ETH-Studie enthüllt 25 Sicherheitslücken in Passwort-Managern

Eine Studie der ETH Zürich erschüttert das Vertrauen in Cloud-Passwortmanager wie Bitwarden, LastPass und Dashlane. Forscher fanden 25 kritische Sicherheitslücken, die das zentrale Versprechen der „Zero-Knowledge“-Verschlüsselung infrage stellen. Die Ergebnisse zwingen Millionen Nutzer und Unternehmen zu einer Neubewertung ihrer digitalen Sicherheit.

„Zero-Knowledge“-Versprechen bröckelt

Die Dienste werben mit dem Prinzip der Zero-Knowledge-Verschlüsselung (ZKE): Nur das Endgerät des Nutzers kann die gespeicherten Passwörter entschlüsseln. Selbst bei einem Server-Hack blieben die Daten demnach unlesbar. Doch dieses Versprechen hat Risse.

Ein Forschungsteam der ETH Zürich und der Università della Svizzera italiana testete diese Behauptung mit einem brisanten Szenario: einem kompromittierten oder böswilligen Server des Anbieters selbst. Das Ergebnis ist alarmierend. „Wir waren über das Ausmaß der Schwachstellen überrascht“, so ein Forscher. Für Dienste, die solch sensible Daten verwalten, habe man ein deutlich höheres Sicherheitsniveau erwartet.

Insgesamt identifizierten die Wissenschaftler 12 Angriffe gegen Bitwarden, sieben gegen LastPass und sechs gegen Dashlane. Die Angriffe sind nicht nur theoretisch, sondern während alltäglicher Nutzeraktionen wie dem Login oder der Synchronisation zwischen Geräten ausführbar.

Vier Kategorien gefährlicher Schwachstellen

Die 25 Sicherheitslücken lassen sich in vier Hauptkategorien einteilen, die unterschiedlich schwer wiegen:

1. Key-Escrow-Angriffe: Schwächen in den Mechanismen zur Kontowiederherstellung oder beim Single-Sign-On (SSO) könnten genutzt werden, um den gesamten Tresor zu kompromittieren.
2. Fehlerhafte Verschlüsselung auf Elementebene: Da einzelne Datenelemente separat verschlüsselt werden, könnte ein bösartiger Server Metadaten auslesen, Datenfelder vertauschen oder die Verschlüsselungsstärke herabsetzen – und so Brute-Force-Angriffe erleichtern.
3. Exploits in Freigabe-Funktionen: Diese Angriffe bedrohen sowohl private als auch unternehmensweite Tresore. Ein manipulierter Server könnte Daten injizieren oder überschreiben, wenn ein Nutzer einer geteilten Organisation beitritt, und so potenziell teamweiten Zugriff verschaffen.
4. Probleme mit Abwärtskompatibilität: Die Unterstützung veralteter Kryptografie-Standards kann ausgenutzt werden, um die Sicherheitsgarantien zu untergraben.

Anbieter reagieren – doch nicht alle Lücken sind geschlossen

Die Forscher gaben den betroffenen Unternehmen 90 Tage Zeit, die Schwachstellen zu beheben, bevor sie die Studie veröffentlichten. Die Reaktionen fallen unterschiedlich aus.

• Dashlane gab an, das identifizierte Problem – bezogen auf veraltete Kryptografie – behoben zu haben. Ein Downgrade-Angriff hätte Nutzer mit schwachen Master-Passwörtern gefährden können, doch es gebe keine Hinweise auf eine reale Ausnutzung.
• Bitwarden bestätigte, alle gefundenen Probleme anzugehen. Sieben der gemeldeten Schwachstellen seien bereits behoben oder in Bearbeitung. Drei weitere Punkte akzeptierte das Unternehmen als bewusste Design-Entscheidungen, die für die Produktfunktionalität nötig seien.
• Auch 1Password wurde untersucht und für anfällig gegenüber ähnlichen Angriffen auf Elementebene und in Freigabefunktionen eingestuft. Das Unternehmen entgegnete, es handele sich nicht um neue Schwachstellen, sondern um bekannte, architektonische Limitationen, die bereits im öffentlichen Sicherheitsdokument beschrieben seien.

Weckruf für Unternehmen und Compliance

Die Studie ist ein Weckruf für die Cybersicherheits-Branche und Tausende Unternehmen, die diese Dienste nutzen. Sie zeigt die Kluft zwischen dem Marketing-Begriff „Zero-Knowledge“ und der komplexen technischen Umsetzung.

Für Firmen, die ihre Unternehmenszugänge, API-Schlüssel und andere sensible Daten in der Cloud lagern, sind die Konsequenzen gravierend. Ein kompromittierter Server könnte diese Geheimnisse offenlegen – mit schwerwiegenden Folgen für die Sicherheit und die Einhaltung von Compliance-Vorgaben wie der DSGVO. Die Angriffe beweisen: Selbst Ende-zu-Ende-Verschlüsselung bietet keinen absoluten Schutz, wenn Schwachstellen in der Implementierung das gesamte Sicherheitsmodell untergraben.

Für Unternehmen, die jetzt ihre IT- und Compliance-Strategie überprüfen wollen: Ein kostenloses E‑Book fasst aktuelle Cyber-Security-Trends zusammen, erklärt typische Schwachstellen (inkl. Passwortmanager-Implementierungen) und zeigt pragmatische Schutzmaßnahmen für KMU und IT‑Verantwortliche. Praxisnah und ohne großen Aufwand erklärt der Leitfaden, welche ersten Schritte jetzt Sinn machen, um Risiken zu minimieren. Jetzt kostenlosen Cyber-Security-Guide herunterladen

Der Weg zu mehr Vertrauen: Transparenz und Migration

Experten raten Nutzern und Unternehmen nun, über Marketing-Versprechen hinauszublicken. Sie sollten von Anbietern mehr Transparenz fordern. Ein leitender Forscher empfiehlt, Dienste zu wählen, die regelmäßigen externen Audits unterzogen werden, potenzielle Schwachstellen offen kommunizieren und höchste Sicherheitsstandards standardmäßig aktivieren.

Die Forscher schlagen einen praktischen Weg vor: Neue Kunden sollten direkt in Systeme mit den neuesten Kryptografie-Standards eingebunden werden. Bestandskunden könnte man die Wahl geben, auf das sicherere System zu migrieren – mit voller Transparenz über die Risiken, auf der alten Infrastruktur zu verbleiben.

Diese bahnbrechende Forschung dürfte eine notwendige Evolution in der Passwortmanager-Branche auslösen. Sie zwingt Anbieter zu klarerer Kommunikation und robusteren, überprüfbaren Sicherheitsarchitekturen. Die vollständige Studie wird im August 2026 auf dem USENIX Security Symposium präsentiert.

@ boerse-global.de

Hol dir den Wissensvorsprung der Profis. Seit 2005 liefert der Börsenbrief trading-notes verlässliche Trading-Empfehlungen – dreimal die Woche, direkt in dein Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt anmelden.