IT-Sicherheitsforscher der ETH Zürich haben drei populäre Passwort-Manager genauer untersucht. Sie stießen dabei auf einige Sicherheitslücken. Deren Missbrauch setzt jedoch die volle Kompromittierung der Server voraus, das Risiko ist daher nach Einschätzung eines Herstellers lediglich mittel bis niedrig. Viele Lücken sind offenbar bereits seit Langem gestopft.

In ihrem Forschungspapier, das die Schweizer IT-Forscher auf der Konferenz „Usenix Security 2026“ vorstellen wollen, erörtern sie detaillierter, wie sie Bitwarden mit zwölf Angriffen (zunächst zehn, später auf zwölf aufgesplittet), LastPass mit sieben und Dashlane mit sechs Attacken konfrontiert haben. Die Auswahl erfolgte anhand der Nutzerzahlen. Zusammen haben diese Passwort-Manager mehr als 60 Millionen Nutzer und Nutzerinnen und einen Marktanteil von 23 Prozent. „Die Schwere der Angriffe reicht von Verletzungen der Integrität gezielter Benutzer-Tresore bis hin zur vollständigen Kompromittierung aller mit einer Organisation verbundenen Tresore. Bei den meisten Angriffen können Passwörter wiederhergestellt werden“, erklären die IT-Forscher. Das breche das Zero-Knowledge-Prinzip, die Ende-zu-Ende-Verschlüsselung (E2EE), wodurch doch unbefugter Zugang zu Passwörtern möglich werde.

Die Angriffe benötigen nebst vollständig kompromittierter Server-Infrastruktur, bei der Angreifer die Antworten im Netz kontrollieren, in der Regel auch die Interaktion von Nutzern. Im Januar vergangenen Jahres haben die IT-Sicherheitsanalysten die Hersteller mit den Ergebnissen konfrontiert und einen 90-Tage-Zeitraum für ein Responsible Disclosure eingeräumt. Die Anbieter haben jedoch mehr Zeit benötigt, um die Schwachstellen auszubessern, und einige erachten sie zudem nicht als zu korrigierendes Problem.

Sicherheitslücken bereits gestopft

Die betroffenen Hersteller haben ihrerseits mit Veröffentlichungen zu den Schwachstellen reagiert. Bitwarden erklärt in einem Blogbeitrag, dass „alle Probleme, die in dem Bericht identifiziert wurden, vom Bitwarden-Team gelöst wurden“. Die Entwickler haben zudem einen vollständigen 35-seitigen Bericht mit Zusammenfassung, eigener Analyse und den Lösungen zu den gemeldeten Problemen zusammengestellt; neun Seiten behandeln die eigene Analyse. „Sieben Probleme wurden oder werden derzeit aktiv behoben, während drei als bewusste Designentscheidungen akzeptiert wurden, die für die Produktfunktionalität erforderlich sind“, erklären die Entwickler dort zu den ursprünglich als zehn Probleme gemeldeten Lücken, die später nochmals aufgesplittet wurden.

Dashlane schreibt in einem Blog-Beitrag, dass die Entwickler die Forschungsergebnisse ebenfalls überprüft und „Fehlerkorrekturen verteilt haben, wo das angemessen war“. Der Bugfix wurde am 5. November 2025 ab Version 6.2544.1 der Dashlane-Erweiterung verteilt. Sie ergänzen: „Es ist wichtig zu beachten, dass die Ausnutzung dieses Problems eine vollständige Kompromittierung der Server eines Passwort-Managers erfordern würde, gepaart mit äußerst fähigen Angreifern, die in der Lage sind, kryptografische Angriffe auszuführen, sowie einem extrem langen Zeitraum.“

Auch LastPass reagiert mit einem Blog-Beitrag. Demnach haben die Entwickler bereits ein Problem mit dem Icon- und URL-Handling behoben und arbeiten aktuell an Verbesserungen der Passwort-Stärke. Weitere Änderungen sind für die Konto-Wiederherstellung und Passwort-Sharing geplant. Auch die Integrität der Passwort-Vaults und der Schutz von Metadaten steht demnach auf der To-Do-Liste.

Alle Hersteller betonen, dass es sich um ein hypothetisches Szenario handelt und keine derartigen Exploits in freier Wildbahn beobachtet wurden. Es gebe auch keinen unmittelbaren konkreten Handlungsbedarf. Sie danken einhellig den IT-Forschern für ihre Arbeit und die übermittelten Ergebnisse.

Das BSI hat im vergangenen Dezember ebenfalls Passwort-Manager unter die Lupe genommen. Zwar fand die IT-Sicherheitsbehörde Verbesserungspotenzial, jedoch gibt es demnach keinen Grund, auf ihren Einsatz zu verzichten.

(dmk)

Wer mit KI-Assistenten ClawBot arbeitet, sollte sicherstellen, dass die aktuelle Version installiert ist. Ist das nicht der Fall, können Angreifer an mehr als 60 Schwachstellen ansetzen und PCs im schlimmsten Fall vollständig kompromittieren.

ClawBot ist ein äußerst mächtiger KI-Assistent, der unter anderem eigenständig Software nachinstallieren und etwa E-Mail-Programme bedienen kann. Um sein volles Potenzial zu entfalten, benötigt ClawBot weitreichende Systemrechte, was natürlich Gefahren brigt.

Verschiedene Bedrohungen

Eine Auflistung aller jüngst geschlossenen Lücken sprengt den Rahmen dieser Meldung. Das CERT Bund vom BSI zeigt in einem Beitrag insgesamt 67 Sicherheitsprobleme auf. Der Großteil der Schwachstellen ist mit dem Bedrohungsgrad „hoch“ eingestuft. Es gibt aber auch „kritische“ Schwachstellen. Trotz der Einstufung des Schweregrads finden sich in den Warnmeldungen auf der OpenClaw-GitHub-Seite keine CVE-Nummern.

Am gefährlichsten gilt eine „kritische“ Schadcode-Lücke mit maximalem CVSS Score 10 von 10. Damit eine solche Attacke klappt, muss ein Angreifer als authentifizierter Nutzer auf ein Gateway zugreifen können. Ist das gegeben, kann er auf einem nicht näher beschriebenen Weg Schadcode auf Hosts schieben und ausführen. Das führt der Beschreibung zufolge zu einer vollständigen Kompromittierung eines Systems.

Durch das erfolgreiche Ausnutzen einer weiteren „kritischen“ Lücke können Angreifer im Kontext der voice-call-Erweiterung die Authentifizierung umgehen und so nicht genehmigte oder anonyme Anrufe auslösen.

Setzen Angreifer an den verbleibenden Softwareschwachstellen an, können sie unter anderem unbefugt auf Dateien zugreifen oder durch DoS-Zustände Abstürze auslösen.

Sicherheitsupdate

Derzeit erscheinen regelmäßig neue OpenClaw-Versionen, in denen oft auch Sicherheitsprobleme gelöst werden. Die in dieser Meldung angesprochenen Lücken wurden in der Ausgabe 2026.2.15 geschlossen.

Für mehr Sicherheit hat OpenClaw jüngst den Online-Virenscanner VirusTotal an die Seite bekommen.

(des)

Von den 2341 Angestellten der US-amerikanischen Cybersicherheitsbehörde CISA müssen 888 derzeit unbezahlt ihrer Arbeit nachkommen. Damit stellt die Behörde einen Notbetrieb sicher.

Auslöser ist ein Behörden-Shutdown in den USA, nachdem sich Demokraten und Republikaner nicht auf Bedingungen für eine weitere Finanzierung des Department of Homeland Security (DHS), des US-Heimatschutzministeriums, einigen konnten. Dem liegen Streitigkeiten zum Verhalten von Beamten der Polizei- und Zollbehörde United States Immigration and Customs Enforcement (ICE) zugrunde. Aufgrund der anhaltenden Kritik an Einsätzen von ICE hat der französische IT-Beratungskonzern Capgemini seine US-Tochter kürzlich abgestoßen.

DHS-Shutdown betrifft IT-Sicherheitsbehörde

Im Rahmen des DHS-Shutdowns ist auch die Finanzierung der Cybersecurity and Infrastructure Security Agency (CISA) temporär ausgesetzt, nachdem das DHS am Freitagabend den Betrieb einstellen musste. Wie viele CISA-Mitarbeiter beurlaubt werden, ist unklar. Jedoch sagte der amtierende CISA-Direktor Madhu Gottumukkala in einer Anhörung vor dem US-Repräsentantenhaus zu den Folgen eines DHS-Shutdowns aus, dass die CISA plane, 888 der 2341 Angestellten als Ausnahme davon zu behandeln. Diese Angestellten müssen während des Shutdowns ohne Bezahlung arbeiten. Ihr Einsatz sei streng begrenzt auf Aktivitäten, die Leben und Eigentum schützen.

„Ein Shutdown zwingt viele unserer IT-Sicherheitsexperten und Bedrohungsjäger an vorderster Front dazu, ohne Bezahlung zu arbeiten – und das zu einer Zeit, in der Nationalstaaten und kriminelle Organisationen ihre Bemühungen verstärken, Schwachstellen in kritischen Systemen auszunutzen, auf die sich die Amerikaner verlassen, was unsere nationale Verteidigung einer beispiellosen Belastung aussetzt“, sagte Gottumukkala in der Anhörung.

Mögliche Auswirkungen betreffen unter anderem die globale Übersicht zur IT-Security-Lage. Neue Einträge in den Known Exploited Vulnerabilities-Katalog (KEV) gibt es etwa seit Freitag nicht. Es kann natürlich sein, dass seitdem keine neu angegriffenen Sicherheitslücken bekannt wurden. Der Shutdown könnte jedoch dafür sorgen, dass schlicht keine ausreichenden Kapazitäten für solche Warnungen bereitstehen. Gottumukkala deutete solche Folgen bereits an: „Dies würde die Bereitstellung von Cybersicherheitsdiensten und -kapazitäten für Bundesbehörden verzögern und erhebliche Lücken in den Sicherheitsprogrammen hinterlassen.“

Die CISA hatte bereits kurz nach dem Amtsantritt der Trump-Regierung im vergangenen Jahr mit Chaos zu kämpfen. Mehr als tausend Mitarbeiter wurden dort gekündigt. Dabei hatte die Behörde den Überblick verloren, wer alles gefeuert wurde, und forderte Mitte März gefeuerte Mitarbeiter dazu auf, sich per E-Mail zu melden.

(dmk)