zwischen Android-Smartphone, Tablet und PC zu teilen, vergrößert sie theoretisch die Angriffsfläche. Die Forscher betonten jedoch, dass für einen erfolgreichen Angriff meist ein direkter Zugriff auf das Endgerät oder eine bereits bestehende Infektion mit Malware erforderlich ist.
Reaktion der Anbieter: Patches sind unterwegs
Die gute Nachricht für alle Nutzer von Android-Geräten: Die betroffenen Unternehmen wurden vorab über die Ergebnisse informiert (Responsible Disclosure). Die meisten Anbieter, darunter Branchenriesen wie Bitwarden und 1Password, haben bereits reagiert und Updates veröffentlicht oder arbeiten an Verbesserungen ihrer Speicherverwaltung.
Es zeigt sich einmal mehr, dass Software-Sicherheit ein fortlaufender Prozess ist. Auch wenn „Zero-Knowledge-Architekturen“ versprechen, dass die Anbieter selbst keinen Zugriff auf die Daten haben, bleibt die lokale Implementierung auf dem Endgerät der kritische Punkt.
Was sollten Nutzer jetzt tun?
Trotz der gefundenen Lücken ist die Nutzung eines Passwort-Managers immer noch um ein Vielfaches sicherer, als dasselbe Passwort für mehrere Dienste zu verwenden. Um das Risiko zu minimieren, sollten Sie folgende Schritte beachten:
Updates installieren: Halten Sie die Apps Ihrer Passwort-Manager auf dem Android-Smartphone und die Browser-Erweiterungen am PC immer auf dem neuesten Stand.
Automatisches Sperren aktivieren: Stellen Sie sicher, dass sich Ihr Tresor nach kurzer Zeit der Inaktivität automatisch sperrt.
Gerätesicherheit: Nutzen Sie die biometrischen Sperren (Fingerabdruck, Gesichtsscan) Ihres Smartphones und achten Sie darauf, dass Ihr Betriebssystem aktuell ist.
Zwei-Faktor-Authentifizierung (2FA): Aktivieren Sie 2FA nicht nur für den Passwort-Manager selbst, sondern für alle wichtigen Dienste (E-Mail, Banking, Social Media).
Die Entdeckungen der Fraunhofer-Forscher sind eine wichtige Mahnung an die Entwickler, die Sicherheit im Arbeitsspeicher ernster zu nehmen. Für uns Nutzer bedeutet es: Wachsam bleiben, Updates einspielen, aber keinesfalls auf den Komfort und die Basissicherheit eines Passwort-Managers verzichten.
Sie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
