Passwortmanager im BSI-Test: Warum viele Lösungen noch Nachholbedarf haben

Von 17. Februar 2026Blog, IT-Sicherheit3 Min. Lesezeit
Passwortmanager gelten als zentrale Bausteine moderner IT-Sicherheitsstrategien. Sie sollen komplexe, einzigartige Zugangsdaten sicher speichern und damit das Risiko von Passwortdiebstahl, Mehrfachverwendung oder schwachen Kennwörtern reduzieren.Doch eine aktuelle Untersuchung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zeigt: Nicht alle am Markt verfügbaren Lösungen erfüllen die sicherheitstechnischen Anforderungen, die Unternehmen erwarten dürfen.

Für mittelständische Unternehmen ist das ein wichtiges Signal, denn Passwortmanager werden zunehmend unternehmensweit eingesetzt und sind damit ein kritischer Bestandteil der Sicherheitsarchitektur.

Das BSI hat Passwortmanager untersucht

Das BSI hat mehrere marktgängige Passwortmanager technisch analysiert und dabei insbesondere auf Sicherheitsfunktionen, Implementierungsqualität und potenzielle Schwachstellen geachtet.

Das zentrale Ergebnis lautet, dass viele Produkte sicherheitstechnische Mängel oder konzeptionelle Schwächen aufweisen. Dazu zählen unter anderem:

  • Unsichere Implementierungen einzelner Schutzmechanismen
  • Schwächen bei der Absicherung sensibler Daten
  • Unzureichende Schutzmechanismen gegen bestimmte Angriffsszenarien
  • Verbesserungsbedarf bei der sicheren Voreinstellung („Secure by Default“)

Das BSI betont dabei nicht, dass Passwortmanager grundsätzlich unsicher seien. Vielmehr zeigt der Test, dass die konkrete Umsetzung entscheidend ist und dass Hersteller teils erheblichen Nachbesserungsbedarf haben.

Warum Passwortmanager dennoch sinnvoll sind

Trotz der identifizierten Schwachstellen bleibt die Empfehlung klar.
Die Nutzung eines Passwortmanagers ist grundsätzlich sicherer, als Passwörter mehrfach zu verwenden oder unsicher zu speichern.

Das BSI empfiehlt weiterhin:

  • Für jeden Dienst ein eigenes, starkes Passwort zu verwenden
  • Passwortmanager mit aktuellen Sicherheitsupdates einzusetzen
  • Zwei-Faktor-Authentifizierung (2FA) zu aktivieren
  • Geräte und Software regelmäßig zu aktualisieren

Die Untersuchung richtet sich somit nicht gegen das Prinzip Passwortmanager, sondern gegen mangelhafte technische Umsetzung einzelner Produkte.

Was bedeutet das für Unternehmen?

Für mittelständische Unternehmen ergeben sich aus der BSI-Analyse mehrere strategische Implikationen.

1. Produktauswahl ist eine Sicherheitsentscheidung

Nicht jeder Passwortmanager erfüllt automatisch hohe Sicherheitsanforderungen. Eine Auswahl sollte nicht ausschließlich nach Benutzerkomfort oder Preis erfolgen, sondern auf Basis nachvollziehbarer Sicherheitsarchitektur, transparenter Dokumentation und regelmäßiger Updates.

2. Secure-by-Default ist entscheidend

Sicherheitsrelevante Funktionen müssen standardmäßig aktiviert sein. Lösungen, die kritische Schutzmechanismen nur optional oder versteckt anbieten, erhöhen das Risiko von Fehlkonfigurationen.

3. Passwortmanager sind Teil einer Gesamtstrategie

Ein Passwortmanager allein ersetzt keine ganzheitliche Sicherheitsarchitektur. Er muss eingebettet sein in:

  • Mehrfaktor-Authentifizierung
  • Endpoint-Sicherheit
  • Rollen- und Berechtigungskonzepte
  • Schulungen für Mitarbeitende

Nur in dieser Kombination entfaltet er seine Schutzwirkung.

Der größere Kontext: Digitale Souveränität und Sicherheitsqualität

Die BSI-Untersuchung zeigt auch, wie wichtig unabhängige Sicherheitsprüfungen sind. Produkte, die mit „hoher Sicherheit“ werben, müssen sich an objektiven technischen Maßstäben messen lassen.

Für Unternehmen bedeutet das:

  • Herstellerangaben sollten kritisch geprüft werden
  • Sicherheitskonzepte müssen nachvollziehbar sein
  • Regelmäßige Evaluierungen der eingesetzten Tools sind notwendig

Gerade weil Passwortmanager zentrale Zugangsdaten bündeln, ist ihre Sicherheit von besonderer Bedeutung.

Fazit: Vertrauen ist gut, technische Prüfung ist besser

Passwortmanager bleiben ein wichtiger Bestandteil moderner IT-Sicherheit. Doch die BSI-Untersuchung macht deutlich, Qualität und Implementierung unterscheiden sich erheblich.

Für mittelständische Unternehmen heißt das:

  • Passwortmanager bewusst auswählen
  • Sicherheitsfunktionen konsequent konfigurieren
  • Updates und Patches zeitnah einspielen
  • Lösungen regelmäßig überprüfen

Fox Romeo unterstützt Unternehmen bei der Bewertung und Integration sicherer Authentifizierungs- und Passwortlösungen, eingebettet in eine ganzheitliche IT-Sicherheitsstrategie. Denn digitale Sicherheit entsteht nicht durch einzelne Tools, sondern durch strukturierte Architektur und klare Governance.

Quelle: BSI

Keine Experimente mehr im Serverraum – Starten Sie Ihren IT-Betrieb nach FlightOps-Standard.

IT-Ausfälle kosten nicht nur Nerven, sondern im Ernstfall Zehntausende Euro pro Stunde. Mit unserer FlightOps-Methodik bringen wir die Präzision und Fehlerkultur der Luftfahrt in Ihren IT-Betrieb. Weg vom „Helden-Admin“ und hektischer Fehlersuche, hin zu proaktivem Monitoring, strikten Checklisten und garantierter Stabilität.

Kostenloses Erstgespräch vereinbarenSo funktioniert FlightOpsZur interaktiven Case Study

Frank Roebers

Gründer und Geschäftsführer bei Fox Romeo IT GmbH
Frank Roebers bringt über 30 Jahre IT-Erfahrung mit. Als ehemaliger CEO der SYNAXON AG leitete er Europas größtes IT-Kooperationsnetzwerk mit 300+ Mitarbeitern und einem Einkaufsvolumen von über einer Milliarde Euro. Mit der Tochter einsnulleins etablierte er professionelle IT-Betreuung zum Festpreis für KMU – das Unternehmen wuchs auf 120+ Mitarbeiter an 10+ Standorten. Heute entwickelt er mit Fox Romeo Management-Strukturen für mittelständische IT-Organisationen und fokussiert auf messbare IT-Prozesse als Wettbewerbsfaktor. Als Redner behandelt er Digitalisierung, Führung und KI.
Mehr erfahren
Share
Kontakt