Forscher der ETH Zürich wollten wissen, wie sicher Passwortmanager sind und haben Bitwarden, Lastpass und Dashlane getestet. Die Erkenntnis: So sicher sind die Programme nicht, sie konnten sogar teilweise auf Passwörter zugreifen. Die Forschenden demonstrierten 12 Angriffe auf Bitwarden, 7 auf Lastpass und 6 auf Dashlane.
Millionen von Menschen nutzen Passwortmanager. Sie vereinfachen den Zugang zu Onlinediensten, Bankkonten und die Bezahlung mit Kreditkarten. Grundsätzlich ist der Einsatz von Passwortmanagern keine schlechte Sache. Bei cloudbasierten Lösungen kann man mit einem einzigen Masterpasswort Zugriff auf alle anderen Passwörter gewähren, und das von verschiedenen Geräten aus.
Allerdings sollten diese Tools sicher sein und keine Schwachstellen aufweisen. Hersteller bewerben ihre Produkte mit dem "Zero Knowledge Encryption" und versprechen Sicherheit. Wie sieht es bei den Passwortmanagern Bitwarden, Lastpass und Dashlane diesbezüglich aus? Diese haben weltweit rund 60 Millionen Nutzende und einen Marktanteil von 23 Prozent.
Zahlreiche Schwachstellen gefunden
Matilda Backendal, Matteo Scarlata, Kenneth Paterson und Giovanni Torrisi von der Forschungsgruppe für Angewandte Kryptografie am Institut für Informationssicherheit der ETH Zürich haben in einer Studie die Sicherheit der drei cloudbasierten Passwortmanager untersucht. Backendal und Torrisi sind aktuell an der Università della Svizzera italiana in Lugano tätig.
Ich bin gestern auf obigen Tweet der Kollegen von inside-it.ch und damit das Thema gestoßen. Der Artikel Passwortmanager bieten weniger Schutz als versprochen der ETH-Zürich bringt es bereits im Titel auf den Punkt. Die Sicherheitsforscher von der ETH Zürich haben bei drei populären, cloudbasierten Passwortmanagern gravierende Sicherheitslücken entdeckt. In Tests konnten sie gespeicherte Passwörter einsehen und sogar verändern.
Die Forschenden setzten für die Tests eigene Server auf, die sich so verhalten wie ein gehackter Server eines Passwortmanagers. Sie gingen davon aus, dass sich die Server nach einem Angriff bösartig verhalten (malicious server threat model) und bei der Interaktion mit Clients, also zum Beispiel einem Webbrowser, willkürlich vom erwarteten Verhalten abweichen.
Dann versuchten sie diverse Angriffstechniken, wobei diese von Integritätsverletzungen über gezielter Benutzertresore bis hin zu einer vollständigen Kompromittierung aller Tresore einer Organisation, die den Dienst nutzt, reichten. In den meisten Fällen konnten sich die Forschenden Zugang zu den Passwörtern verschaffen – und diese sogar manipulieren. Das bittere Ergebnis: Im Rahmen der Untersuchung konnten die Forschenden 12 Angriffe auf Bitwarden, 7 auf Lastpass und 6 auf Dashlane demonstrierten.
Dazu brauchten sie nicht mehr als einfache Interaktionen, die Nutzerinnen und Nutzer oder ihre Browser routinemäßig beim Verwenden des Passwortmanagers durchführen, zum Beispiel beim Konto anmelden, den Tresor öffnen, Passwörter anzeigen oder Daten synchronisieren, schreiben sie in einer Mitteilung.
"Wir waren überrascht, wie gross die Sicherheitslücken sind", sagt Kenneth Paterson. Sein Team hatte ähnliche Lücken bereits bei anderen cloudbasierten Diensten entdeckt, ging aber davon aus, dass der Sicherheitsstandard aufgrund der kritischen Daten bei Passwortmanagern deutlich höher ist. "Da die End-zu-End-Verschlüsselung bei kommerziellen Diensten noch relativ neu ist, hatte sich das anscheinend noch nie jemand genauer angeschaut."
Matteo Scarlata, Doktorand in der Forschungsgruppe für Angewandte Kryptografie, hat einige der Attacken durchgeführt. Als er begonnen hat, den Code der verschiedenen Manager zu analysieren, ist er schnell auf sehr bizarre Code-Architekturen gestoßen.
Die Unternehmen seien bemüht, ihren Kunden einen möglichst benutzerfreundlichen Service anzubieten, zum Beispiel die Möglichkeit, Passwörter zurückzugewinnen oder den eigenen Account mit Familienmitgliedern zu teilen, sagt Scarlata. "Dadurch werden die Codes komplexer, unübersichtlicher, und die möglichen Angriffsstellen für Hacker nehmen zu. Für solche Attacken braucht es keine besonders leistungsstarken Computer und Server, nur kleine Programme, mit welchen man dem Server eine falsche Identität vortäuschen kann."
Patersons Team hat die Anbieter der betroffenen Systeme kontaktiert, bevor die Erkenntnisse publiziert wurden. Diese hatten 90 Tage Zeit, um die Sicherheitslücken zu schließen. "Die Anbieter waren vorwiegend kooperativ und dankbar, aber nicht alle waren gleich schnell beim Beheben der Sicherheitslücken", sagt Paterson. Der Austausch mit den Entwicklern der Passwortmanager habe aber auch gezeigt, dass diese sehr zurückhaltend mit Systemupdates sind, da sie Angst haben, dass ihre Kunden (Privatpersonen und Firmen) den Zugriff auf ihre Passwörter und weitere persönliche Daten verlieren könnten.
Bei Bitwarden gibt es die Diskussion, dass Volontäre die Information bereits "vor einem Jahr" auf den Tisch gebracht hätten. Der betreffende Bericht sei aber erst nach einem Jahr veröffentlicht worden. Ergänzung: Im Bitwarden-Blog gibt es inzwischen noch diesen Post zu obiger Thematik.
MVP: 2013 – 2016
"Die Forschenden setzten für die Tests eigene Server auf, die sich so verhalten wie ein gehackter Server eines Passwortmanagers. Sie gingen davon aus, dass sich die Server nach einem Angriff bösartig verhalten (malicious server threat model) und bei der Interaktion mit Clients, also zum Beispiel einem Webbrowser, willkürlich vom erwarteten Verhalten abweichen."
Und das sind dann die gravierenden Sicherheitslücken?
Gibt es dazu mehr Infos, was sie mit den Servern "gemacht" haben, damit diese sich dann wie "ein gehackter Server eines Passwortmanagers" – das ist alles viel zu schwammig…
"Ihre Angriffe reichten von Integritätsverletzungen gezielter Benutzertresore bis hin zu einer vollständigen Kompromittierung aller Tresore einer Organisation, die den Dienst nutzt. In den meisten Fällen konnten sich die Forschenden Zugang zu den Passwörtern verschaffen – und diese sogar manipulieren."
Oh wow, wenn ein "System" vollständig komprommiert ist, ist es logisch, dass ich auf die Passwörter "manipulieren" kann – welch Erkenntnis!
""Da die End-zu-End-Verschlüsselung bei kommerziellen Diensten noch relativ neu ist, hatte sich das anscheinend noch nie jemand genauer angeschaut."
Ist das dort automatisch übersetzt oder von KI generiert?
Sorry, der Artikel liest sich grauenvoll!
Aber Forschende, Nutzende usw. – da ist die ideologische Schlagseite schon erkennbar…
https://eprint.iacr.org/2026/058.pdf
Das ist wohl die Studie – 28 Seiten für drei Passwortmanager ;)
> Und das sind dann die gravierenden Sicherheitslücken?
Naja, es ist halt ein Produkt-Feature und inhärente Annahme der meisten User, dass der Server-Anbieter (direkt oder eben durch Dritte via Hack) Dank Ende-zu-Ende-Verschlüsselung niemals an die Passworte kommt (entweder weil man dem Anbieter nicht traut oder eben die Daten abgeflossen sind, oder Server übernommen wurden). Daher aus meiner Sicht: ja, ist gravierend.
Das bedeutet die Cloudvariante von den Passwortmanager wie z.b. Bitwarden sind sicherer als die On-Prem Version auf einen selbst gehackten Server? Das überrascht mich jetzt aber schon…
Kennt jemand Sichere Passwortmanager, die die oben genannten Sicherheitslücken nicht hat?
Wenn man in die Forschungsarbeit rein schaut, scheint es eher darum zu gehen, wie sicher die Daten sind, wenn der Server gehackt wird.
Die Hersteller versprechen Ende-zu-Ende Verschlüsselung, dass niemand, außer den Usern, die Daten entschlüsseln kann. Daraufhin haben sie getestet, ob das wirklich so ist.
Soweit ich es nach kurzem Überlfiegen verstehe:
Keines der Produkte hat direkte Sicherheitslücken, die man von außen angreifen kann.
Sobald aber jemand eine Lücke findet, mit der man den Server angreifen kann auf dem der Dienst läuft, machen diverse handwerkliche Fehler einen Zugriff möglich.
Die Studie zeigt also, wo die Hersteller ansetzen müssen, um ihre Systeme so sicher zu machen, dass auch ein Zugriff auf den Server nicht zu Datenlecks führen kann.
Was sie nicht tut: Hier werden keine direkten Sicherheitslücken aufgedeckt, die im normalen Betrieb angreifbar wären.
Fazit: Gut, dass jemand genau hingesehen hat. Hier muss noch mehr passieren. Aber kein Grund zur aktuten Panik für die User.
"So sicher sind die Programme nicht, …"
Das war doch jedem interessierten und verständigen Anwender klar.
Fremde Software an Passwörter lassen und dann noch online: Geht's noch? (m.M.); habe ich von je her abgelehnt.
Wie man es anders macht wurde hier im Blog ja schon öfters u. breit diskutiert.
Darum nutze ich seit je her Keepass lokal und mache mir sogar die Mühe, meine Passwörter aus Keepass heraus in die Zwischenablage zu kopieren, wenn ich sie irgendwo benötige. ich traue diesen ganzen Erweiterungen für den Browser auch nicht so wirklich… Ist hald etwas umständlicher, aber Sicherheit war eben noch nie einfach. Zudem hab ich Keepass bei mir auch so eingestellt, dass die Passwörter nicht länger als 30 Sekunden in der Zwischenablage verbleiben… Wenn ich den Artikel so lese, dann denk ich mir, es ist schon gut so wie ich es mache. Auch wenn es nicht der bequemste Weg ist.
Dem kann ich nur zustimmen! Aber bei den meisten siegt die Bequemlichkeit.
Was ihr sagt, passt für Privat-Nutzer. Es passt aber schon nicht mehr, wenn ihr Passwörter teilen müsst. Und es passt schon gar nicht, wenn ihr eine Organisation habt, die Zugriffsrechte und das sichere Teilen von Zugangsdaten verwalten muss.
Firmen die viele Zugriffe verwalten und dafür Keepass nutzen, müssen eigentlich bei jedem Personalwechsel neue Passwörter vergeben, da jeder abgehende Mitarbeiter die Keepass Datei mitnehmen kann und somit weiterhin Zugriff hat.
Mit Keepass mache ich das genauso, allerdings nur mit bestimmten Login-Daten. Nie alle Eier in ein Nest legen. Ich verwende Keepass für Kommentare auf Websites, bei denen man sich dazu einloggen muss. Bankdaten oder E-Mail-Konten sind jedoch tabu, die sind bei mir lokal in einem VeraCrypt-Container abgelegt und dort einzeln zusätzlich mit GnuPG verschlüsselt. Natürlich ist auch die Festplatte vollverschlüsselt (LUKS, nicht BitLocker). Gewiss, es gibt keine hundertprozentige Sicherheit, es bleibt etwa die Gefahr, sich einen Keylogger einzufangen. Als Alternative bliebe dann freilich bloß noch ein Zettel in der Schreibtischschublade, aber es soll auch schon in Wohnungen eingebrochen worden sein.
eher ein schwarzes Büchlein im Tresor ;-P
Du vergisst eine weitere Alternative: Brain.exe.
Ich habe keinen Passwortmanager und auch keine Zettel.
Zum Glück kann ich mir auch kryptische Passwörter rel. gut merken.
Brain.exe bietet u.A.:
– optimale Sicherheit
– lebenslange kostenlose Updates
– funktioniert bei allen Systemen
– keine Installation nötig
– kann auf mehreren Systemen genutzt werden
– lizenzfrei
– Phishing- und Malwareschutz
– Webseitenfilter
– braucht kaum Ressourcen
– etc.
Auch mal wieder am Thema vorbei, aber schön für dich, dass deine brain. exe so klasse ist…
Mein Beitrag geht wie vorherigen beiden vermutlich eh nicht durch;)
@Günter
dieser Artikel hier hat eher was von Clickbait, zumal nicht mal eine Update mit der dir verlinkten Stellungnahme von Bitwarden kommt…
Auch schrieb ich im ersten Post, dass das genutzte Szenario schon so weird ist, aber da man zusätzlich noch die Gendersprache (die hier auch noch fabriziert wird) kritisiert, kommt man hier scheinbar nicht mehr durch.
Dann soll dem so sein, man hat es nur gut gemeint;)
Du scheinst Dich an der Gendersprache richtig hochzuziehen, hast Du keine anderen Probleme?
Bei mir haben die lebenslangen kostenlosen Updates aber schon zu Datenverlust geführt :-)
Du kannst dir komplexe Passwörter mit 20 oder 25 Zeichen (Buchstaben, Ziffern, Sonderzeichen) merken – und das von mindestens 20 Accounts? Echt? Dann solltest du bei der Gedächtnis-Olympiade mitmachen. Normalbürger wie ich sind damit überfordert. Außerdem lässt das Gedächtnis gerade bei Älteren bekanntlich nach, von krankheitsbedingten Beeinträchtigungen (Schlaganfall, Demenz etc.) ganz zu schweigen.
16 Zeichen reichen völlig aus, wenn man Ziffern, Groß-Kleinbuchstaben und Sonderzeichen nutzt.
Bei 16 Stellen dauert es dann 3 Billiarden Jahre, um das Passwort zuknacken.
Das ist Faktor 1 Mio länger als das Universum alt ist.
Selbst bei "nur" 11 Stellen sind es noch 11 Mrd. Jahre, also fast so lange, wie das Universum alt ist.
Nutzt man dagegen nur Ziffern, reichen selbst 20 Stellen eigentlich nicht aus.
https://www.hivesystems.com/blog/are-your-passwords-in-the-green
du gehst davon aus, das Grafikkarten nicht geclustert werden und sie nicht schneller werden. da haben die letzten 4 Reports eine rasante Entwicklung gezeigt. zudem ist es wahrscheinlich nie der letzte Versuch der dem Treffer landet.
noch sieht es gut aus mit 16 Zeichen ;-)
Also ich nutze da folgendes System: Ich habe ein Haupt-PW, 25-stellig, mit allen Schikanen (also Groß-/Kleinschreibung, Zahlen, Sonderzeichen). Daran kommt der Dienstname und daran dann der Dienstname mit meinem Algo verschlüsselt.
Somit habe ich ausreichend lange PWs und muss mir doch nur das Haupt-PW plus den Algo merken und habe trotzdem für jeden Dienst ein eigenes PW. Kann ich mir selbst in meinem Alter noch einwandfrei merken. (Zur Sicherheit und für den Fall meines Ablebens, damit die Familie rankommt, steht das aber in einem schwarzen Büchlein aufgelistet mit all meinen genutzten Diensten. Dieses liegt sicher verwahrt im Safe!)
Garantiert sicherer, als irgendeiner dritten Partei vertrauen zu müssen!
Und ja, in über 40 Jahren noch nie einen Sicherheitsvorfall auf eigenen Systemen gehabt, aber 4× Daten abgezogen bei Firmen, die ihre Systeme nicht im Griff hatten… so viel zum Vertrauen bei Dritten!
Sein Hirn zu nutzen, trainieren, hilft auch gegen Altersdemenz!
Schlaganfallrisiko kann man ebenfalls minimieren… natürlich nicht zu 100 %, aber dafür ja das Büchlein im Safe.
Sollte ich mir doch mal einen Trojaner einfangen, kann der lediglich die PWs abgreifen, die ich eingebe, bis ich es bemerke – und nicht wie bei einem PW-Safe auf dem Rechner alle auf einmal! Da das in über 40 Jahren aber bisher nicht passiert ist…
wenn dein Hauptpassword über welchen weg auch immer abhanden kommt ist dein Algo zu trivial, da du ihn scheinbar im Kopf beherrschst. geh davon aus, das das erkennbar ist.
Wir sprechen uns wieder, wenn Du die ersten Anzeichen von altersbedingter Demenz zeigst. Ja, klar, Dich wird es nie trefffen…
Schade, dass nach einem Schlaganfall oder einem Unfall mit Kopfbeteiligung Brain.exe formatiert wird…
Außerdem skaliert deine Hirnspeicherung nicht. Wenn es mehr Zugangsdaten werden, musst du entweder Passwort-Schemata nutzen, mit denen man später das Knacken von vielen Accounts erleichtert. Oder du verwendest wiederholt die gleichen Zugangsdaten.
Alleine mit meiner kleinen Firma verwalte ich mindestens 100 Kundenzugänge. Bei meinem Arbeitgeber haben wir inzwischen ca. 400-500 Zugänge. Bis auf wenige Ausnahmebegabungen lässt sich so etwas nicht darstellen.
Für dich mit wenigen Accounts mag so etwas funktionieren (abgesehen von den fehlenden Brain.exe Backups).
Oder mann schaut weiter und benutzt einfach pass [ https://www.passwordstore.org ] von Jason A. Donenfeld (security researcher, kernel developer, and creator of WireGuard).
Und bedank mir später…
"Darum nutze ich seit je her Keepass lokal und mache mir sogar die Mühe, meine Passwörter aus Keepass heraus in die Zwischenablage zu kopieren"
Wenn du schon einen Schädling auf deiner Maschine laufen hast, und es noch nicht bemerkt hast, kann der genauso aufs Clipboard zugreifen. Das kann übrigens auch eine Browserextension sein, die bekommt dann die Passwörter mit, die du bei der Anmeldung in den Browser einfügst.
Letztlich ist garnichts sicher, nicht mal selber tippen…
Gänseblümchen, die Zwischenablage, CaptureService_4a27a, AJRouter, RmSvc, TapiSrv, PhoneSvc, TrkWks, stisvc, SEMgrSvc, SessionEnv, etc. sind bei mir stets deaktiviert und meine sämtlichen Edge-Einstellungen sind extrem sicher, im Browser wird nichts gespeichert, niemals weder Favo noch Cookies und meine Startseite ist: edge://settings/content/allpermissions und
Beim Start: edge://settings/clearBrowserData
Falls nicht bekannt: CaptureService_4a27a, reduziere ihn auf CaptureService (ccs, Services Registry) und du erwischst alle beim Start dynamisch erzeugten Ableger
Der Letzte Satz und die darin verlinkten Infos – zumindest was Bitwarden betrifft – ist der wichtigste. Lastpass sollte man schon länger nicht nutzen … so oft wie die Schlagzeilen hatten.
Wenn ich den Tweet richtig interpretiere, ist das Problem bereits seit einem Jahr gelöst?
dumme Idee , aber wenn sie die Systeme übernehmen "… die sich so verhalten wie ein gehackter Server", dann ist das Problem nicht allein beim Password Manager, oder?
ich mein, wenn ich Admin, bzw System Rechte habe, dann sind diverse Angriffe recht einfach, da sie in dem Sinne keinen Angriff darstellen, es gehört mir ja schon.
https://bitwarden.com/de-de/blog/security-through-transparency-eth-zurich-audits-bitwarden-cryptography/
@Günter
Warum wird der Blogpost von Bitwarden hier nicht mit angehangen? Ist doch gestern veröffentlicht worden…
Scheinst einer von der ganz ungeduldigen Sorte zu sein … es gibt ein Leben neben dem Blog – und heute war Morgensport angesagt – danach habe ich mich um andere Themen kümmern müssen …
Zu deinen ideologischen Anwürfen im anderen Kommentar schreibe ich mal nichts sondern sehe es als einmalige Entgleisung.
Tut mir Leid, wenn man andere Kommentare "online" sieht, die ein späteres Erscheinungsdatum als der eigene hat…
Wieso ist es eine Entgleisung, wenn ich ideologisierte Sprache kritisiere?
Geht denn auch in der (IT) Sicherheit nichts mehr ohne Ideologie? Dann wird sich gewundert warum auch dort "alles" kaputt ist ;)
Ich gendere hier im Blog mit Genersternchen etc. aus sprachlichen Erwägungen nicht – halte es aber für einen Punkt der Höflichkeit, von Forscherinnen und Forschern zu schreiben, wenn ich erkenne, dass sowohl Frauen als auch Männer an der Studie beteiligt sind. Ob man dann Forschende verwendet, könnte man diskutieren – wenn mir dann aber jemand mit Ideologie kommt, hört es bei mir auf. Damit ist das Thema für mich erledigt – es wird sich hier wieder an der falschen Front verkämpft.
Die Moderation läuft nach klaren Regeln. Erstkommentare oder Personen, die ich in den Moderationsfilter eintrage(n muss), oder Kommentare mit Links laufen grundsätzlich in Moderation. Die gebe ich zyklisch – nach Zeit und Gelegenheit – frei.
Kommentieren im Blog
> halte es aber für einen Punkt der Höflichkeit, von Forscherinnen und Forschern zu schreiben, wenn ich erkenne, dass sowohl Frauen als auch Männer an der Studie beteiligt sind. Ob man dann Forschende verwendet, könnte man diskutieren
Mir geht das Gendern auch mächtig auf den S@ck. Wie würde es denn vor dem Gender-Wahn geschrieben und gelehrt? Eventuell "die Forscher"? Grundsätzlich wird die maskuline Version, welche auch für die Mehrzahl steht, als negativ gesehen. Wir hier sind so weit verweichlicht, dass wir versuchen, allen und jedem hier es recht zu machen. Ich lese grundsätzlich solche Artikel nicht mehr, weder im Blog noch in der Zeitung. So wichtig sind die kleinen Schreiber nun auch nicht! Es kann ja jeder für sich selbst entscheiden, nur muss man damit leben, dass man andere damit ausgrenzt. Auch wäre es einmal schön, von "Herren und Damen" oder wie hier von "Forschern und Forscherinnen" zu reden. Aufgrund der Gleichberechtigung sollte man bei den Anreden eine abwechselnde 50/50-Schreibform nutzen. Wenn dann bitte auch richtig! Das gilt natürlich auch für den Wehrdienst ohne abgespeckte Ausbildung und Gepäck! Was von der Gleichberechtigung übrig geblieben ist, ist doch eher die feminine Besserstellung. Das hat aber nicht mit Gleichbehandlung zu tun und erklärt sehr viele Ausfälle und Probleme im Land. Frauen als Quote (wenn man sonst nichts vorweisen kann), und das Ergebnis sehen wir seit Jahren.
Gendern (und dazu gehören solche Unsinnsformen wie "Forschende" genauso wie "Forscherinnen und Forscher") ist die ultimative Form der sprachlichen Ideologie. Ob es dann bei dir aufhört oder nicht, ist egal. Es bleibt trotzdem Ideologie.
Wie sieht es mit heylogin aus? Ist das eine Alternative zu KeePass oder Enpass?
Scheint noch ziemlich unbekannt zu sein – als Hausmeister des Blogs kann ich zu diesem Dienst auch wenig beitragen. Vielleicht kommt jemand aus der Leserschaft, der was fundiertes dazu schreiben kann.
1Password haben sie auch untersucht – siehe Appedix D.
Wenn es doch nur eine Möglichkeit gäbe, einzelne Kommentierende hier auszublenden.
Kommentierende kannst du niemals ausblenden. Bestenfalls Kommentierthabende.
Seite 8 der PDF:
Bitwarden
Web Client [20] v2024.10.2 (1.4 Jahre alt)
CLI Client [20] v2024.10.0 (1.4 Jahre alt)
Server [20] v2024.10.2 (1.4 Jahre alt)
Aktuell: 2026.1.1
LastPass
Web Client Unknown
Browser Ext. 4.140.0
CLI Client [53] v.1.6.1
Aktuell: Browser-Ext. 4.151.3
Dashlane
Web Client Unknown
Browser Ext. [30] 6.2513.1
CLI Client [31] v6.2447.2
Android Client [29] 018f827f2a01
Aktuell: Android-App 6.2607 (den Rest finde ich mit nur kurzer Suche nicht)
bei DL und LP fehlen Angaben zur Version der Serversoftware.
Viele der Angriffsvektoren basieren wohl auf mangelnder Härtung des zugrundeliegenden Servers z.B. durch fehlende 2FA Authentifizierung, siehe Punkt 5 in der PDF, nur wenn man schon den Server unter Kontrolle hat, kommt man so weit. Aber die Passwortcontainer haben wohl Probleme mit der Verschlüsselung, wenn man auf dem Server ist, sollte man trotzdem nicht da dran kommen. Es wäre allerdings zu klären, in wie weit die Hersteller in aktuellen Versionen hier schon Verbesserungen einfließen haben lassen.
"Seite 8 der PDF:
Bitwarden
Web Client [20] v2024.10.2 (1.4 Jahre alt)
CLI Client [20] v2024.10.0 (1.4 Jahre alt)
Server [20] v2024.10.2 (1.4 Jahre alt)"
Tatsächlich, und die PDF wurde laut Eigenschaften am 16.02.2026 um 23:09:44 Uhr erstellt…
Mehr muss man nicht sagen.
Günter hatte jetzt ja das Statement von Bitwarden verlinkt, in dem wird sich nochmal bei der ETH bedankt ;)
Bei Bitwarden bin ich generell misstrauisch, weil die versucht hatten, dem sauberen open-Source einen closed-Source Binärblob unterzuschieben, indem sie Bitwarden von einem neuen SDK abhängig machten, welches diesen Binärblob enthielt und ohne den das neu kompilierte Programm nicht mehr lief.
Aus diesem Grund ist Bitwarden damals aus F-Droid rausgeflogen.
Nach heftigen Protesten hat Bitwarden das wieder geändert, aber mit einem überspezifischen Dementi mit Hinweis auf eventuelle zukünftige Änderungen.
Das Vertrauen ist verspielt und der Preis für die Freiheit ist ewige Wachsamkeit.
Darüber hatte ich hier im Blog schonmal geschrieben, mitsamt den Quellen dazu:
borncity. com/blog/2025/11/19/angebliche-groesstes-datenleck-der-geschichte-mit-2-milliarden-e-mail-adressen/#comment-237331
Es gibt ja eine Alternative für den Client: https://github.com/AChep/keyguard-app
Zero Knowledge schreiben die Anbieter. Laut deren Eigenverständnis einer der Funktionen, die sicherstellen sollen, dass niemand auf die gespeicherten Informationen zugreifen kann.
Das umfasst für mich alle Zugriffspunkte, ob nun Anbieterspeicher oder lokale Laufwerke.
Mich würde jetzt interessieren, ob Cloud Drive Anbieter hier anders mit z.B. über KeePass erstellten Tresoren umgehen. Meine Einschätzung: je einfacher, umso besser. Keine Verwaltung, keine Freigabe der Daten auf dem Server. Sondern einfach nur ein Laufwerk, das Daten aufnimmt. Ohne Zugriffe, Sharing, Berechtigungs-Management oder sonstige Komfort-Funktionen. Für mich erscheint das als die praktikabelste Lösung, wenn es um die Verfügbarkeit der Daten auf unterschiedlichen Endgeräten geht, die auch zum Beispiel in mobilen Netzwerken genutzt werden sollen.
Damals in der großen Firma: KeePass wurde durch Lastpass in der Cloud ersetzt, privilegierte Passworte durfte man in Lastpass aber nicht speichern (wo sonst, wurde nicht gesagt, war mir aber egal, ich war da schon weg).
Kurze Zeit später las ich im Netz, dass Lastpass "gehackt" wurde und dachte mir meinen Teil.
KeePass kann ich verschlüsselt (Datenbank + Datenträger) redundant speichern (z. B. USB-Stick, HDD, NAS) und mit Windows und Linux auf fast jedem Rechner auslesen. Ganz ohne "Klaut".
Komisch, das BSI hat 2024 bei Vaultwarden (alternativer Bitwarden-Server) seinerzeit nur 2 Probleme gefunden, welche sofort gefixt wurden. Ich gehe davon aus, dass nur der Original-Bitwarden-Server getestet wurde, welcher eher „stümperhaft" von einem 1-Mann-Programmierer in .NET zusammengebastelt wurde. Vaultwarden in Rust programmiert, ist nicht nur die bessere Wahl und Programmiersprache, sondern bietet auch Premiumfeatures und ist komplett Open Source sowie leicht selbst zu hosten.
Ich selbst bin vor Jahren von KeePassXC auf Vaultwarden gewechselt. Für mich ist KeePass nicht mehr zeitgemäß und das Synchronisieren der Tresordatei aus dem letzten Jahrzehnt. Nebenbei wurden in der letzten Bitwarden-Version einige Sicherheitsprobleme gefixt, welche mit dieser Meldung in Zusammenhang stehen können. Außerdem ist es ja schön, wenn Anwendungen von unterschiedlichen Prüfern getestet werden, um verschiedene Ansätze zu durchleuchten. Die Software kann damit nur besser werden. Ich sehe jetzt keinen Grund zur Panik.
https://netzpolitik.org/2026/digitalisierungsstrategie-wie-kuenstliche-intelligenz-unser-gesundheitswesen-veraendern-soll-und-welche-fragen-das-aufwirft/#netzpolitik-pw
Hier noch ein sehr guter Artikel zu KI im Gesundheitswesen und den Auswirkungen. Zu "Stochastik" gibts einen großen Wikipedia-Artikel.