Preview image for article: ETH-Studie: Sicherheitslücken bei Passwortmanagern

ETH-Studie: Sicherheitslücken bei Passwortmanagern

Avatar von Robin Böhm
· Published on 27.03.2026

TL;DR: ETH-Forscher haben bei den drei populären Passwortmanagern Bitwarden, LastPass und Dashlane insgesamt 25 erfolgreiche Angriffsvektoren identifiziert. Die Schwachstellen ermöglichen bei kompromittierten Servern trotz “Zero-Knowledge-Encryption” den Zugriff auf verschlüsselte Passwörter. Für Teams bedeutet das: Passwortmanager bleiben nützlich, aber die Sicherheitsarchitektur muss überdacht werden. Eine neue Studie der ETH Zürich erschüttert das Vertrauen in cloudbasierte Passwortmanager. Das Forschungsteam um Professor Kenneth Paterson vom Institut für Informationssicherheit konnte bei drei der populärsten Dienste – genutzt von über 60 Millionen Menschen weltweit – erhebliche Sicherheitslücken nachweisen. Die Erkenntnisse zwingen IT-Verantwortliche zum Umdenken ihrer Sicherheitsstrategie.

Die wichtigsten Punkte

  • 📅 Verfügbarkeit: Studie veröffentlicht am 16. Februar 2026
  • 🎯 Zielgruppe: IT-Teams, Sicherheitsverantwortliche, CTOs
  • 💡 Kernfeature: 25 dokumentierte Angriffsvektoren bei führenden Passwortmanagern
  • 🔧 Tech-Stack: Betroffene Dienste: Bitwarden (12 Attacken), LastPass (7), Dashlane (6)

Was bedeutet das für IT-Teams?

Die Forscher Matilda Backendal, Matteo Scarlata, Kenneth Paterson und Giovanni Torrisi demonstrierten, dass die beworbene “Zero-Knowledge-Encryption” – das Versprechen, dass selbst die Anbieter keinen Zugriff auf unverschlüsselte Daten haben – bei kompromittierten Servern nicht standhält. Für Teams bedeutet das eine fundamentale Neubewertung ihrer Passwort-Management-Strategie. Die Angriffe basieren auf einem “malicious server threat model”, bei dem kompromittierte Server sich bei Routine-Interaktionen wie Anmeldung, Synchronisation oder Passwort-Abruf bösartig verhalten.

Technische Details

Die identifizierten Schwachstellen entstehen durch zwei Hauptfaktoren: 1. Legacy-Kryptografie für Backward-Kompatibilität Die Forscher identifizierten sogenannte Downgrade-Attacken, bei denen moderne Verschlüsselung auf veraltete Standards aus den 1990er Jahren zurückfällt. Dies geschieht, um Kompatibilität mit älteren Clients zu gewährleisten – ein klassisches Dilemma zwischen Usability und Security. 2. Komplexität durch Feature-Creep Neue Funktionen wie Passwort-Sharing, Familienzugänge oder erweiterte Wiederherstellungsoptionen erhöhen die Angriffsfläche exponentiell. Die Forscher konnten durch diese Komplexität Lücken ausnutzen, um:

  • Gespeicherte Passwörter einzusehen
  • Credentials zu manipulieren
  • In einigen Fällen ganze Organisationskonten zu übernehmen

Organisatorischer Impact und Handlungsempfehlungen

Sofortmaßnahmen für Unternehmen

1. Kritische Überprüfung der Zero-Knowledge-Versprechen Teams müssen verstehen, dass “Zero-Knowledge” nur bei intakten Servern gilt. Die Lernkurve für Sicherheitsverantwortliche: Kein System ist absolut sicher, wenn die Server-Infrastruktur kompromittiert ist. 2. Multi-Layer Security-Ansatz Die Studie unterstreicht die Notwendigkeit eines mehrschichtigen Sicherheitskonzepts:

  • Multi-Faktor-Authentifizierung (MFA) als Pflicht
  • Kontinuierliches Monitoring von Account-Aktivitäten
  • Regelmäßige Security-Audits der verwendeten Dienste 3. Migration zu selbst-gehosteten Lösungen evaluieren Für kritische Infrastrukturen sollten Teams selbst-gehostete Lösungen wie Bitwarden Self-Hosted in Betracht ziehen. Die lokale Kontrolle reduziert das Risiko durch kompromittierte Cloud-Server erheblich.

Strategische Überlegungen

Die ETH-Studie zeigt exemplarisch, wie sich die Bedrohungslandschaft entwickelt. Passwortmanager sind als zentrale Sicherheitskomponenten zu bevorzugten Angriffszielen geworden – ähnlich wie früher Antivirus-Software. Für Teams bedeutet das:

  • Diversifikation: Nicht alle Eggs in einen Basket legen
  • Defense in Depth: Passwortmanager als eine von mehreren Sicherheitsschichten
  • Kontinuierliche Weiterbildung: Security-Awareness muss mit der Bedrohung wachsen

Die Reaktion der Anbieter

Die Forscher informierten alle betroffenen Anbieter 90 Tage vor Veröffentlichung der Studie. Die Reaktionen fielen unterschiedlich aus:

  • Dashlane hat die Legacy-Kryptografie bereits entfernt
  • Bitwarden arbeitet an Updates und betont, nie gehackt worden zu sein
  • LastPass implementiert schrittweise Fixes, nach eigenen Security-Incidents in der Vergangenheit Diese unterschiedlichen Reaktionszeiten zeigen, dass die Wahl des Passwortmanagers auch von der Reaktionsfähigkeit des Anbieters abhängen sollte.

Alternative Authentifizierungsmethoden: Der Weg nach vorn

Die Studie macht deutlich: Die Zukunft liegt möglicherweise nicht in besseren Passwortmanagern, sondern in der Abschaffung von Passwörtern selbst. Passkeys und FIDO2/WebAuthn bieten echte Zero-Knowledge-Eigenschaften:

  • Hardware-gebundene kryptografische Schlüssel
  • Resistant gegen Phishing und Server-Breaches
  • Keine zentrale Serverabhängigkeit für Secrets Für Teams bedeutet das eine mittelfristige Migrationsstrategie weg von passwortbasierter Authentifizierung. Die Investition in entsprechende Hardware und Schulungen zahlt sich langfristig aus.

Praktische Nächste Schritte

  1. Sofort: Security-Review durchführen
    • Inventarisierung aller verwendeten Passwortmanager im Unternehmen
    • Überprüfung der Konfigurationen (Legacy-Support deaktivieren)
    • MFA für alle kritischen Accounts aktivieren
  2. Kurzfristig: Mitarbeiter schulen
    • Awareness für die neuen Risiken schaffen
    • Best Practices für Master-Passwörter vermitteln
    • Alternative Authentifizierungsmethoden einführen
  3. Mittelfristig: Architektur überdenken
    • Evaluation selbst-gehosteter Lösungen
    • Pilotprojekte mit Passkeys/FIDO2
    • Zero-Trust-Architektur implementieren

Fazit: Passwortmanager bleiben wichtig, aber nicht unfehlbar

Die ETH-Studie ist ein Weckruf für die IT-Branche. Passwortmanager bleiben ein wichtiges Werkzeug für die digitale Sicherheit – sie sind immer noch besser als Post-its am Monitor oder das immer gleiche Passwort. Aber die blinde Vertrauensseligkeit in “Zero-Knowledge”-Versprechen muss einer realistischen Risikobewertung weichen. Für Teams bedeutet das: Passwortmanager ja, aber als Teil einer umfassenden Sicherheitsstrategie, nicht als Allheilmittel. Die kontinuierliche Weiterbildung der Mitarbeiter und die Bereitschaft, neue Technologien wie Passkeys zu adoptieren, werden zum Wettbewerbsvorteil. Die Lernkurve mag steil sein, aber die Alternative – ein Major Security Breach – ist keine Option.

Avatar von Robin Böhm
Written by
Robin Böhm

Hey! Ich bin Robin Böhm – Software-Enthusiast, Berater und Autor mit Leidenschaft für JavaScript, Web und KI. Schon seit Jahren bin ich im KI-Universum unterwegs – erst an der Uni, dann immer wieder mit spannenden Prototypen im Job. Jetzt, wo KI endlich für alle zugänglich ist, brennt mein Herz dafür dieses Wissen Menschen zugänglich zu erklären! Es macht mir Spaß zu zeigen, wie man mit cleveren Agenten-Systemen den Alltag vereinfachen und langweilige Tasks automatisieren kann. Übrigens: Ich habe das erste deutsche Angular-Buch verfasst und bin Mitgründer von Angular.DE sowie Gründer von Workshops.DE. Lust auf Beratung, Coaching oder einen Workshop zu JavaScript, Angular oder KI-Integrationen? Schreib mir einfach! 😊

From knowledge to success.
Start your training now!
View Courses
"The trainers are absolute professionals and convey their enthusiasm for the topic. Our employees benefit from intensive, hands-on trainings tailored to their needs. The feedback has been outstanding."
Annika Stille, Head of Internal Training at adesso SE
Annika Stille
Head of Internal Training, adesso SE