ETH Zürich deckt schwere Sicherheitslücken in Passwort-Managern auf

Schweizer Forscher demonstrieren 25 Angriffe gegen Bitwarden, LastPass und Dashlane. Die 'Zero Knowledge'-Verschlüsselung wurde gebrochen.

Was ist passiert?

Forschende der ETH Zürich haben in einer umfassenden Studie 25 verschiedene Angriffe gegen die drei meistgenutzten Passwort-Manager demonstriert: Bitwarden, LastPass und Dashlane. Zusammen haben diese Dienste über 60 Millionen Nutzerinnen und Nutzer und einen Marktanteil von rund 23 Prozent.

Das zentrale Ergebnis: Die von allen drei Anbietern beworbene «Zero Knowledge»-Verschlüsselung — das Versprechen, dass selbst der Anbieter keinen Zugang zu den gespeicherten Passwörtern hat — konnte in mehreren Szenarien gebrochen werden.

Die Forscher konnten nicht nur gespeicherte Passwörter auslesen, sondern in gewissen Fällen auch verändern — bis hin zur vollständigen Kompromittierung ganzer Organisations-Tresore.

Wer ist betroffen?

  • 60 Millionen Nutzer weltweit der drei getesteten Passwort-Manager
  • Besonders Unternehmen, die Passwort-Manager für Team-Tresore einsetzen — hier ist eine vollständige Kompromittierung möglich
  • Schweizer KMU und Grossunternehmen, die zunehmend auf zentrale Passwort-Verwaltung setzen

Die Studie wird an der renommierten USENIX Security 2026 Konferenz präsentiert. SRF Kassensturz/Espresso, Tages-Anzeiger, Blick und 20 Minuten berichteten breit darüber.

Was wurde gefunden?

Die Angriffe nutzen verschiedene Schwachstellen aus:

  • Fehlende Integritätsprüfung — verschlüsselte Daten konnten manipuliert werden, ohne dass es auffiel
  • Schwache Schlüsselableitung — in einigen Konfigurationen waren Master-Passwörter leichter zu knacken als versprochen
  • Server-seitige Manipulation — ein kompromittierter oder bösartiger Server konnte Tresore auslesen
  • Organisations-Tresore besonders gefährdet — gemeinsam genutzte Firmen-Tresore waren am anfälligsten

Einordnung und Versicherungsbezug

Die ETH-Studie hat direkte Auswirkungen auf die Cybersicherheit von Schweizer Unternehmen:

Passwort-Manager bleiben sinnvoll — aber nicht unfehlbar. Trotz der Schwachstellen sind Passwort-Manager immer noch deutlich sicherer als wiederverwendete oder schwache Passwörter. Die Forscher empfehlen weiterhin deren Nutzung, mahnen aber zur Vorsicht.

Lieferketten-Risiko: Wenn ein SaaS-Anbieter kompromittiert wird, sind potenziell alle gespeicherten Zugangsdaten betroffen. Ein einziger Breach kann Dutzende weitere Systeme öffnen.

Warum eine Cyberversicherung hier wichtig ist:

  • Incident Response — sofortige Unterstützung bei kompromittierten Zugangsdaten
  • Forensische Analyse — Ausmass des Schadens feststellen, wenn Passwort-Tresore betroffen sind
  • Benachrichtigungskosten — bei Datenschutzverletzungen müssen betroffene Personen informiert werden
  • Folgeschäden — wenn durch gestohlene Passwörter weitere Systeme kompromittiert werden

Lehren für Schweizer KMU

  1. Multi-Faktor-Authentifizierung (MFA) aktivieren — nicht nur für den Passwort-Manager selbst, sondern für alle kritischen Dienste
  2. Passwort-Manager aktuell halten — Anbieter haben nach der ETH-Studie Patches veröffentlicht
  3. Organisations-Tresore überprüfen — wer hat Zugang? Sind die Berechtigungen minimal?
  4. Nicht alles an einem Ort — besonders kritische Zugangsdaten (z.B. Domain-Admin) separat sichern
  5. Cyberversicherung als Sicherheitsnetz — sie hilft, wenn trotz aller Vorsichtsmassnahmen ein Breach passiert

Haben Sie Fragen zu Cyberversicherungen?

Unsere Partner bei BTAG Versicherungsbroker AG beraten Sie gerne — kostenlos und unverbindlich. Kein Verkaufsdruck, nur Expertise.

Mehr erfahren Oder berechnen Sie zuerst Ihre Kosten

Ein Service der BTAG Versicherungsbroker AG, Bern — unabhängige Beratung seit 1990.

BTAG Versicherungsbroker AG Mitglied SIBA FINMA Register-Nr. 12229
Beratung anfragen →