Wenn Sicherheitsforscher der ETH Zürich anklopfen, wird es für Software-Anbieter meist ungemütlich. Diesmal hat es die Schwergewichte der Passwort-Verwaltung getroffen: Bitwarden, LastPass und Dashlane standen im Fokus einer Untersuchung, die pünktlich zur Usenix Security 2026 für Gesprächsstoff sorgt. Das Kernproblem der Analyse ist das eigentlich heilige Versprechen des "Zero-Knowledge-Prinzips". Die Forscher konnten zeigen, dass dieses Prinzip unter bestimmten Bedingungen eben doch nicht so unumstößlich ist, wie es die Marketing-Abteilungen gerne verkaufen.
Insgesamt 25 Angriffsszenarien haben die Experten entwickelt. Dabei ging es nicht um simple Phishing-Tricks, sondern um tiefgreifende Architekturfragen. Die Schwere der Lücken variiert, doch im Worst Case ermöglichten sie den Zugriff auf Tresorinhalte oder die Kompromittierung ganzer Organisations-Accounts. Das bricht die Ende-zu-Ende-Verschlüsselung an Stellen auf, an denen wir Nutzer uns eigentlich sicher wähnten. Besonders Bitwarden stand mit zwölf untersuchten Szenarien im Rampenlicht, gefolgt von LastPass und Dashlane.
Bevor du jetzt hektisch all deine Passwörter auf Post-its überträgst: Die Kirche bleibt im Dorf. Damit diese Angriffe funktionieren, müsste ein Angreifer die komplette Server-Infrastruktur des Anbieters kontrollieren. Wir reden hier also von einem Szenario, bei dem die Burgmauern bereits gefallen sind und der Angreifer nun versucht, die Schatzkammern im Inneren zu knacken. Das Risiko wird von den Herstellern daher als mittel bis niedrig eingestuft, da ein solcher "Full Breach" der Infrastruktur zum Glück kein alltägliches Ereignis ist.
Die Reaktion der Unternehmen fällt unterschiedlich aus, folgt aber dem klassischen Muster der Branche. Bitwarden gibt sich transparent und hat nach eigenen Angaben alle gemeldeten Probleme adressiert - wobei man einige Punkte als bewusste Designentscheidungen verteidigt, die für die Funktionalität nötig seien. Dashlane hat Patches ausgerollt und betont gleichzeitig, dass ein Angriff enorme kryptografische Fähigkeiten und extrem viel Zeit erfordern würde. LastPass arbeitet derweil noch an einigen Baustellen, insbesondere beim Handling von Metadaten und der Tresor-Integrität, so ein Blog-Beitrag.
Spannend ist, dass die Forscher den Herstellern bereits Anfang 2025 Bescheid gaben. Der 90-Tage-Standard für "Responsible Disclosure" reichte diesmal nicht aus; die Anbieter brauchten deutlich länger, um die teils komplexen strukturellen Probleme zu beheben. Das zeigt einmal mehr, dass Sicherheit kein Zustand ist, den man einmal kauft, sondern ein Prozess, der ständig hinterfragt werden muss.
Trotz dieser Ergebnisse gibt es keinen Grund zur Panik. Selbst das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht trotz Verbesserungspotenzial weiterhin keinen Grund, auf Passwort-Manager zu verzichten. Sie sind nach wie vor die beste Verteidigungslinie gegen die weitaus wahrscheinlichere Gefahr durch schwache oder mehrfach verwendete Passwörter. Es bleibt jedoch die Erkenntnis: "Zero Knowledge" ist in der Praxis oft eher ein "Limited Knowledge", sobald die Infrastruktur darunter wegbricht.
Kommentare (0)