Bitwarden, LastPass & Dashlane: Forscher knacken Zero-Knowledge-Versprechen

Eine Studie der ETH Zürich enthüllt schwerwiegende Designfehler in populären Cloud-Passwort-Managern. Das zentrale Sicherheitsversprechen der Anbieter lässt sich unter bestimmten Bedingungen aushebeln.

Die Untersuchung, die am 16. Februar veröffentlicht wurde, simuliert ein Worst-Case-Szenario: Angreifer übernehmen die Server der Dienste. In diesem Fall könnten sie laut den Forschern der ETH Zürich und der Università della Svizzera italiana auf Passwörter zugreifen, sie verändern oder ganze Tresore übernehmen. Betroffen sind Dienste wie Bitwarden, LastPass und Dashlane, die weltweit von über 60 Millionen Nutzern und 125.000 Unternehmen eingesetzt werden.

Das brüchige Fundament: Zero Knowledge in der Praxis

Die Ergebnisse stellen das fundamentale „Zero-Knowledge“-Prinzip infrage. Damit werben die Anbieter mit der Garantie, dass selbst sie keinen Zugriff auf die verschlüsselten Kundendaten haben. Die Studie zeigt jedoch, dass theoretische Verschlüsselungssicherheit in der Praxis durch systemische Fehler unterlaufen werden kann.

„Der Begriff ‚Zero Knowledge‘ wird oft ohne vollständige Definition verwendet und ist eher als Marketing-Begriff zu verstehen“, erklärt Kenneth Paterson, Informatikprofessor an der ETH Zürich und Mitautor der Studie. Die Angriffe der Forscher nutzten alltägliche Nutzerinteraktionen wie Login oder Synchronisation – ohne dass Schadsoftware auf dem Gerät installiert werden musste.

25 erfolgreiche Angriffe: Von Datenklau bis zur Komplettübernahme

Insgesamt demonstrierten die Sicherheitsexperten 25 verschiedene Angriffsvektoren: zwölf gegen Bitwarden, sieben gegen LastPass und sechs gegen Dashlane. Die Bandbreite reichte von der Manipulation einzelner Einträge bis zur vollständigen Übernahme aller Tresore einer Organisation.

Die Schwachstellen lassen sich vier Hauptkategorien zuordnen:
1. Fehlerhafte Kontowiederherstellung: Hilfsfunktionen für vergessene Master-Passwörter erwiesen sich als Einfallstor.
2. Schwache Verschlüsselung auf Eintragsebene: Sie ermöglichte das Auslesen von Metadaten oder Datenmanipulation.
3. Unsicheres Passwort-Sharing: Mechanismen zum Teilen von Zugangsdaten waren missbrauchbar.
4. Gefährliche Abwärtskompatibilität: Die Unterstützung veralteter Krypto-Verfahren für alte Client-Versionen senkte das Sicherheitsniveau.

Ein anschauliches Beispiel ist der „Field Swap“-Angriff: Ein manipulierter Server vertauschte die Felder für Passwort und URL. Die App sendete daraufhin das entschlüsselte Passwort an einen Server des Angreifers – im Glauben, ein Website-Symbol zu laden.

Reaktionen der Anbieter: Besserung in Sicht?

Die Forscher informierten die Unternehmen 90 Tage vor Veröffentlichung, um Zeit für Patches zu geben. Die Reaktionen fallen unterschiedlich aus:

• Bitwarden arbeitet an der Behebung von sieben der gemeldeten Probleme.
• Dashlane hat eine kritische Lücke im November 2025 mit einem Update seiner Browser-Erweiterung geschlossen.
• LastPass entwickelt nach eigenen Angaben stärkere kryptografische Garantien.

Der ebenfalls untersuchte Dienst 1Password erwies sich als widerstandsfähiger. Seine Architektur mit einem zusätzlichen lokalen „Secret Key“ bot einen besseren Schutz gegen die simulierten Server-Angriffe.

Was bedeutet das für Nutzer und Unternehmen?

Bedeutet diese Studie das Aus für Cloud-Passwort-Manager? Sicherheitsexperten sagen: Nein. Die Nutzung eines Managers ist immer noch sicherer als die Wiederverwendung einfacher Passwörter. Doch die Studie ist ein Weckruf für mehr Transparenz.

Wer sich jetzt vor genau solchen Server-Angriffen und Datenmanipulationen schützen möchte, findet praktische Hilfe im kostenlosen E?Book „Cyber Security Awareness Trends“. Der Leitfaden erklärt aktuelle Bedrohungen, handfeste Schutzmaßnahmen und wie Unternehmen ihre IT-Sicherheit ohne große Investitionen stärken können. Jetzt kostenlosen Cyber-Security-Guide sichern

Nutzer sollten bei der Auswahl auf regelmäßige, externe Sicherheitsaudits und eine klare Kommunikation der Anbieter achten. Zentral bleibt: Die Software muss stets auf dem neuesten Stand sein, um von geschlossenen Lücken zu profitieren. Die Forschung unterstreicht vor allem eines: Absolute Sicherheit gibt es nicht – auch nicht hinter einem vermeintlich undurchdringlichen „Zero-Knowledge“-Versprechen.