Schwachstellen in Cloud-basierten Passwort-Managern | heise online

IT-Sicherheitsforscher der ETH Zürich haben drei populäre Passwort-Manager genauer untersucht. Sie stießen dabei auf einige Sicherheitslücken. Deren Missbrauch setzt jedoch die volle Kompromittierung der Server voraus, das Risiko ist daher nach Einschätzung eines Herstellers lediglich mittel bis niedrig. Viele Lücken sind offenbar bereits seit Langem gestopft.

In ihrem Forschungspapier, das die Schweizer IT-Forscher auf der Konferenz „Usenix Security 2026“ vorstellen wollen, erörtern sie detaillierter, wie sie Bitwarden mit zwölf Angriffen (zunächst zehn, später auf zwölf aufgesplittet), LastPass mit sieben und Dashlane mit sechs Attacken konfrontiert haben. Die Auswahl erfolgte anhand der Nutzerzahlen. Zusammen haben diese Passwort-Manager mehr als 60 Millionen Nutzer und Nutzerinnen und einen Marktanteil von 23 Prozent. „Die Schwere der Angriffe reicht von Verletzungen der Integrität gezielter Benutzer-Tresore bis hin zur vollständigen Kompromittierung aller mit einer Organisation verbundenen Tresore. Bei den meisten Angriffen können Passwörter wiederhergestellt werden“, erklären die IT-Forscher. Das breche das Zero-Knowledge-Prinzip, die Ende-zu-Ende-Verschlüsselung (E2EE), wodurch doch unbefugter Zugang zu Passwörtern möglich werde.

Die Angriffe benötigen nebst vollständig kompromittierter Server-Infrastruktur, bei der Angreifer die Antworten im Netz kontrollieren, in der Regel auch die Interaktion von Nutzern. Im Januar vergangenen Jahres haben die IT-Sicherheitsanalysten die Hersteller mit den Ergebnissen konfrontiert und einen 90-Tage-Zeitraum für ein Responsible Disclosure eingeräumt. Die Anbieter haben jedoch mehr Zeit benötigt, um die Schwachstellen auszubessern, und einige erachten sie zudem nicht als zu korrigierendes Problem.

Sicherheitslücken bereits gestopft

Die betroffenen Hersteller haben ihrerseits mit Veröffentlichungen zu den Schwachstellen reagiert. Bitwarden erklärt in einem Blogbeitrag, dass „alle Probleme, die in dem Bericht identifiziert wurden, vom Bitwarden-Team gelöst wurden“. Die Entwickler haben zudem einen vollständigen 35-seitigen Bericht mit Zusammenfassung, eigener Analyse und den Lösungen zu den gemeldeten Problemen zusammengestellt; neun Seiten behandeln die eigene Analyse. „Sieben Probleme wurden oder werden derzeit aktiv behoben, während drei als bewusste Designentscheidungen akzeptiert wurden, die für die Produktfunktionalität erforderlich sind“, erklären die Entwickler dort zu den ursprünglich als zehn Probleme gemeldeten Lücken, die später nochmals aufgesplittet wurden.

Dashlane schreibt in einem Blog-Beitrag, dass die Entwickler die Forschungsergebnisse ebenfalls überprüft und „Fehlerkorrekturen verteilt haben, wo das angemessen war“. Der Bugfix wurde am 5. November 2025 ab Version 6.2544.1 der Dashlane-Erweiterung verteilt. Sie ergänzen: „Es ist wichtig zu beachten, dass die Ausnutzung dieses Problems eine vollständige Kompromittierung der Server eines Passwort-Managers erfordern würde, gepaart mit äußerst fähigen Angreifern, die in der Lage sind, kryptografische Angriffe auszuführen, sowie einem extrem langen Zeitraum.“

Auch LastPass reagiert mit einem Blog-Beitrag. Demnach haben die Entwickler bereits ein Problem mit dem Icon- und URL-Handling behoben und arbeiten aktuell an Verbesserungen der Passwort-Stärke. Weitere Änderungen sind für die Konto-Wiederherstellung und Passwort-Sharing geplant. Auch die Integrität der Passwort-Vaults und der Schutz von Metadaten steht demnach auf der To-Do-Liste.

Alle Hersteller betonen, dass es sich um ein hypothetisches Szenario handelt und keine derartigen Exploits in freier Wildbahn beobachtet wurden. Es gebe auch keinen unmittelbaren konkreten Handlungsbedarf. Sie danken einhellig den IT-Forschern für ihre Arbeit und die übermittelten Ergebnisse.

Das BSI hat im vergangenen Dezember ebenfalls Passwort-Manager unter die Lupe genommen. Zwar fand die IT-Sicherheitsbehörde Verbesserungspotenzial, jedoch gibt es demnach keinen Grund, auf ihren Einsatz zu verzichten.

(dmk)