Passwortmanager im BSI-Test: Warum viele Lösungen noch Nachholbedarf haben

Von 17. Februar 2026Mai 11th, 2026IT-Sicherheit5 Min. Lesezeit
Passwortmanager BSI - Test viele Lösungen
Foto: Passwortmanager im BSI-Test: Warum viele Lösungen noch Nachholbedarf haben
Passwortmanager gelten als zentrale Bausteine moderner IT-Sicherheitsstrategien. Sie sollen komplexe, einzigartige Zugangsdaten sicher speichern und damit das Risiko von Passwortdiebstahl, Mehrfachverwendung oder schwachen Kennwörtern reduzieren.Doch eine aktuelle Untersuchung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zeigt: Nicht alle am Markt verfügbaren Lösungen erfüllen die sicherheitstechnischen Anforderungen, die Unternehmen erwarten dürfen.Für mittelständische Unternehmen ist das ein wichtiges Signal, denn Passwortmanager werden zunehmend unternehmensweit eingesetzt und sind damit ein kritischer Bestandteil der Sicherheitsarchitektur.

Das BSI hat Passwortmanager untersucht

Das BSI hat mehrere marktgängige Passwortmanager technisch analysiert und dabei insbesondere auf Sicherheitsfunktionen, Implementierungsqualität und potenzielle Schwachstellen geachtet. Das zentrale Ergebnis lautet, dass viele Produkte sicherheitstechnische Mängel oder konzeptionelle Schwächen aufweisen. Dazu zählen unter anderem:
  • Unsichere Implementierungen einzelner Schutzmechanismen
  • Schwächen bei der Absicherung sensibler Daten
  • Unzureichende Schutzmechanismen gegen bestimmte Angriffsszenarien
  • Verbesserungsbedarf bei der sicheren Voreinstellung („Secure by Default“)
Das BSI betont dabei nicht, dass Passwortmanager grundsätzlich unsicher seien. Vielmehr zeigt der Test, dass die konkrete Umsetzung entscheidend ist und dass Hersteller teils erheblichen Nachbesserungsbedarf haben.

Warum Passwortmanager dennoch sinnvoll sind

Trotz der identifizierten Schwachstellen bleibt die Empfehlung klar. Die Nutzung eines Passwortmanagers ist grundsätzlich sicherer, als Passwörter mehrfach zu verwenden oder unsicher zu speichern. Das BSI empfiehlt weiterhin:
  • Für jeden Dienst ein eigenes, starkes Passwort zu verwenden
  • Passwortmanager mit aktuellen Sicherheitsupdates einzusetzen
  • Zwei-Faktor-Authentifizierung (2FA) zu aktivieren
  • Geräte und Software regelmäßig zu aktualisieren
Die Untersuchung richtet sich somit nicht gegen das Prinzip Passwortmanager, sondern gegen mangelhafte technische Umsetzung einzelner Produkte.

Was bedeutet das für Unternehmen?

Für mittelständische Unternehmen ergeben sich aus der BSI-Analyse mehrere strategische Implikationen.

1. Produktauswahl ist eine Sicherheitsentscheidung

Nicht jeder Passwortmanager erfüllt automatisch hohe Sicherheitsanforderungen. Eine Auswahl sollte nicht ausschließlich nach Benutzerkomfort oder Preis erfolgen, sondern auf Basis nachvollziehbarer Sicherheitsarchitektur, transparenter Dokumentation und regelmäßiger Updates.

2. Secure-by-Default ist entscheidend

Sicherheitsrelevante Funktionen müssen standardmäßig aktiviert sein. Lösungen, die kritische Schutzmechanismen nur optional oder versteckt anbieten, erhöhen das Risiko von Fehlkonfigurationen.

3. Passwortmanager sind Teil einer Gesamtstrategie

Ein Passwortmanager allein ersetzt keine ganzheitliche Sicherheitsarchitektur. Er muss eingebettet sein in:
  • Mehrfaktor-Authentifizierung
  • Endpoint-Sicherheit
  • Rollen- und Berechtigungskonzepte
  • Schulungen für Mitarbeitende
Nur in dieser Kombination entfaltet er seine Schutzwirkung.

Der größere Kontext: Digitale Souveränität und Sicherheitsqualität

Die BSI-Untersuchung zeigt auch, wie wichtig unabhängige Sicherheitsprüfungen sind. Produkte, die mit „hoher Sicherheit“ werben, müssen sich an objektiven technischen Maßstäben messen lassen. Für Unternehmen bedeutet das:
  • Herstellerangaben sollten kritisch geprüft werden
  • Sicherheitskonzepte müssen nachvollziehbar sein
  • Regelmäßige Evaluierungen der eingesetzten Tools sind notwendig
Gerade weil Passwortmanager zentrale Zugangsdaten bündeln, ist ihre Sicherheit von besonderer Bedeutung.

Fazit: Vertrauen ist gut, technische Prüfung ist besser

Passwortmanager bleiben ein wichtiger Bestandteil moderner IT-Sicherheit. Doch die BSI-Untersuchung macht deutlich, Qualität und Implementierung unterscheiden sich erheblich. Für mittelständische Unternehmen heißt das:
  • Passwortmanager bewusst auswählen
  • Sicherheitsfunktionen konsequent konfigurieren
  • Updates und Patches zeitnah einspielen
  • Lösungen regelmäßig überprüfen
Fox Romeo unterstützt Unternehmen bei der Bewertung und Integration sicherer Authentifizierungs- und Passwortlösungen, eingebettet in eine ganzheitliche IT-Sicherheitsstrategie. Denn digitale Sicherheit entsteht nicht durch einzelne Tools, sondern durch strukturierte Architektur und klare Governance.
Quelle: BSI

Häufige Fragen zu „Passwortmanager im BSI-Test: Warum viele Lösungen noch Nachholbedarf haben"

Was kostet IT-Sicherheitsberatung für 50 bis 100 Mitarbeiter?

Die Kosten für eine IT-Sicherheitsberatung hängen von deinen genauen Anforderungen ab. Für ein mittelständisches Unternehmen mit 50 bis 100 Mitarbeitern solltest du mit Tagessätzen zwischen 1.000 und 2.500 Euro rechnen.

Wie lange dauert eine IT-Sicherheitsberatung im Mittelstand?

Bei 50 bis 100 Mitarbeitern dauert eine grundlegende Analyse meist drei bis fünf Tage. Danach erhältst du konkrete Handlungsempfehlungen, etwa zur sicheren Einführung von Passwortmanagern.

Lohnt sich IT-Sicherheitsberatung für kleine Mittelständler?

Absolut, denn auch Unternehmen mit 50 bis 100 Mitarbeitern sind häufig Ziele von Cyberangriffen. Eine professionelle Beratung schützt dich vor teuren Datenverlusten und Ausfällen.

Welche Passwortmanager empfiehlt das BSI nach dem Test?

Das BSI nennt keine konkreten Produktnamen, sondern verweist auf technische Mindeststandards. Du solltest darauf achten, dass dein Passwortmanager sichere Voreinstellungen und starke Verschlüsselung bietet.

Sind Passwortmanager trotz BSI-Kritik noch sicher?

Ja, die Nutzung ist definitiv sicherer als die mehrfache Verwendung von Passwörtern. Du musst nur bei der Auswahl auf eine saubere technische Umsetzung und gute Schutzmechanismen achten.

Frank Roebers

Gründer und Geschäftsführer bei Fox Romeo IT GmbH
Frank Roebers bringt über 30 Jahre IT-Erfahrung mit. Als ehemaliger CEO der SYNAXON AG leitete er Europas größtes IT-Kooperationsnetzwerk mit 300+ Mitarbeitern und einem Einkaufsvolumen von über einer Milliarde Euro. Mit der Tochter einsnulleins etablierte er professionelle IT-Betreuung zum Festpreis für KMU – das Unternehmen wuchs auf 120+ Mitarbeiter an 10+ Standorten. Heute entwickelt er mit Fox Romeo Management-Strukturen für mittelständische IT-Organisationen und fokussiert auf messbare IT-Prozesse als Wettbewerbsfaktor. Als Redner behandelt er Digitalisierung, Führung und KI.
Mehr erfahren
Share