Passwortmanager gelten seit Jahren als eine der wichtigsten Basistechnologien für IT‑Sicherheit – gerade in Organisationen mit vielen Nutzerkonten, Cloud‑Diensten und mobilen Arbeitsplätzen. Umso aufmerksamer sollte man werden, wenn Sicherheitsforscher nun zeigen, dass selbst Cloud‑basierte Passwortmanager mit Zero‑Knowledge‑Versprechen unter bestimmten Bedingungen angreifbar sind.
Genau das haben Forscher der ETH Zürich bei einer Untersuchung mehrerer verbreiteter Passwortmanager aufgezeigt. Ihre Ergebnisse sorgen aktuell für Diskussionen – auch, weil sie ein zentrales Sicherheitsversprechen infrage stellen: Dass Anbieter selbst im Kompromittierungsfall keinen Zugriff auf Passwörter haben können. [heise.de]
Was wurde untersucht – und warum ist das relevant?
Die Forscher haben drei weit verbreitete Cloud‑basierte Passwortmanager analysiert: Bitwarden, LastPass und Dashlane. Die Auswahl erfolgte nicht zufällig, sondern aufgrund ihrer hohen Verbreitung und ihres Marktanteils. Ziel war es zu prüfen, ob die versprochene Ende‑zu‑Ende‑Verschlüsselung („Zero Knowledge“) auch unter realistischen Angriffsannahmen standhält.
Das Ergebnis:
Unter bestimmten Voraussetzungen – insbesondere bei einer vollständigen Kompromittierung der Server‑Infrastruktur – lassen sich Angriffe konstruieren, bei denen Passwörter oder ganze Tresore wiederhergestellt werden können. In mehreren Angriffsszenarien ist zusätzlich eine Interaktion der Nutzer erforderlich, etwa durch manipulierte Antworten des Servers.
Wichtig: Es geht nicht um einen einfachen Remote‑Hack oder eine triviale Ausnutzung durch beliebige Angreifer. Dennoch zeigen die Ergebnisse, dass das Sicherheitsmodell komplexer ist, als viele Marketingaussagen vermuten lassen.
Warum das Zero‑Knowledge‑Prinzip hier an Grenzen stößt
Cloud‑Passwortmanager werben damit, dass der Anbieter selbst keinen Zugriff auf die gespeicherten Geheimnisse hat. Die Studie zeigt jedoch:
Sobald ein Angreifer die Serverlogik kontrolliert, kann er unter Umständen Einfluss auf Schlüsselableitungen, Objektintegrität oder Wiederherstellungsmechanismen nehmen.
Die Forscher sprechen davon, dass dadurch das Zero‑Knowledge‑Modell faktisch unterlaufen wird, weil die Integrität der verschlüsselten Daten nicht mehr vollständig garantiert ist.
Für Systemkoordinatoren ist das ein entscheidender Punkt:
Verschlüsselung schützt Daten nur dann zuverlässig, wenn alle beteiligten Komponenten – Client, Server, Protokolle und Prozesse – korrekt zusammenspielen.
Responsible Disclosure – und unterschiedliche Bewertungen
Die betroffenen Hersteller wurden bereits frühzeitig informiert und erhielten Zeit, die gemeldeten Schwachstellen zu bewerten und zu beheben. Laut Heise haben die Anbieter unterschiedlich reagiert:
- Ein Großteil der identifizierten Probleme wurde inzwischen behoben
- Einige Punkte werden von Herstellern als bewusste Designentscheidungen bewertet
- Die Einschätzung des Risikos reicht von „mittel“ bis „niedrig“, abhängig vom Bedrohungsmodell [heise.de]
Aus administrativer Sicht ist das nicht ungewöhnlich: Sicherheitsforschung und Produktrealität treffen hier aufeinander. Dennoch bleibt die Erkenntnis, dass Cloud‑Vertrauen immer ein kalkuliertes Risiko darstellt.
Was bedeutet das konkret für Unternehmen und Syskos?
Für den Alltag in IT‑Betrieb, Verwaltung oder Mittelstand heißt das nicht, dass Passwortmanager „unsicher“ oder überflüssig sind. Im Gegenteil: Sie bleiben ein zentrales Sicherheitswerkzeug. Aber der Umgang damit sollte reifer werden.
Wichtige Lehren aus der Studie:
- Cloud ≠ automatisch Zero Trust
Auch bei Zero‑Knowledge‑Architekturen bleibt der Anbieter Teil der Sicherheitskette. - Client‑Sicherheit ist entscheidend
Mehrere Angriffsszenarien setzen Nutzerinteraktion voraus – geschulte Anwender und saubere Endgeräte bleiben essenziell. - Updates und Reaktionsfähigkeit zählen
Wie schnell Anbieter auf Meldungen reagieren, ist ein wichtiges Auswahlkriterium. - Notfall‑ und Wiederherstellungsfunktionen kritisch prüfen
Genau diese Mechanismen sind oft funktional notwendig – aber sicherheitstechnisch heikel.
Cloud oder Self‑Hosted? Eine alte Frage, neu bewertet
Für viele Organisationen stellt sich erneut die Frage:
Cloud‑Passwortmanager oder selbst betriebene Lösungen?
Self‑Hosted‑Varianten reduzieren die Abhängigkeit von externen Infrastrukturen, erhöhen aber gleichzeitig die Betriebsverantwortung. Cloud‑Dienste bieten Komfort und Skalierbarkeit, verlangen jedoch Vertrauen in Architektur und Anbieter.
Die Studie liefert kein pauschales Urteil, aber sie liefert Argumente dafür, diese Entscheidung bewusst und risikoorientiert zu treffen – nicht allein auf Basis von Marketingversprechen.
Fazit: Mehr Realismus, weniger Sicherheitsmythen
Die Untersuchung der ETH Zürich zeigt vor allem eines:
IT‑Sicherheit ist kein Zustand, sondern ein kontinuierlicher Aushandlungsprozess zwischen Komfort, Architektur und Bedrohungsmodellen.
Passwortmanager bleiben unverzichtbar – aber sie sind kein Allheilmittel. Für Systemkoordinatoren bedeutet das, Sicherheitsversprechen kritisch zu hinterfragen, Herstellerreaktionen zu beobachten und das eigene Schutzkonzept regelmäßig zu überprüfen.
Oder anders gesagt:
Zero Knowledge ist ein wichtiges Prinzip – aber kein Ersatz für professionelles Risikomanagement.
Quelle & weiterführende Lektüre:
Heise Online: Schwachstellen in Cloud‑basierten Passwort‑Managern
[heise.de]
Kommentare