Eine neue Studie enthüllt gravierende Design-Schwachstellen in führenden Cloud-Passwort-Managern. Die Sicherheitslücken gefährden die sensiblen Daten von über 60 Millionen Nutzern.
Forscher der ETH Zürich und der Università della Svizzera italiana haben fundamentale Sicherheitsprobleme in den beliebten Passwort-Managern Bitwarden, LastPass und Dashlane identifiziert. Die Studie dokumentiert 25 verschiedene Angriffsszenarien, die es Angreifern ermöglichen könnten, unter bestimmten Bedingungen gespeicherte Passwörter zu entschlüsseln. Dies stellt das zentrale Versprechen der „Zero-Knowledge“-Verschlüsselung infrage – ein Modell, bei dem selbst der Anbieter keinen Zugriff auf die Nutzerdaten haben soll.
Angriffe auf Kernfunktionen gefährden Millionen
Die Untersuchung konzentriert sich auf Schwachstellen in kritischen Funktionen wie Kontowiederherstellung, Passwort-Freigabe und der Verschlüsselung einzelner Datensätze. „Viele dieser Angriffsvektoren erfordern kaum Interaktion seitens der Nutzer“, erklärt einer der beteiligten Forscher. „Ein normaler Login oder eine Datensynchronisation kann bereits ausreichen.“
Die Verteilung ist alarmierend: Allein gegen Bitwarden fanden die Forscher zwölf verschiedene Angriffsmethoden, gegen LastPass sieben und gegen Dashlane sechs. Die Angriffe reichen von Manipulationen an Metadaten bis hin zur vollständigen Kompromittierung aller Passwort-Tresore innerhalb einer Organisation.
Passwort-Problematik bleibt akute Bedrohung
Die Studie erscheint in einer Zeit, in der schwache und Standard-Passwörter weiterhin Hauptangriffsvektoren bleiben. Erst Anfang Februar warnte das US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) den Energiesektor vor der Nutzung von Standardpasswörtern. Der Hintergrund: Cyberangriffe auf polnische Energieinfrastruktur Ende 2025, bei denen Angreifer genau solche Zugangsdaten nutzten.
Sicherheitsberichte aus dem ersten Quartal 2026 zeigen ein konsistentes Bild: Kompromittierte Zugangsdaten spielen bei einem signifikanten Teil aller Datenschutzverletzungen eine Rolle. Die Ironie ist offensichtlich: Während Nutzer zunehmend Passwort-Manager für mehr Sicherheit einsetzen, wird nun die Integrität dieser Werkzeuge selbst infrage gestellt.
Wenn Passwort-Manager selbst zur Schwachstelle werden, sollten Unternehmen ihre Cyber-Abwehr schnell stärken. Ein kostenloses E‑Book erklärt die aktuellen Bedrohungen, zeigt praxisnahe Maßnahmen zum Monitoring kompromittierter Zugangsdaten und wie Sie Ihre Mitarbeiter effektiv sensibilisieren – ohne großes Budget. Für IT-Leiter und Sicherheitsverantwortliche enthält der Report sofort umsetzbare Checklisten und Prioritätenpläne. Jetzt kostenloses Cyber-Security-E-Book herunterladen
Industrie setzt auf passwortlose Zukunft
Als Reaktion auf die anhaltenden Probleme beschleunigt die Branche den Übergang zu passwortlosen Authentifizierungsmethoden. Laut aktuellen Umfragen implementieren 92 Prozent der Chief Information Security Officers (CISOs) bereits entsprechende Lösungen. Passkeys, die von großen Technologieunternehmen vorangetrieben werden, werden zunehmend zum Standard.
Doch der vollständige Abschied von Passwörtern wird Jahre dauern. „Legacy-Systeme und ältere Anwendungen erzwingen einen hybriden Ansatz“, erklärt eine Sicherheitsexpertin aus dem DACH-Raum. Unternehmen müssten daher parallel zwei Strategien verfolgen: kontinuierliche Überwachung kompromittierter Zugangsdaten und Aufbau passwortloser Infrastrukturen.
Anbieter reagieren unterschiedlich
Auf die Studie reagierten die betroffenen Anbieter unterschiedlich. 1Password, das ebenfalls untersucht wurde, gab an, keine neuen Angriffsvektoren entdeckt zu haben. Das Unternehmen verwies auf sein öffentlich zugängliches Sicherheitskonzept.
Die Forscher schlagen konkrete Gegenmaßnahmen vor, darunter spezielle Clients für eine sicherere Tresor-Migration. Doch sie beobachten auch Zurückhaltung bei den Anbietern: „Es gibt Widerstand gegen Änderungen, die bestehende Funktionen beeinträchtigen oder Nutzer im schlimmsten Fall aussperren könnten.“
Die Studie aus Zürich fungiert als wichtiger Weckruf für die digitale Sicherheitslandschaft. Sie zeigt deutlich: In der Cybersicherheit gibt es keine perfekten Lösungen – nur kontinuierliche Verbesserung und mehrschichtige Verteidigungsstrategien.
