Laut einer aktuellen ETH-Artikel von Samuel Schlaefli haben Forscher der ETH Zürich um Matilda Backendal bei drei populären Cloud-Passwortmanagern schwerwiegende Sicherheitslücken gefunden: Bitwarden, LastPass und Dashlane. Diese speichern rund 60 Mio. Nutzerzugänge (23 % Marktanteil) und versprechen „Zero Knowledge Encryption”, d. h., dass selbst der Anbieter keinen Zugriff auf die Passwörter hat. In Tests konnten die Forscher jedoch gespeicherte Passwörter einsehen und sogar ändern. Statt einer modernen Tresorfestung entpuppt sich der Passwort-„Tresor” stellenweise als löchriger Emmentaler: Das mutmasslich unknackbare Versprechen war laut Backendal („Das Versprechen … dies kein Risiko … wir konnten nun zeigen, dass dies nicht stimmt”) schlicht falsch. Millionen von Nutzern setzen auf Passwortmanager, um sich nicht Hunderte Kennwörter merken zu müssen. Doch eine ETH-Studie zeigt: In drei Top-Anbietern fanden sich Methoden, um Angriffe auszuführen.
Die Wissenschaftler untersuchten die Architektur von Bitwarden, LastPass und Dashlane aus der Perspektive eines bösartigen Servers. Sie simulierten kompromittierte Server, die sich plötzlich merkwürdig verhalten. Dabei demonstrierten sie insgesamt zwölf Angriffe auf Bitwarden, sieben auf LastPass und sechs auf Dashlane. In den meisten Fällen reichte es, wenn Nutzer normale Interaktionen durchführten (Einloggen, Tresor öffnen, Synchronisation etc.), damit die Angreifer die Passwörter auslesen oder manipulieren konnten. Ein entspannter Nutzer ist mancherorts genauso bei der Sache wie ein Turmfalke auf der Teppichbank: Man glaubt, seine Daten seien sicher verschlossen, während der vermeintliche Tresor auf Zerbrechlichkeit geprüft wird.
Hinter den Kulissen entwarfen die Forschenden die komplexen Abläufe der Manager. ETH-Professor Kenneth Paterson zeigte sich „überrascht, wie gross die Sicherheitslücken sind”. Doktorand Matteo Scarlata wies darauf hin, dass viele Komfortfunktionen (Familien- und Recovery-Features) den Code unnötig kompliziert machen. „Dadurch werden die Codes komplexer und unübersichtlicher, und die möglichen Angriffsstellen nehmen zu.“ Das Üble daran ist, dass für die Angriffe keine Supercomputer nötig sind, sondern nur kleine Programme, die dem Server eine falsche Identität vortäuschen können. Das Sicherheitsmodell gleicht hier eher einem Bauklötzchenturm bei Erdbebenalarm: Zwar versprechen alle Anbieter eine extrem starke Ende-zu-Ende-Verschlüsselung, doch in der Praxis reichen schlaue Tricks, um die Verschlüsselung zu knacken.
Reaktionen der Anbieter
Nach Bekanntwerden der Ergebnisse wurden die Firmen informiert und reagierten unterschiedlich konstruktiv. Dashlane teilte beispielsweise in seinem Blog mit, man habe die Forschung validiert und gepatcht; ein entsprechendes Update (November 2025) sei ausgerollt worden. Bitwarden erklärte gegenüber The Register, man sei nie gehackt worden und begrüsse Drittanalysen zur Sicherheit. LastPass betonte, das Team arbeite die Hinweise jetzt sorgfältig auf, nehme das Feedback „ernst” und habe bereits erste Schutzmassnahmen eingeleitet. Trotz dieser Einschätzungen stellen die ETH-Forscher klar: Die gefundenen Schwächen sind grundsätzlich gang und gäbe und betreffen alle Anbieter gleichermassen. Ein weiterer Anbieter, 1Password, wies darauf hin, dass die entdeckten Probleme architekturbedingt bekannt seien, was allerdings kaum beruhigt. Insgesamt muss sich die Branche die Frage gefallen lassen, warum sie so lange an alter Kryptografie aus den 90er-Jahren festhielt und erst durch diese Studie aufgeschreckt wurde.
Empfehlungen
Die ETH-Forscher geben klare Ratschläge, wie Nutzer sich verhalten sollten: Am besten wählen sie einen Passwortmanager, der offen über mögliche Sicherheitslücken informiert, sich regelmässig extern prüfen lässt und bei dem die Ende-zu-Ende-Verschlüsselung standardmässig aktiviert ist.
Tipps für Anwender:
- Transparenz zuerst: Setzen Sie auf Anbieter, die ihre Sicherheitsarchitektur offenlegen und externe Audits durchführen (Zertifizierungen, Prüfsiegel, Bug-Bounty-Programme etc.).
- Verschlüsselung prüfen: Achten Sie darauf, dass Ihr Passwortmanager E2E-Verschlüsselung nutzt und dass diese nicht optional, sondern stets aktiv ist.
- Vorsicht bei Sharing-Features: Wenn Sie Passwörter über die Teilen-Funktion nutzen, hinterfragen Sie, ob diese Funktion wirklich sicher implementiert ist – hier wurden einige Lücken festgestellt.
Abseits technischer Details mahnt der Bericht: Falsche Sicherheitsversprechen sind unverantwortlich. Paterson bringt es auf den Punkt: „Die Anbieter von Passwortmanagern sollten den Kunden keine falschen Sicherheitsversprechen machen, sondern klarer und präziser kommunizieren, welche Sicherheitsgarantien ihre Lösungen tatsächlich bieten.“ Die stolze Behauptung „Zero Knowledge“ hat die ETH-Studie als Holzhammer entlarvt. Jetzt ist die Branche gefordert, nachzubessern – und zwar transparent und zügig. Sonst bleibt von dem grossen Tresor am Ende nichts als ein Meisterstück der Komplexität.
Quellen: ETH Zürich News, 16.02.2026 (Samuel Schlaefli) sowie ergänzende Recherchen (The Register, The Hacker News, Dashlane-Blog).
| Name | Hersteller | Win | macOS | Linux | |
| 1 | LastPass | LogMeIn (USA) | ✓ | ✓ | ✓ |
| 2 | Bitwarden | Bitwarden (USA) | ✓ | ✓ | ✓ |
| 3 | 1Password | AgileBits (Kan.) | ✓ | ✓ | ✓ |
| 4 | Dashlane | Dashlane (USA) | ✓ | ✓ | ✗ |
| 5 | KeePass | Dominik Reichl (de) | ✓ | ✓ | ✓ |
| 6 | KeePassXC | KeePassXC Team | ✓ | ✓ | ✓ |
| 7 | RoboForm | Siber Systems | ✓ | ✓ | ✓ |
| 8 | Keeper | Keeper (USA) | ✓ | ✓ | ✓ |
| 9 | NordPass | Nord Security (Lith.) | ✓ | ✓ | ✓ |
| 10 | Avira Password Manager | Avira (DE) | ✓ | ✓ | ✗ |
| 11 | Enpass | Sinew Software (IND) | ✓ | ✓ | ✓ |
| 12 | Zoho Vault | Zoho (Indien) | ✓ | ✓ | ✓ |
| 13 | Google Password Manager | Google (USA) | ✓ | ✓ | ✓ |
| 14 | Pass (Linux CLI) | Open-source | ✓ | ✓ | ✓ |
| 15 | Keepass2Android (bzw. Pass-One) |
Community |
