Schwachstellen in Cloud-basierten Passwort-Managern | heise online
IT-Sicherheitsforscher der ETH Zürich haben drei populäre Passwort-Manager genauer untersucht. Sie stießen dabei auf einige Sicherheitslücken. Deren Missbrauch setzt jedoch die volle Kompromittierung der Server voraus, das Risiko ist daher nach Einschätzung eines Herstellers lediglich mittel bis niedrig. Viele Lücken sind offenbar bereits seit Langem gestopft.
Weiterlesen nach der Anzeige
In ihrem Forschungspapier, das die Schweizer IT-Forscher auf der Konferenz „Usenix Security 2026“ vorstellen wollen, erörtern sie detaillierter, wie sie Bitwarden mit zwölf Angriffen (zunächst zehn, später auf zwölf aufgesplittet), LastPass mit sieben und Dashlane mit sechs Attacken konfrontiert haben. Die Auswahl erfolgte anhand der Nutzerzahlen. Zusammen haben diese Passwort-Manager mehr als 60 Millionen Nutzer und Nutzerinnen und einen Marktanteil von 23 Prozent. „Die Schwere der Angriffe reicht von Verletzungen der Integrität gezielter Benutzer-Tresore bis hin zur vollständigen Kompromittierung aller mit einer Organisation verbundenen Tresore. Bei den meisten Angriffen können Passwörter wiederhergestellt werden“, erklären die IT-Forscher. Das breche das Zero-Knowledge-Prinzip, die Ende-zu-Ende-Verschlüsselung (E2EE), wodurch doch unbefugter Zugang zu Passwörtern möglich werde.
Die Angriffe benötigen nebst vollständig kompromittierter Server-Infrastruktur, bei der Angreifer die Antworten im Netz kontrollieren, in der Regel auch die Interaktion von Nutzern. Im Januar vergangenen Jahres haben die IT-Sicherheitsanalysten die Hersteller mit den Ergebnissen konfrontiert und einen 90-Tage-Zeitraum für ein Responsible Disclosure eingeräumt. Die Anbieter haben jedoch mehr Zeit benötigt, um die Schwachstellen auszubessern, und einige erachten sie zudem nicht als zu korrigierendes Problem.
Sicherheitslücken bereits gestopft
Die betroffenen Hersteller haben ihrerseits mit Veröffentlichungen zu den Schwachstellen reagiert. Bitwarden erklärt in einem Blogbeitrag, dass „alle Probleme, die in dem Bericht identifiziert wurden, vom Bitwarden-Team gelöst wurden“. Die Entwickler haben zudem einen vollständigen 35-seitigen Bericht mit Zusammenfassung, eigener Analyse und den Lösungen zu den gemeldeten Problemen zusammengestellt; neun Seiten behandeln die eigene Analyse. „Sieben Probleme wurden oder werden derzeit aktiv behoben, während drei als bewusste Designentscheidungen akzeptiert wurden, die für die Produktfunktionalität erforderlich sind“, erklären die Entwickler dort zu den ursprünglich als zehn Probleme gemeldeten Lücken, die später nochmals aufgesplittet wurden.
Dashlane schreibt in einem Blog-Beitrag, dass die Entwickler die Forschungsergebnisse ebenfalls überprüft und „Fehlerkorrekturen verteilt haben, wo das angemessen war“. Der Bugfix wurde am 5. November 2025 ab Version 6.2544.1 der Dashlane-Erweiterung verteilt. Sie ergänzen: „Es ist wichtig zu beachten, dass die Ausnutzung dieses Problems eine vollständige Kompromittierung der Server eines Passwort-Managers erfordern würde, gepaart mit äußerst fähigen Angreifern, die in der Lage sind, kryptografische Angriffe auszuführen, sowie einem extrem langen Zeitraum.“
Auch LastPass reagiert mit einem Blog-Beitrag. Demnach haben die Entwickler bereits ein Problem mit dem Icon- und URL-Handling behoben und arbeiten aktuell an Verbesserungen der Passwort-Stärke. Weitere Änderungen sind für die Konto-Wiederherstellung und Passwort-Sharing geplant. Auch die Integrität der Passwort-Vaults und der Schutz von Metadaten steht demnach auf der To-Do-Liste.
Weiterlesen nach der Anzeige
Alle Hersteller betonen, dass es sich um ein hypothetisches Szenario handelt und keine derartigen Exploits in freier Wildbahn beobachtet wurden. Es gebe auch keinen unmittelbaren konkreten Handlungsbedarf. Sie danken einhellig den IT-Forschern für ihre Arbeit und die übermittelten Ergebnisse.
Das BSI hat im vergangenen Dezember ebenfalls Passwort-Manager unter die Lupe genommen. Zwar fand die IT-Sicherheitsbehörde Verbesserungspotenzial, jedoch gibt es demnach keinen Grund, auf ihren Einsatz zu verzichten.
Admins müssen D-Trust-Zertifikate tauschen – bis Ostermontag
Die zur Bundesdruckerei gehörende Registrierungsstelle D-Trust ruft kurzfristig alle seit dem 15.03.2025 bis zum Vormittag des 02.04.2026 herausgegebenen TLS-Zerfitikate zurück. Das teilt die Registration Authority des bundeseigenen Unternehmens auf ihrer Website mit. Bereits um 17 Uhr am Ostermontag, dem 06.04.2026, werden die Zertifikate offiziell von der Bundesregistry für ungültig erklärt.
Weiterlesen nach der Anzeige
Darauf wies am Karsamstagnachmittag das Bundesamt für Sicherheit in der Informationstechnik hin. Während des Austauschs der Zertifikate seien Ausfälle zahlreicher Websites möglich, auch Institutionen der Bundesverwaltung könnten davon betroffen sein, heißt es vom BSI. Es bestehe dabei kein Zusammenhang mit einem Cyberangriff, versucht das BSI vorab bereits Entwarnung zu geben. D-Trust versorgt unter anderem auch Teile der Gesundheits-Telematik-Infrastruktur mit Zertifikaten.
Angeblich kein Sicherheitsproblem
„Die Sicherheit Ihrer Zertifikate war und ist zu jeder Zeit gewährleistet“, heißt es seitens D-Trust. Hintergrund der kurzfristigen Rückrufaktion ist offenbar ein Problem mit dem sogenannten Linting, also den automatischen Prüfprozessen.
Hier hatte sich im Nachgang zur Diskussion zu einer unzulässigen Präzertifikatsdauer herausgestellt, dass D-Trust die Branchenregeln für die Erstellung von Zertifikaten hier anders interpretiert hatte als das allgemeiner technischer Konsens innerhalb der Community ist.
Auf eine kurzfristige Anfrage am Karsamstagnachmittag, warum trotz angeblich fehlender Auswirkungen auf die Sicherheit das ostermontagliche Zurückrufen nötig sei und wie viele Zertifikate davon betroffen sind reagierte die Pressestelle der Bundesdruckerei bislang nicht.
Ingo, Sebastian und Chris im Podcast-Studio. – CC-BY-NC 4.0 netzpolitik.org
Raus aus der Nische, rein in die Talkshows: Seit Jahren berichten Chris und Sebastian zu unterschiedlichen Formen digitaler Gewalt, jetzt ist das Thema überall. Auslöser ist eine Geschichte im Spiegel, in der Schauspielerin und Moderatorin Collien Fernandes ihrem Ex-Mann Christian Ulmen schwere Vorwürfe macht. Dessen Kanzlei leitet wiederum rechtliche Schritte gegen die Berichterstattung ein.
In der neuen Folge Off The Record analysieren wir die davon entfachte Debatte über digitale Gewalt und sprechen darüber, warum der Fokus allein auf sexualisierte Deepfakes und Verschärfungen des Strafrechts dem Problem nicht gerecht wird.
In dieser Folge: Chris Köver, Ingo Dachwitz und Sebastian Meineck. Produktion: Serafin Dinges. Titelmusik: Trummerschlunk.
Hier ist die MP3 zum Download. Wie gewohnt gibt es den Podcast auch im offenen ogg-Format. Ein maschinell erstelltes Transkript gibt es im txt-Format.
Unseren Podcast könnt ihr auf vielen Wegen hören. Der einfachste: in dem Player hier auf der Seite auf Play drücken. Ihr findet uns aber ebenso bei Apple Podcasts, Spotify und Deezer oder mit dem Podcatcher eures Vertrauens, die URL lautet dann netzpolitik.org/podcast.
Wir freuen uns auch über Kritik, Lob, Ideen und Fragen entweder hier in den Kommentaren oder per E-Mail an podcast@netzpolitik.org.
Die Woche, als wir übers Reparieren nachgedacht haben
Liebe Leser:innen,
der Text meiner Kollegin Laura über das Recht auf Reparatur in dieser Woche hat mich noch lange beschäftigt. Weil mir beim Lesen deutlich geworden ist, dass Reparieren mehr ist, als „nur“ Schrott zu vermeiden und Ressourcen zu schonen. Der Tüftler, den Laura für den Text besucht hat, repariert nicht nur engagiert die kaputten Toaster und CD-Player seiner Kund:innen. Er bringt auch viele Leute zusammen. Und er träumt von einem Ort, „wo sich Menschen gegenseitig helfen, etwas unternehmen, zusammen basteln und tüfteln“.
Wegwerfen ist meist ein recht einsamer Akt. Löchrige Socke, Mülleimer auf, Socke rein, Deckel zu. Das ganze dauert nur wenige Sekunden. Reparieren kann im Gegensatz dazu Gemeinschaft stiften. Schnell braucht man mal den Rat der Oma, die am besten weiß, welches Stopfgarn man für die lebensverlängernde Strumpfbehandlung braucht. Oder die Tipps von den Spezialexperten im Rad-Forum, die genau wissen, wie das Ersatzteil an der längst nicht mehr hergestellten Gangschaltung heißt, und wo man das noch bekommt.
Dann muss mal hier jemand die Wasserwaage halten oder da jemand moralische Unterstützung leisten und einen Kaffee kochen, wenn es nicht gleich funktioniert und man kurz davor ist, den Schraubenzieher aus dem Fenster zu pfeffern. Das verbindet. Und im besten Fall endet es auch in dem Gefühl, selbst oder gemeinsam etwas geschafft zu haben.
Diese eine Schraube
Zugegeben: Ein loses Stuhlbein lässt sich in der Regel deutlich leichter reparieren als das zersplitterte Handydisplay oder andere Elektronik. Und bei meinem letzten eigenen Displaytausch habe ich zwischendurch ehrlich gesagt deutlich mehr Wut und Verzweiflung als wohlige Selbstwirksamkeit gefühlt. Aber allen Fällen ist gemeinsam: Reparieren statt wegwerfen ist nicht nur wegen Nachhaltigkeit ein gutes Prinzip. Es macht Spaß, schweißt Menschen und Werkstücke zusammen und hinterlässt ein gutes Gefühl, wenn man es geschafft hat. Und aus meiner eigenen Erfahrung schafft man vieles, was einem am Anfang überhaupt nicht möglich erschienen wäre.
Vielleicht ist das lange Osterwochenende ein guter Anlass, dass mal auszuprobieren. Es muss nicht gleich die Digitalkamera mit dem abgebrochenen Schalter sein. Vielleicht reicht es für den Anfang ja auch, diese eine Schraube nachzuziehen, die seit Wochen dazu führt, dass der Griff an der Schublade wackelt.
Viel Spaß dabei!
anna
Wir sind communityfinanziert
Unterstütze auch Du unsere Arbeit mit einer Spende.
Ungarn wird von vertrackten Spionageskandalen geplagt. Kurz vor der anstehenden Parlamentswahl wirft das Orbán-Regime mal investigativen Journalisten, mal IT-Spezialisten vor, für ausländische Mächte zu spionieren. Von Samthandschuhen ist schon lange nichts mehr zu sehen.
Lesen Sie diesen Artikel: Mit allen Wassern verdreckt weiterlesen
Nordrhein-Westfalen arbeitet an einem neuen Gesetz, das auch den Datenaustausch zu psychisch erkrankten Menschen regeln soll. Dass Informationen über zwangseingewiesene Menschen in manchen Fällen an die Polizei fließen sollen, kritisieren Psychiatrie-Erfahrene ebenso wie sozialpsychiatrische Dienste.
Lesen Sie diesen Artikel: „Schädlich bis gefährlich“ weiterlesen
