ETH-Studie erschüttert Vertrauen in führende Passwort-Manager – selbst verschlüsselte Daten könnten kompromittiert werden.
Eine neue Studie der ETH Zürich und der Università della Svizzera italiana stellt das zentrale Sicherheitsversprechen populärer Cloud-Passwort-Manager infrage. Die Forschung, veröffentlicht am 16. Februar 2026, offenbart kritische Design-Schwächen bei Anbietern wie Bitwarden, LastPass, Dashlane und 1Password. Ein kompromittierter Server könnte demnach Nutzerpasswörter nicht nur einsehen, sondern sogar unbemerkt verändern.
Das Szenario: Der böswillige Server
Die Forscher unterzogen die Dienste einem „böswilligen Server“-Szenario. Dabei wird simuliert, dass die Server des Anbieters selbst gehackt oder manipuliert sind. Genau davor soll eigentlich das „Zero-Knowledge“-Prinzip schützen: Selbst bei einem Infrastruktur-Bruch des Anbieters bleiben die Nutzerdaten sicher.
Die Analyse zeigt jedoch, dass alltägliche Aktionen wie Login, Passwort-Abruf oder Gerätesynchronisation Sicherheitslücken öffnen können. Ein manipulierter Server könnte so nicht nur gespeicherte Passwörter auslesen, sondern sie auch heimlich ändern. Besorgniserregend: Die meisten der identifizierten Angriffe zielen auf die Wiederherstellung der Passwörter selbst ab – also genau jener Daten, die die Tools schützen sollen.
Vier Kategorien systemischer Schwachstellen
Die Forscher gruppierten die gefundenen Lücken in vier Hauptkategorien, die grundlegende Design-Probleme aufzeigen:
Angriffe auf „Key Escrow“ und Kontowiederherstellung: Funktionen, die Nutzern bei vergessenem Master-Passwort helfen sollen, erwiesen sich bei Bitwarden und LastPass als ausnutzbar. Sie könnten zur vollständigen Kompromittierung des gesamten Tresors führen.
Fehlerhafte Verschlüsselung auf Einzelposten-Ebene: Schwächen bei der Verschlüsselung einzelner Einträge im Tresor können zu Integritätsverletzungen, Metadaten-Leaks oder der Abschwächung von Schutzmechanismen gegen Brute-Force-Angriffe führen. Die Studie dokumentierte 11 erfolgreiche Angriffe dieser Art.
Probleme bei der Berechtigungsverwaltung: Vor allem in Unternehmensumgebungen, wo Passwörter geteilt werden, liegen Risiken. Fehler beim Hinzufügen von Nutzern oder beim Management geteilter Tresore könnten einem Angreifer Zugriff auf sensible Unternehmensdaten verschaffen – aus einem einzelnen Kompromittierungsfall wird so ein katastrophaler Organisations-Bruch.
Schwachstellen durch Abwärtskompatibilität: Auch das Festhalten an alten Protokollen und Systemen, um Kompatibilität zu gewährleisten, eröffnet Angriffsvektoren.
Breite Betroffenheit und Reaktion der Anbieter
Die Zahl der dokumentierten erfolgreichen Angriffsszenarien ist beträchtlich: 12 gegen Bitwarden, sieben gegen LastPass, sechs gegen Dashlane und weitere gegen 1Password. Die Schwere reicht von geringfügigen Integritätsverletzungen bis zur vollständigen Übernahme aller Passwort-Tresore einer gesamten Organisation.
Die betroffenen Anbieter wurden frühzeitig informiert. LastPass erklärte, man nehme die Ergebnisse ernst und habe bereits mehrere Schutzmaßnahmen umgesetzt, auch wenn die eigene Risikobewertung teils abweiche. Dashlane betonte, die beschriebenen Angriffe setzten eine vollständige Kompromittierung ihrer Server in Kombination mit einem hochsophistizierten Angreifer voraus. 1Password verwies auf sein öffentlich dokumentiertes Sicherheitsdesign und den Einsatz des Secure Remote Password (SRP)-Protokolls, das viele Server-seitige Angriffe abwehre.
Apropos Schutz von Unternehmensdaten — diese Studie zeigt, wie schnell Manipulationen auf Serverebene zu schweren Schäden führen können. Ein kostenloses E-Book fasst aktuelle Cyber-Security-Trends zusammen und zeigt praxisnahe Maßnahmen, mit denen Firmen ihre IT-Sicherheit stärken können, ohne sofort zusätzliche Fachkräfte einstellen zu müssen. Es erklärt, welche Schritte jetzt Priorität haben, um Server-seitige Angriffe und Manipulationen zu reduzieren. Kostenlosen Cyber-Security-Report herunterladen
Was bedeutet das für die Zukunft?
Die Studie ist eine deutliche Warnung: Komplexe Zusatzfunktionen wie Passwort-Sharing oder Kontowiederherstellung vergrößern die Angriffsfläche. Das absolute Sicherheitsversprechen des „Zero-Knowledge“-Marketings wird infrage gestellt. Die Interaktion zwischen Nutzergerät und Anbieter-Server kann offenbar so manipuliert werden, dass sie die Verschlüsselung umgeht.
Die Forscher empfehlen Anbietern, neue Kunden nur noch auf Systemen mit aktuellen Kryptographie-Standards anzumelden. Bestandskunden sollte eine klare Option zur Migration auf sicherere Systeme angeboten werden – mit voller Transparenz über die Risiken, auf alter Infrastruktur zu verbleiben. Für Nutzer unterstreicht die Studie die Notwendigkeit, Passwort-Manager zu wählen, die transparent mit Schwachstellen umgehen und sich regelmäßigen externen Audits unterziehen. Die Gatekeeper unseres digitalen Lebens brauchen weiterhin rigorose Sicherheitsanalysen.
