BEGIN:VCALENDAR
VERSION:2.0
METHOD:PUBLISH
PRODID:- Tech-Nachrichten //NONSGML Events //EN
CALSCALE:GREGORIAN
X-WR-CALNAME:ICAL-BLOG
BEGIN:VEVENT
UID:40dbe6cd-f58a-43e3-8f91-5b7661cd6f4f
DTSTAMP:20260404T154724Z
CREATED:20260404T154724Z
SUMMARY:Cloud‑Passwortmanager: Zero Knowledge reicht nicht
DESCRIPTION:https://tech-nachrichten.de/cloud-passwortmanager-zero-knowledge-reicht-nicht/ - Artikel vom: Di.\, 17. Februar 2026\, 15:01:52 - Passwortmanager gelten seit Jahren als eine der wichtigsten Basistechnologien für IT‑Sicherheit – gerade in Organisationen mit vielen Nutzerkonten\, Cloud‑Diensten und mobilen Arbeitsplätzen. Umso aufmerksamer sollte man werden\, wenn Sicherheitsforscher nun zeigen\, dass selbst Cloud‑basierte Passwortmanager mit Zero‑Knowledge‑Versprechen unter bestimmten Bedingungen angreifbar sind.\n \nGenau das haben Forscher der ETH Zürich bei einer Untersuchung mehrerer verbreiteter Passwortmanager aufgezeigt. Ihre Ergebnisse sorgen aktuell für Diskussionen – auch\, weil sie ein zentrales Sicherheitsversprechen infrage stellen: Dass Anbieter selbst im Kompromittierungsfall keinen Zugriff auf Passwörter haben können. [heise.de]\n \nWas wurde untersucht – und warum ist das relevant?\n \nDie Forscher haben drei weit verbreitete Cloud‑basierte Passwortmanager analysiert: Bitwarden\, LastPass und Dashlane. Die Auswahl erfolgte nicht zufällig\, sondern aufgrund ihrer hohen Verbreitung und ihres Marktanteils. Ziel war es zu prüfen\, ob die versprochene Ende‑zu‑Ende‑Verschlüsselung („Zero Knowledge“) auch unter realistischen Angriffsannahmen standhält.\n \nDas Ergebnis:Unter bestimmten Voraussetzungen – insbesondere bei einer vollständigen Kompromittierung der Server‑Infrastruktur – lassen sich Angriffe konstruieren\, bei denen Passwörter oder ganze Tresore wiederhergestellt werden können. In mehreren Angriffsszenarien ist zusätzlich eine Interaktion der Nutzer erforderlich\, etwa durch manipulierte Antworten des Servers.\n \nWichtig: Es geht nicht um einen einfachen Remote‑Hack oder eine triviale Ausnutzung durch beliebige Angreifer. Dennoch zeigen die Ergebnisse\, dass das Sicherheitsmodell komplexer ist\, als viele Marketingaussagen vermuten lassen.\n \nWarum das Zero‑Knowledge‑Prinzip hier an Grenzen stößt\n \nCloud‑Passwortmanager werben damit\, dass der Anbieter selbst keinen Zugriff auf die gespeicherten Geheimnisse hat. Die Studie zeigt jedoch:Sobald ein Angreifer die Serverlogik kontrolliert\, kann er unter Umständen Einfluss auf Schlüsselableitungen\, Objektintegrität oder Wiederherstellungsmechanismen nehmen.\n \nDie Forscher sprechen davon\, dass dadurch das Zero‑Knowledge‑Modell faktisch unterlaufen wird\, weil die Integrität der verschlüsselten Daten nicht mehr vollständig garantiert ist.\n \nFür Systemkoordinatoren ist das ein entscheidender Punkt:Verschlüsselung schützt Daten nur dann zuverlässig\, wenn alle beteiligten Komponenten – Client\, Server\, Protokolle und Prozesse – korrekt zusammenspielen.\n \nResponsible Disclosure – und unterschiedliche Bewertungen\n \nDie betroffenen Hersteller wurden bereits frühzeitig informiert und erhielten Zeit\, die gemeldeten Schwachstellen zu bewerten und zu beheben. Laut Heise haben die Anbieter unterschiedlich reagiert:\n \n\nEin Großteil der identifizierten Probleme wurde inzwischen behoben\n \nEinige Punkte werden von Herstellern als bewusste Designentscheidungen bewertet\n \nDie Einschätzung des Risikos reicht von „mittel“ bis „niedrig“\, abhängig vom Bedrohungsmodell [heise.de]\n\n \nAus administrativer Sicht ist das nicht ungewöhnlich: Sicherheitsforschung und Produktrealität treffen hier aufeinander. Dennoch bleibt die Erkenntnis\, dass Cloud‑Vertrauen immer ein kalkuliertes Risiko darstellt.\n \nWas bedeutet das konkret für Unternehmen und Syskos?\n \nFür den Alltag in IT‑Betrieb\, Verwaltung oder Mittelstand heißt das nicht\, dass Passwortmanager „unsicher“ oder überflüssig sind. Im Gegenteil: Sie bleiben ein zentrales Sicherheitswerkzeug. Aber der Umgang damit sollte reifer werden.\n \nWichtige Lehren aus der Studie:\n \n\nCloud ≠ automatisch Zero TrustAuch bei Zero‑Knowledge‑Architekturen bleibt der Anbieter Teil der Sicherheitskette.\n \nClient‑Sicherheit ist entscheidendMehrere Angriffsszenarien setzen Nutzerinteraktion voraus – geschulte Anwender und saubere Endgeräte bleiben essenziell.\n \nUpdates und Reaktionsfähigkeit zählenWie schnell Anbieter auf Meldungen reagieren\, ist ein wichtiges Auswahlkriterium.\n \nNotfall‑ und Wiederherstellungsfunktionen kritisch prüfenGenau diese Mechanismen sind oft funktional notwendig – aber sicherheitstechnisch heikel.\n\n \nCloud oder Self‑Hosted? Eine alte Frage\, neu bewertet\n \nFür viele Organisationen stellt sich erneut die Frage:Cloud‑Passwortmanager oder selbst betriebene Lösungen?\n \nSelf‑Hosted‑Varianten reduzieren die Abhängigkeit von externen Infrastrukturen\, erhöhen aber gleichzeitig die Betriebsverantwortung. Cloud‑Dienste bieten Komfort und Skalierbarkeit\, verlangen jedoch Vertrauen in Architektur und Anbieter.\n \nDie Studie liefert kein pauschales Urteil\, aber sie liefert Argumente dafür\, diese Entscheidung bewusst und risikoorientiert zu treffen – nicht allein auf Basis von Marketingversprechen.\n \nFazit: Mehr Realismus\, weniger Sicherheitsmythen\n \nDie Untersuchung der ETH Zürich zeigt vor allem eines:IT‑Sicherheit ist kein Zustand\, sondern ein kontinuierlicher Aushandlungsprozess zwischen Komfort\, Architektur und Bedrohungsmodellen.\n \nPasswortmanager bleiben unverzichtbar – aber sie sind kein Allheilmittel. Für Systemkoordinatoren bedeutet das\, Sicherheitsversprechen kritisch zu hinterfragen\, Herstellerreaktionen zu beobachten und das eigene Schutzkonzept regelmäßig zu überprüfen.\n \nOder anders gesagt:Zero Knowledge ist ein wichtiges Prinzip – aber kein Ersatz für professionelles Risikomanagement.\n \n\n \nQuelle & weiterführende Lektüre:Heise Online: Schwachstellen in Cloud‑basierten Passwort‑Managern[heise.de]
LOCATION:https://tech-nachrichten.de
CATEGORIES:Gelbe Kategorie
TRANSP:TRANSPARENT
X-MICROSOFT-CDO-BUSYSTATUS:FREE
SEQUENCE:0
CLASS:PUBLIC
PRIORITY:1
DTSTART:20260405T070000Z
DTEND:20260405T080000Z
BEGIN:VALARM
TRIGGER:-PT30M
ACTION:DISPLAY
DESCRIPTION:Reminder for Cloud‑Passwortmanager: Zero Knowledge reicht nicht
END:VALARM
END:VEVENT
END:VCALENDAR