Wer Google Chrome nutzt und den integrierten Passwort-Manager verwendet, wiegt sich häufig in trügerischer Sicherheit. Die Wahrheit über den Chrome Passwort-Manager ist ernüchternd: Der meistgenutzte Browser der Welt speichert Login-Daten standardmäßig so, dass sie bei lokalem Zugriff mit wenig Aufwand ausgelesen werden können. Für jeden, der physischen Zugriff auf einen entsperrten Rechner hat, sind die gespeicherten Passwörter praktisch eine offene Einladung. Das Bundesamt für Sicherheit in der Informationstechnik und Sicherheitsexperten warnen seit Jahren vor den Risiken browserinterner Passwort-Speicherung.
Das unterschätzte Sicherheitsrisiko im meistgenutzten Browser
Chrome macht es uns bequem – vielleicht zu bequem. Der Google-Browser speichert Passwörter lokal auf dem Computer, und obwohl Google grundsätzlich Sicherheitsmaßnahmen implementiert hat, liegt das Hauptproblem beim physischen Zugriff. Laut Sicherheitsexperten ist der Google Passwortmanager zwar sicher vor Angriffen von außen durch Hacker, doch die Schwachstelle liegt beim direkten Zugriff auf ein entsperrtes Gerät.
Das Problem wird besonders brisant, wenn der Laptop im Café kurz unbeaufsichtigt bleibt, wenn Kollegen den Arbeitsplatz-PC nutzen können oder wenn das Gerät gestohlen wird. Selbst Familienmitglieder könnten theoretisch – bewusst oder aus Neugier – auf gespeicherte Zugangsdaten zugreifen. Sicherheitslücken in Browsern wurden wiederholt entdeckt, ein deutliches Zeichen dafür, dass auch verbreitete Browser nicht immun gegen Schwachstellen sind.
So einfach können Passwörter ausgelesen werden
Die technische Hürde für das Auslesen ist erschreckend niedrig. Wer an einem eingeloggten PC sitzt, kann über die Chrome-Einstellungen alle gespeicherten Passwörter einsehen. Ein Klick auf das Augen-Symbol – und schon wird das Passwort im Klartext angezeigt. Je nach Systemkonfiguration wird lediglich das Windows- oder Mac-Passwort abgefragt, das bei gemeinsam genutzten Geräten oft bekannt ist.
Sicherheitsanalysen von Passwortmanager-Anbietern wie Dashlane bestätigen: Chrome lässt sich mit nur einem Klick öffnen, wodurch sensible Passwortdaten allzu leicht aufrufbar sind. Die Anmeldedaten sind über das Menü der Chrome-Einstellungen direkt zugänglich – ohne nennenswerte Barrieren für jemanden, der bereits Zugang zum entsperrten Gerät hat. Diese Schwachstelle betrifft Millionen von Nutzern weltweit.
Die professionelle Alternative: Dedizierte Passwort-Manager
Wer es mit der Sicherheit seiner Zugangsdaten wirklich ernst meint, kommt um einen dedizierten Passwort-Manager kaum herum. Diese spezialisierte Software bietet deutlich mehr Sicherheit als jede browserinterne Lösung und schützt vor den typischen Schwachstellen, die Browser-Passwort-Manager aufweisen.
Warum dedizierte Passwort-Manager überlegen sind
Hochwertige eigenständige Passwort-Manager verschlüsseln Passwörter bereits auf dem Gerät oder Computer, bevor sie zur Speicherung an einen geschützten Cloud-Server übertragen werden. Diese Dienste setzen auf ein Master-Passwort, das den Zugriff auf die gesamte Passwort-Datenbank schützt. Das Master-Passwort wird niemals auf Servern gespeichert oder übertragen – der Nutzer ist die einzige Person, die es kennt.
Die Verschlüsselung erfolgt mit Ende-zu-Ende-Verschlüsselung und modernsten Standards. Die Passwörter bleiben sogar auf den Servern der Anbieter verschlüsselt. Durch die sogenannte Zero-Knowledge-Architektur kann niemand – nicht einmal der Anbieter selbst – auf die unverschlüsselten Daten zugreifen. Diese Sicherheitsarchitektur macht den entscheidenden Unterschied zu Browser-Lösungen aus.
Empfehlenswerte Passwort-Manager
Proton Pass gilt als besonders datenschutzfreundliche und sichere Lösung. Der Schweizer Dienst nutzt Ende-zu-Ende-Verschlüsselung und hält die Daten auch auf den Servern verschlüsselt. Dashlane bietet umfangreiche Sicherheitsfunktionen und eine benutzerfreundliche Oberfläche. Auch 1Password und KeePass werden von Sicherheitsexperten als vertrauenswürdige Alternativen genannt. Die Wahl sollte auf einen etablierten Anbieter mit nachweislich guter Sicherheitsarchitektur fallen.
Migration zu einem Passwort-Manager: Einfacher als gedacht
Der Wechsel von Chrome zu einem Passwort-Manager ist weniger aufwändig, als viele befürchten. Zunächst können die Passwörter über die Chrome-Einstellungen mit der Option „Passwörter exportieren“ exportiert werden. Danach wird ein Konto bei einem vertrauenswürdigen Passwort-Manager erstellt und ein starkes Master-Passwort gewählt – mindestens 12 Zeichen mit Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen sind Pflicht.
Die Browsererweiterung des gewählten Passwort-Managers wird installiert, die exportierte Datei importiert und anschließend sicher von der Festplatte gelöscht. Wichtig ist, danach die Passwort-Speicherung in Chrome zu deaktivieren, damit künftig keine Zugangsdaten mehr im Browser landen. Dedizierte Passwort-Manager bieten zusätzliche Sicherheitsfeatures wie Zwei-Faktor-Authentifizierung, sichere Passwort-Generierung und die Möglichkeit, Notfallzugänge für vertrauenswürdige Personen einzurichten.
Zusätzliche Schutzmaßnahmen für mehr Sicherheit
Unabhängig davon, welche Lösung gewählt wird, sollten weitere Sicherheitsvorkehrungen getroffen werden. Die Zwei-Faktor-Authentifizierung bei allen wichtigen Diensten zu aktivieren ist unverzichtbar – selbst wenn ein Passwort kompromittiert wird, bleibt das Konto geschützt. Niemals sollte dasselbe Passwort für mehrere Dienste verwendet werden, denn ein Datenleck bei einem Anbieter gefährdet sonst alle Konten.
Eine automatische Bildschirmsperre, die nach wenigen Minuten Inaktivität aktiviert wird, verhindert unautorisierten Zugriff auf den entsperrten Rechner. Die Festplattenverschlüsselung mit BitLocker unter Windows oder FileVault auf dem Mac schützt zusätzlich vor Datendiebstahl bei Geräteverlust. Diese Maßnahmen ergänzen sich gegenseitig und schaffen mehrere Sicherheitsebenen.
Was ist mit anderen Browsern?
Die Problematik beschränkt sich nicht nur auf Chrome. Firefox, Edge und Safari speichern Passwörter ebenfalls lokal und bieten ähnliche Schwachstellen, wenn auch mit unterschiedlichen Sicherheitsmechanismen. Der Firefox-Passwortmanager wird zwar als besser als Chrome eingestuft, verfügt aber dennoch nicht über alle Funktionen wie beispielsweise das Speichern von Kreditkarteninformationen. Edge nutzt die Windows-Anmeldeinformationen für den Passwortschutz.
Die grundlegende Empfehlung bleibt jedoch dieselbe: Ein dedizierter Passwort-Manager bietet deutlich mehr Sicherheit als jede browserinterne Lösung und funktioniert plattformübergreifend auf allen Geräten. Browser sind primär zum Surfen entwickelt worden, nicht als Sicherheitstresor für sensible Zugangsdaten.
Das Bundesamt für Sicherheit mahnt zur ausgewogenen Betrachtung
Das Bundesamt für Sicherheit in der Informationstechnik weist allerdings auch auf ein potenzielles Risiko bei Passwort-Managern hin: Alle Passwörter können theoretisch auf einmal gestohlen werden, sollte ein Cyber-Angriff auf einen Passwort-Manager erfolgreich sein. Deshalb ist die Wahl eines etablierten, vertrauenswürdigen Anbieters mit nachweislich guter Sicherheitsarchitektur entscheidend. Die renommierten Anbieter haben jedoch jahrelange Erfahrung und setzen auf mehrfache Sicherheitsebenen.
Die digitale Identität ist wertvoll geworden. Online-Banking, E-Mail-Konten, soziale Netzwerke – ein kompromittiertes Passwort kann weitreichende Folgen haben. Die wenigen Minuten, die in die Einrichtung eines ordentlichen Passwortschutzes investiert werden, sind eine der sinnvollsten Sicherheitsmaßnahmen überhaupt. Niemand möchte morgens feststellen, dass das Amazon-Konto für einen Shopping-Rausch missbraucht wurde oder vertrauliche E-Mails in fremden Händen sind. Die Bequemlichkeit von Chrome mag verlockend sein, aber echte Sicherheit erfordert spezialisierte Werkzeuge.
Inhaltsverzeichnis