IT-Sicherheitsforscher der ETH Zürich haben drei populäre Passwort-Manager genauer untersucht. Sie stießen dabei auf einige Sicherheitslücken. Deren Missbrauch setzt jedoch die volle Kompromittierung der Server voraus, das Risiko ist daher nach Einschätzung eines Herstellers lediglich mittel bis niedrig. Viele Lücken sind offenbar bereits seit Langem gestopft.

In ihrem Forschungspapier, das die Schweizer IT-Forscher auf der Konferenz „Usenix Security 2026“ vorstellen wollen, erörtern sie detaillierter, wie sie Bitwarden mit zwölf Angriffen (zunächst zehn, später auf zwölf aufgesplittet), LastPass mit sieben und Dashlane mit sechs Attacken konfrontiert haben. Die Auswahl erfolgte anhand der Nutzerzahlen. Zusammen haben diese Passwort-Manager mehr als 60 Millionen Nutzer und Nutzerinnen und einen Marktanteil von 23 Prozent. „Die Schwere der Angriffe reicht von Verletzungen der Integrität gezielter Benutzer-Tresore bis hin zur vollständigen Kompromittierung aller mit einer Organisation verbundenen Tresore. Bei den meisten Angriffen können Passwörter wiederhergestellt werden“, erklären die IT-Forscher. Das breche das Zero-Knowledge-Prinzip, die Ende-zu-Ende-Verschlüsselung (E2EE), wodurch doch unbefugter Zugang zu Passwörtern möglich werde.

Die Angriffe benötigen nebst vollständig kompromittierter Server-Infrastruktur, bei der Angreifer die Antworten im Netz kontrollieren, in der Regel auch die Interaktion von Nutzern. Im Januar vergangenen Jahres haben die IT-Sicherheitsanalysten die Hersteller mit den Ergebnissen konfrontiert und einen 90-Tage-Zeitraum für ein Responsible Disclosure eingeräumt. Die Anbieter haben jedoch mehr Zeit benötigt, um die Schwachstellen auszubessern, und einige erachten sie zudem nicht als zu korrigierendes Problem.

Sicherheitslücken bereits gestopft

Die betroffenen Hersteller haben ihrerseits mit Veröffentlichungen zu den Schwachstellen reagiert. Bitwarden erklärt in einem Blogbeitrag, dass „alle Probleme, die in dem Bericht identifiziert wurden, vom Bitwarden-Team gelöst wurden“. Die Entwickler haben zudem einen vollständigen 35-seitigen Bericht mit Zusammenfassung, eigener Analyse und den Lösungen zu den gemeldeten Problemen zusammengestellt; neun Seiten behandeln die eigene Analyse. „Sieben Probleme wurden oder werden derzeit aktiv behoben, während drei als bewusste Designentscheidungen akzeptiert wurden, die für die Produktfunktionalität erforderlich sind“, erklären die Entwickler dort zu den ursprünglich als zehn Probleme gemeldeten Lücken, die später nochmals aufgesplittet wurden.

Dashlane schreibt in einem Blog-Beitrag, dass die Entwickler die Forschungsergebnisse ebenfalls überprüft und „Fehlerkorrekturen verteilt haben, wo das angemessen war“. Der Bugfix wurde am 5. November 2025 ab Version 6.2544.1 der Dashlane-Erweiterung verteilt. Sie ergänzen: „Es ist wichtig zu beachten, dass die Ausnutzung dieses Problems eine vollständige Kompromittierung der Server eines Passwort-Managers erfordern würde, gepaart mit äußerst fähigen Angreifern, die in der Lage sind, kryptografische Angriffe auszuführen, sowie einem extrem langen Zeitraum.“

Auch LastPass reagiert mit einem Blog-Beitrag. Demnach haben die Entwickler bereits ein Problem mit dem Icon- und URL-Handling behoben und arbeiten aktuell an Verbesserungen der Passwort-Stärke. Weitere Änderungen sind für die Konto-Wiederherstellung und Passwort-Sharing geplant. Auch die Integrität der Passwort-Vaults und der Schutz von Metadaten steht demnach auf der To-Do-Liste.

Alle Hersteller betonen, dass es sich um ein hypothetisches Szenario handelt und keine derartigen Exploits in freier Wildbahn beobachtet wurden. Es gebe auch keinen unmittelbaren konkreten Handlungsbedarf. Sie danken einhellig den IT-Forschern für ihre Arbeit und die übermittelten Ergebnisse.

Das BSI hat im vergangenen Dezember ebenfalls Passwort-Manager unter die Lupe genommen. Zwar fand die IT-Sicherheitsbehörde Verbesserungspotenzial, jedoch gibt es demnach keinen Grund, auf ihren Einsatz zu verzichten.

(dmk)

Von den 2341 Angestellten der US-amerikanischen Cybersicherheitsbehörde CISA müssen 888 derzeit unbezahlt ihrer Arbeit nachkommen. Damit stellt die Behörde einen Notbetrieb sicher.

Auslöser ist ein Behörden-Shutdown in den USA, nachdem sich Demokraten und Republikaner nicht auf Bedingungen für eine weitere Finanzierung des Department of Homeland Security (DHS), des US-Heimatschutzministeriums, einigen konnten. Dem liegen Streitigkeiten zum Verhalten von Beamten der Polizei- und Zollbehörde United States Immigration and Customs Enforcement (ICE) zugrunde. Aufgrund der anhaltenden Kritik an Einsätzen von ICE hat der französische IT-Beratungskonzern Capgemini seine US-Tochter kürzlich abgestoßen.

DHS-Shutdown betrifft IT-Sicherheitsbehörde

Im Rahmen des DHS-Shutdowns ist auch die Finanzierung der Cybersecurity and Infrastructure Security Agency (CISA) temporär ausgesetzt, nachdem das DHS am Freitagabend den Betrieb einstellen musste. Wie viele CISA-Mitarbeiter beurlaubt werden, ist unklar. Jedoch sagte der amtierende CISA-Direktor Madhu Gottumukkala in einer Anhörung vor dem US-Repräsentantenhaus zu den Folgen eines DHS-Shutdowns aus, dass die CISA plane, 888 der 2341 Angestellten als Ausnahme davon zu behandeln. Diese Angestellten müssen während des Shutdowns ohne Bezahlung arbeiten. Ihr Einsatz sei streng begrenzt auf Aktivitäten, die Leben und Eigentum schützen.

„Ein Shutdown zwingt viele unserer IT-Sicherheitsexperten und Bedrohungsjäger an vorderster Front dazu, ohne Bezahlung zu arbeiten – und das zu einer Zeit, in der Nationalstaaten und kriminelle Organisationen ihre Bemühungen verstärken, Schwachstellen in kritischen Systemen auszunutzen, auf die sich die Amerikaner verlassen, was unsere nationale Verteidigung einer beispiellosen Belastung aussetzt“, sagte Gottumukkala in der Anhörung.

Mögliche Auswirkungen betreffen unter anderem die globale Übersicht zur IT-Security-Lage. Neue Einträge in den Known Exploited Vulnerabilities-Katalog (KEV) gibt es etwa seit Freitag nicht. Es kann natürlich sein, dass seitdem keine neu angegriffenen Sicherheitslücken bekannt wurden. Der Shutdown könnte jedoch dafür sorgen, dass schlicht keine ausreichenden Kapazitäten für solche Warnungen bereitstehen. Gottumukkala deutete solche Folgen bereits an: „Dies würde die Bereitstellung von Cybersicherheitsdiensten und -kapazitäten für Bundesbehörden verzögern und erhebliche Lücken in den Sicherheitsprogrammen hinterlassen.“

Die CISA hatte bereits kurz nach dem Amtsantritt der Trump-Regierung im vergangenen Jahr mit Chaos zu kämpfen. Mehr als tausend Mitarbeiter wurden dort gekündigt. Dabei hatte die Behörde den Überblick verloren, wer alles gefeuert wurde, und forderte Mitte März gefeuerte Mitarbeiter dazu auf, sich per E-Mail zu melden.

(dmk)

Der DSC-Beirat ist ein Gremium aus Zivilgesellschaft, Forschung und Wirtschaft. Er soll in Deutschland die Durchsetzung des Digital Services Act begleiten und den zuständigen Digital Services Coordinator unterstützen. Svea Windwehr ist Mitglied des Beirats und berichtet in dieser Kolumne regelmäßig aus den Sitzungen.

Seit dem 17. Februar 2024, also seit genau zwei Jahren, gilt in der EU der Digital Services Act. Das Regelwerk soll Nutzende schützen und mehr Transparenz und Fairness gegenüber Online-Plattformen und -Diensten schaffen. Gibt es etwas zu feiern?

Die Bilanz ist gemischt: Ein erstes Verfahren gegen X wurde zum Abschluss gebracht, viele andere Ermittlungen laufen noch. Die Rahmenbedingungen für Forschungsdatenzugang stehen endlich, in der Praxis gibt es aber noch massive Probleme. Zivilgesellschaft und Forschende haben unzählige Verfahren angestoßen und liefern wichtige Evidenz zu DSA-Verstößen, sind jedoch Repression und Delegitimierung ausgesetzt.

Pünktlich zum Geburtstag hat sich der neu berufene DSC-Beirat in neuer, kleinerer Konstellation zu seiner ersten gemeinsamen Sitzung getroffen und sich mit dem Stand der DSA-Durchsetzung beschäftigt. Der Beirat ist im Vergleich zu seiner letzten Besetzung geschrumpft, da die vier Vorschläge der AfD im Plenum des Deutschen Bundestages keine Mehrheit fanden. Deshalb und wegen der christ-demokratischen Definition von Zivilgesellschaft ist insbesondere von deren gesetzlich angedachter Stärke im Beirat des DSC nicht viel übrig geblieben.

Fortschritt in kleinen Schritten

Bei der Durchsetzung des DSA geht es nach wie vor oft schleppend voran. Der Koordinator für Digitale Dienste in Deutschland prüft noch, ob weitere außergerichtliche Streitbeilegungsstellen und Trusted Flagger zugelassen werden sollen. Während die Streitbeilegungsstellen etwa bei strittigen Moderationsentscheidungen zwischen Nutzer:innen und Plattformen vermitteln sollen, agieren die Trusted Flagger als vertrauenswürdige Hinweisgeber, deren Meldungen die Plattformen priorisiert bearbeiten sollen. Aktuell gibt es in Deutschland vier Organisationen, die als Trusted Flagger anerkannt sind, sowie zwei Streitbeilegungsstellen.

Von inzwischen insgesamt 30 durch den DSC eingeleiteten Verwaltungsverfahren gegen in Deutschland ansässige Plattformen wegen DSA-Verstößen scheint noch keines zum Abschluss gekommen zu sein. Und auch auf europäischer Ebene wurde seit der Verhängung eines Bußgelds gegen X im Dezember 2025 kein weiteres Verfahren zu Ende gebracht.

Immerhin kleine Fortschritte gibt es beim Datenzugang für Forschende. Nachdem detaillierte Hinweise, wie genau der Datenzugang ausgestaltet werden soll, Ende Oktober 2025 endlich in Kraft getreten sind, können Forschende Anträge auf Datenzugang bei ihren nationalen Aufsichtsbehörden stellen. Über dieses durch den DSA neu geschaffene Recht können sie zum ersten Mal qualitative und quantitative Daten von Plattformen anfragen, um systemische Risiken zu erforschen. Damit schafft der DSA längst überfällige Rahmenbedingungen, die unabhängige Forschung und ein besseres Verständnis von Online-Plattformen ermöglichen sollen – und potenziell wichtige Grundlagen für Durchsetzungsverfahren schaffen können.

Beim deutschen DSC sind seitdem immerhin neun Anträge auf Datenzugang eingegangen. Das klingt vielversprechend, allerdings wurden die meisten der neun Anträge wieder zurückgezogen, da die benötigten Daten auch über den niedrigschwelligeren Datenzugang über Schnittstellen der Plattformen angefragt werden konnten. Diese Möglichkeit, Daten über APIs anzufragen, funktioniert in der Praxis je nach Plattform durchwachsen bis schlecht – mangelnder Zugang zu Forschungsdaten ist einer der DSA-Verstöße, die zum Bußgeld gegen X beigetragen haben. Die Gesellschaft für Freiheitsrechte und Democracy Reporting International haben X kürzlich zum zweiten Mal deswegen verklagt.

Es ist also noch zu früh, um sich über große Durchbrüche beim Datenzugang zu freuen, aber immerhin können Forschende jetzt das System ausprobieren, Anträge stellen und auf Durchsetzung pochen, wenn die Plattformen sich weigern.

Ebenfalls hoffnungsvoll stimmen die kürzlich veröffentlichten vorläufigen Ergebnisse zu einem Verfahren gegen TikTok. Dort kommt die Europäische Kommission zu dem Schluss, dass die Videoplattform nicht genug getan hat, um Risiken von suchtfördernden Mechanismen insbesondere für Minderjährige zu mindern, beispielsweise endlose Feeds und hoch-personalisierte Empfehlungen. Das ist spannend, weil die Kommission davon ausgeht, dass TikTok das „grundlegende Design“ der Plattform ändern muss, um diesen Risiken beizukommen.

Sollte die Kommission bei dieser Einschätzung bleiben und nach Abschluss des Verfahrens Bußgelder gegen TikTok verhängen, hätte der Fall Auswirkungen weit über TikTok hinaus: Endlose Feeds und hoch-personalisierte Empfehlungen sind Kernelemente aller großen sozialen Netzwerke und Videosharingplattformen. Hier zeigt der DSA sein Potenzial, einerseits strukturelle Änderungen zu erstreiten, die das Businessmodell der Plattformen direkt betreffen. Das könnte zu anderen und besseren digitalen Räumen führen .

Andererseits zeigt die Argumentation, dass der DSA sinnvolle Werkzeuge bietet, um den Features und Plattform-Praktiken zu begegnen, die in der Debatte um Verbote von sozialen Medien für Kinder und Jugendliche im Fokus stehen: süchtigmachendes Design, Personalisierung basierend auf Unmengen persönlicher Daten, Produktdesign, das die Rechte und Interessen von Kindern wahrt.

Ein solches Verbot wurde Anfang Februar von Spaniens Premierminister Pedro Sanchez angekündigt, wofür er prompt von Elon Musk als Tyrann und Verräter Spaniens betitelt wurde. Daraufhin solidarisierte sich die Europäische Kommission mit Sanchez, während sie gleichzeitig festhielt, dass nur die Europäische Kommission durch den DSA weitere Verpflichtungen gegenüber sehr großen Online-Plattformen aussprechen darf. Angesichts des Eifers von Mitgliedstaaten wie Spanien, Italien, Griechenland, Frankreich und den Niederlanden bleibt abzuwarten, ob sich EU-Regierungen diesem Machtwort aus Brüssel beugen werden. Ob es also europäische Verboten von sozialen Medien geben wird, ist nach wie vor unklar.

Keine Durchsetzung ohne Repression

Solidarisch hatte sich die Europäische Kommission Ende Dezember auch gegenüber Mitgliedern eines angeblichen „globalen Zensur-industriellen Komplexes“ gezeigt, nachdem sie vom US-Außenministerium mit Visa-Sanktionen belegt worden waren, unter ihnen die beiden Geschäftsführerinnen von HateAid. HateAid ist eine der Organisationen, die als Trusted Flagger in Deutschland zugelassen sind.

Mit diesen Sanktionen markiert die Trump-Regierung Menschen als politische Feinde, die Online-Plattformen für Verstöße gegen geltendes Recht zur Verantwortung ziehen, bestraft sie und versucht, sie an ihrer Arbeit zu hindern.

Seit den Sanktionen gegen Zivilgesellschaft und Forschende vom Dezember hat ein neuer Bericht des Rechtsausschusses des US-Abgeordnetenhauses die Situation weiter verschärft. Die Beschäftigung des Ausschusses mit dem DSA ist getrieben von Jim Jordan, einem republikanischen Abgeordneten, der seit Jahren damit beschäftigt ist, die angebliche Zensur von US-Amerikaner:innen durch den DSA zu beweisen.

Auf 160 Seiten breitet der Bericht Jordans wirre Fantasie aus, dass die Europäische Kommission, unterstützt von der europäischen Zivilgesellschaft, nur ein Ziel mit dem DSA verfolge: die Unterdrückung konservativer, US-amerikanischer Stimmen. Dabei stützt sich der Bericht auf massenweise E-Mails, Screenshots und Dokumente, die Jordan durch Herausgabeverlangen von US-Plattformen bekam – wogegen sich Plattformen offensichtlich nicht oder kaum gewehrt haben.

Der Jordan-Bericht stellt jedoch nicht nur eine Reihe von Falschbehauptungen auf, sondern identifiziert und markiert auch eine ganze Reihe von Kommissionsmitarbeitenden und Vertreter:innen der Zivilgesellschaft, die an Workshops der Kommission zur DSA-Durchsetzung teilnahmen oder anderweitig an der Durchsetzung des DSA beteiligt sind. Ein gefundenes Fressen für jene Kräfte, die genau diese Arbeit verhindern wollen.

Die Repressionen gegen HateAid und Co. werden also wahrscheinlich nicht die letzten gegen Menschen und Organisationen gewesen sein, die sich um die Durchsetzung des DSA bemühen. Auf Seite der Behörden scheint man auch nach dem Shitstorm um Trusted Flagger und der Demontage des Stanford Internet Institute auf Druck rechtskonservativer Politiker kaum auf solche Szenarien vorbereitet sein – um nur zwei Beispiele zu nennen, in denen rhetorische Delegitimierungen durch rechte Akteure zu Einschüchterung, Gefahren für Einzelpersonen und dem Verlust von institutionellen Strukturen geführt haben.

Aufsichtsbehörden, Politik und die Kommission sind jetzt gefragt, nicht nur ihre Solidarität auszudrücken, sondern konkrete Maßnahmen zum Schutz von Zivilgesellschaft und Forschung zu ergreifen. Dabei darf aber nicht nur in die USA geschaut werden: Auch in Deutschland und anderen Mitgliedstaaten setzen konservative und rechte Kräfte die Zivilgesellschaft immer stärker unter Druck. Vom Anti-NGO-Kurs der Union über die Gemeinnützigkeitsdebatte und Kontoschließungen linker Organisationen bis zu physischen Angriffen gegen Aktivist:innen – wenn es er Politik ernst damit ist, zivilgesellschaftliche Arbeit zu schützen, darf sie nicht zwischen politisch genehmen und unbequemen Organisationen unterscheiden.

Ein ganzheitlicher Ansatz muss her: nachhaltige und großzügige Finanzierung, rechtliche Absicherung und vor allem eine Regierungspartei, die versteht, dass die Delegitimierung von NGOs letztlich nur einer Seite hilft – den Feinden demokratischer und offener Gesellschaften.