10 Passwort-Manager im Vergleich

Wie datenschutzfreundlich und sicher sind Passwort-Manager? Die Verbraucherzentrale NRW und das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben 10 Passwort-Speicher geprüft – darunter die der Browser Chrome und Firefox.

Zwei Hände auf einer Laptop-Tastatur, auf dem Bildschirm sind Eingabefelder zum Einloggen in ein Online-Konto zu sehen.

Foto:

fizkes/AdobeStock

Das Wichtigste in Kürze:

Etwa die Hälfte der getesteten Passwort-Manager arbeitet datensparsam.
Bei einigen ist es theoretisch möglich, dass Anbieter auf die gespeicherten Passwörter zugreifen können.
In einer Online-Umfrage wurde die Angst vor fremden Zugriffen auf die Passwörter als häufigste Ursache dafür genannt, dass Menschen keinen Passwort-Manager verwenden.

E-Mail, Bank, Social Media, Online-Shopping – fast jede:r von uns besitzt zahlreiche Internet-Konten. Um sich einzuloggen, werden in der Regel ein Name oder eine E-Mail-Adresse und ein Passwort benötigt. Jeder Zugang sollte ein eigenes starkes Passwort haben. Wie soll man sich die alle merken?

Passwort-Manager nehmen uns Menschen diese Arbeit ab. In ihnen werden die Passwörter für jedes Konto gespeichert. Die meisten helfen sogar beim Erstellen starker Passwörter. Aber sind die Zugangsdaten dort auch sicher vor unerlaubtem Zugriff? Ist es weniger sicher, seine Passwörter im Browser zu speichern als ein spezielles Programm dafür zu verwenden?

Gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Verbraucherzentrale NRW im ersten Halbjahr 2025 mehrere Passwort-Manager untersucht. Die Hersteller haben die Ergebnisse erhalten und Gelegenheit zur Stellungnahme bekommen. Bei einzelnen gibt es Verbesserungsbedarf. Doch die Defizite sind kein Grund, auf Passwort-Manager zu verzichten. Denn ihr Nutzen überwiegt.

Welcher Passwort-Typ sind Sie? Eine Entscheidungshilfe, wie Sie Passwörter sinnvoll und sicher verwalten können, gibt das BSI auf dieser Internetseite.

Umfrage zur Nutzung von Passwort-Managern

Parallel zur Untersuchung hat die Verbraucherzentrale NRW eine Umfrage zum Umgang mit Passwörtern und zur Nutzung von Passwort-Managern durchgeführt. 1.203 Internet-Nutzer:innen haben vom 6. August bis zum 10. September 2025 teilgenommen. 48 Prozent von ihnen gaben an, mehr als 50 passwortgeschützte Online-Konten zu besitzen. Auf die Frage, wie die Teilnehmenden ihre Passwörter verwalten, waren mehrere Antworten zur Auswahl möglich. Die Mehrheit der Teilnehmer:innen speichert die Passwörter in einem Passwort-Manager: 84,1 Prozent im Browser, 37,2 Prozent haben ein spezielles Programm (zum Beispiel als App) dafür. 25,9 Prozent gaben an, sich Passwörter zu merken, 25,1 Prozent haben sie auf eine Papierliste geschrieben. Die Summe beträgt mehr als 100 Prozent. Das zeigt, dass einige der Befragten eine Kombination aus verschiedenen Passwortverwaltungen nutzen, indem sie beispielsweise Passwörter sowohl im Browser als auch in einem speziellen Programm speichern oder auf einer Papierliste notieren. Dabei unterscheiden manche bei der Wahl ihrer Passwortverwaltung zwischen "wichtigen" und "weniger wichtigen" Online-Konten. Als wichtig empfunden werden zum Beispiel Online-Banking und E-Mail, weniger wichtige können zum Beispiel Kommentarbereiche auf Nachrichtenseiten sein. Da sind die Einschätzungen individuell.

Diejenigen, die ihre Passwörter nicht im Browser oder einem Passwort-Manager speichern, begründen das mit

Angst, dass die gespeicherten Passwörter gestohlen werden könnten (53,5 Prozent),
Angst, den Zugriff auf die gespeicherten Passwörter zu verlieren (40,6 Prozent),
Unsicherheit darüber, welchen Passwort-Manager sie nutzen sollen (35,7 Prozent).

Etwa jede:r Vierte gab an, Passwort-Manager nicht zu nutzen aus Sorge, dass der Anbieter die gespeicherten Passwörter sehen könnte (25,2 Prozent).

Aber auch unter denjenigen, die einen Passwort-Manager nutzen, haben 17,1 Prozent die Sorge, dass die im Programm gespeicherten Passwörter gestohlen werden könnten. 13 Prozent sind besorgt, dass der Anbieter die im Passwort-Manager gespeicherten Passwörter sehen könnte.

Sowohl bei Nutzer:innen als auch Nicht-Nutzer:innen ist die Sicherheit mit Abstand die am häufigsten genannte Eigenschaft, die bei der Wahl eines Passwort-Managers eine Rolle spielt. Die zweit meistgenannte Eigenschaft ist die Möglichkeit zur geräteübergreifenden Nutzung. So gaben bei den Nutzer:innen 61,2 Prozent und bei Nicht-Nutzer:innen 43 Prozent an, dass es ihnen wichtig sei, mit mehreren Geräten auf gespeicherte Passwörter zuzugreifen.

8 Passwort-Manager und 2 Browser im Vergleich

Auf der Suche nach einem geeigneten Passwort-Manager gaben 58,8 Prozent der Nutzer:innen von Passwort-Managern und 79,1 Prozent der Nicht-Nutzer:innen an, sich bei unabhängigen Organisationen wie BSI, Verbraucherzentrale oder Stiftung Warentest zu informieren. Aus diesem Grund stellen wir wesentliche Punkte der Untersuchung in diesem Text dar.

Die Ergebnisse der Untersuchungen durch das BSI und die Verbraucherzentrale NRW sind in einer gemeinsamen Veröffentlichung zusammengefasst. Sie können Sie auf dieser Internetseite des BSI herunterladen.

Risiken beim Speichern im Browser

Sie kennen es sicherlich: Wenn Sie auf einer Internetseite ein Passwort eintippen, fragt Sie Ihr Browser, ob Sie es speichern möchten. In den Einstellungen lässt sich diese Frage abschalten. Viele Browser bieten einen integrierten Passwort-Manager an, der ohne großen Aufwand genutzt werden kann. Da Browser aber komplexe Programme sind und das Thema Passwortverwaltung möglicherweise nicht unbedingt im Fokus steht, könnten die Zugangsdaten einfacher von Schadsoftware ausgelesen und von Kriminellen missbraucht werden.

Wenn Sie den Passwort-Speicher im Browser nutzen, sollten Sie unbedingt immer die neuesten Updates für den Browser installieren und ein starkes Master-Passwort verwenden, um Ihre Daten zu schützen. Außerdem sollte der Zugang zum Computer, Tablet oder Smartphone gesichert werden, etwa durch eine PIN- oder Passwort-Abfrage.

In dieser Untersuchung wurden die Passwort-Manager der Browser Google Chrome und Mozilla Firefox betrachtet. Wird der browserbasierte Passwort-Manager von Firefox mit einem Mozilla-Konto zur Verwaltung der Passwörter genutzt und die Funktionalität "Firefox Sync" aktiviert, werden die synchronisierten Zugangsdaten (Benutzername, Passwort, Hostname) laut Anbieterangaben vollständig verschlüsselt auf Mozillas Sync-Server hochgeladen. Ähnlich verhält es sich mit dem browserbasierten Passwort-Manager Google Chrome. Werden die im Passwort-Manager gespeicherten Daten mit dem Chrome- bzw. Google-Konto synchronisiert, werden die Zugangsdaten laut Anbieter verschlüsselt auf die Anbieter-Server übertragen.

Technische Untersuchung

Alle Angaben beziehen sich auf den Stand bzw. die Produktversion zum Zeitpunkt der Untersuchung. Sie können sich durch zwischenzeitliche Updates verändert haben.

	1Password	Avira Password Manager	Chrome Password Manager	Keepass 2 Android	KeePass XC	Mozilla Firefox Password Manager	mSecure Password Manager	PassSecurium	SecureSafe Password-Manager	S-Trust Password Manager
Verwendung eines Master-Passworts in der Standardkonfiguration	ja	ja	ja (*1)	ja	ja	nein	ja	ja	ja	ja
Wiederherstellungsoption bei Verlust des Master-Passworts	ja	nein (*2)	nein (*3)	nein	nein	ja	nein	ja	ja	ja
Passwort-Manager kann mit einem zweiten Faktor geschützt werden	ja	ja	ja	ja	ja	ja	ja	ja	ja	ja
Passwort-Manager unterstützt Verwaltung zweiter Faktoren	ja	ja	nein	ja	ja	nein	ja	ja	nein	nein
Automatisches Leeren der Zwischenablage	ja (*4)	ja	nein	ja	ja	nein	ja (*5)	nein	ja	ja
Automatische Sperre nach Zeitüberschreitung in der Standardkonfiguration	ja	ja	ja	ja	nein	nein	ja	ja	ja	ja
Cloud-Synchronisation	ja	ja	ja	ja	nein	ja	ja	ja	ja	ja
Prüfung gegen Leaks	ja	ja	ja	nein	ja	ja	nein	ja	nein	nein
Export von Passwörtern	nein	nein	ja	ja	ja	ja	nein	ja	ja	ja
Wird der komplette Inhalt vollständig verschlüsselt?	ja	nein	nein	ja	ja	nein	nein	nein	nein	nein
Wird nach Änderung des Master-Passworts der komplette Inhalt vollständig neu verschlüsselt?	nein	nein	nein	ja	ja	nein	nein	nein	nein	nein
Kann der Hersteller auf die Daten zugreifen?	nein	nein	ja	nein	nein	nein	ja	ja	nicht bewertbar	nicht bewertbar
Untersuchte Version	8.10.62 für Android	2.11 für Android	37.0.7151.69 unter Windows 10 Pro	1.12-r5 für Android	2.7.9 für Windows	139.0.1 für Windows	6.1.5 für Android	1.1.63 für Android/2.1.2 für iOS	8.10.62 für Android	2.11 für Android

*1: Anstelle des Master-Passworts wird die Windows-Authentifizierung verwendet. Dies ist in diesem Kontext vergleichbar.
*2: Die vorhandene Wiederherstellungsoption über Biometrie sollte aus Sicherheitsgründen deaktiviert werden.
*3: Nutzer:innen sollten ein eigenes Master-Passwort setzen, eine Wiederherstellungsoption ist dann nicht mehr vorhanden.
*4 und 5: Wird bei aktuellen Android-Versionen vom Betriebssystem übernommen.

Untersuchung der Datenschutzerklärungen

Bei einigen Anbietern waren die Kriterien nicht anwendbar, da diese laut eigenen Angaben keine personenbezogenen Daten erfassen (mit nicht relevant gekennzeichnet). Nur fürs Erfassen und Verarbeiten personenbezogener Daten sind die Kriterien unserer Datenschutzprüfung relevant.

Alle Angaben beziehen sich auf den Stand bzw. die Produktversion zum Zeitpunkt der Untersuchung. Sie können sich durch zwischenzeitliche Updates verändert haben.

	1Password	Avira Password Manager	Chrome Password Manager	Keepass 2 Android	KeePass XC	Mozilla Firefox Password Manager	mSecure Password Manager	PassSecurium	SecureSafe Password-Manager	S-Trust Password Manager
Datenschutzerklärung auf Deutsch	nein	ja	ja (*6)	ja	ja	ja (*7)	nein (*8)	ja (*9)	ja	ja
Angabe einer verantwortlichen Person	ja	ja	nicht relevant	nicht relevant	nicht relevant	nicht relevant	ja	ja	ja	ja
Angabe zur Dauer der Datenspeicherung	ja	ja	nicht relevant	nicht relevant	nicht relevant	nicht relevant	nein	ja	ja	ja
Angaben zu Empfängern gespeicherter Daten	ja	ja	nicht relevant	nicht relevant	nicht relevant	nicht relevant	nein	ja	ja	ja
Angabe von Zweck und Rechtsgrundlage	ja	ja	nicht relevant	nicht relevant	nicht relevant	nicht relevant	ja	teilweise ja (*10)	ja	ja
Angabe zu Betroffenenrechten	ja	ja	nicht relevant	nicht relevant	nicht relevant	nicht relevant	teilweise ja (*11)	teilweise ja (*12)	ja	ja

*6: Keine separaten Datenschutzhinweise für die Nutzung des Passwort-Managers vorhanden. Die allgemeinen Datenschutzhinweise wurden hinsichtlich der Frage, welche Daten bei der Nutzung des Google Chrome Browsers mit oder ohne Nutzer-Account erhoben und verarbeitet werden, nicht näher geprüft.
*7: Keine separaten Datenschutzhinweise für die Nutzung des Passwort-Managers vorhanden. Die allgemeinen Datenschutzhinweise wurden hinsichtlich der Frage, welche Daten bei der Nutzung des Mozilla Firefox Browsers mit oder ohne Nutzer-Account erhoben und verarbeitet werden, nicht näher geprüft.
*8: Aus den Datenschutzhinweisen von mSecure geht nicht eindeutig hervor, ob oder welche personenbezogenen Daten bei der Nutzung des Passwortmanagers erhoben und verarbeitet werden.
*9: Neben den allgemeinen Datenschutzhinweisen gibt es für Nutzer:innen von Anwendungen von PassSecurium separate Datenschutzhinweise. Dort wird allerdings nicht zwischen den einzelnen Diensten/Anwendungen differenziert, sodass aus der Prüfung nicht eindeutig hervorging, welche Angaben sich konkret auf Passwortmanager beziehen.
*10: Zwecke sind angegeben, Rechtsgrundlagen sind nicht genannt.
*11 und 12: Es fehlen einige Angaben zu Betroffenenrechte (z. B. das Recht auf Beschwerde bei der Aufsichtsbehörde).

Die Auswertung der Datenschutzhinweise zeigt, dass etwa die Hälfte der geprüften Passwort-Manager insgesamt eher datensparsam ist bzw. vornehmlich personenbezogene Daten erhebt und verarbeitet, die für den Dienst oder bestimmte Funktionen erforderlich sind (zum Beispiel E-Mail-Adresse, Benutzername, Zahlungsdaten und technische Daten wie IP-Adresse, Betriebssystem, Serverprotokolle). Dabei sind die beiden quelloffenen Passwort-Manager KeePassXC und KeePass2Android besonders datenschutzfreundlich. Sie arbeiten lokal. Laut eigener Angaben werden keine personenbezogenen Daten erhoben und an eigene Server oder an Drittanbieter weitergeleitet. Die beiden browserbasierten Passwort-Manager (Chrome und Firefox) speichern die Zugangsdaten ebenfalls lokal ab, wenn man keinen Nutzer-Account zum Synchronisieren auf mehreren Geräten verwendet. Allerdings können bei der Nutzung der Browser selbst personenbezogene Daten erhoben und gespeichert werden. Dies war nicht Gegenstand der Prüfung.

Einige Anbieter, zum Beispiel 1Password, S-Trust, Avira und SecureSafe, erfassen zusätzlich Nutzungs- oder Produktdaten (zum Beispiel Datum, Uhrzeit und Frequenz der Besuche, die Auslastung des Speichers für hochgeladene Dokumente, Anzahl der besuchten Internetseiten, Website-Domain für gespeicherte Zugangsdaten), teilweise auch für die Verbesserung der eigenen Dienste (Produktverbesserung). In manchen Fällen geben Anbieter an, dass die personenbezogenen Daten für diesen Zweck pseudonymisiert oder anonymisiert werden.

Als Kategorien von Empfängern von Daten geben einige Anbieter beispielsweise verbundene Unternehmen, IT-Infrastruktur-Dienstleister, Partnernetzwerke, Technologiepartner, Vertriebspartner, Zahlungsdienstleister oder – unter gewissen Umständen – auch Strafverfolgungsbehörden an (zum Beispiel S-Trust, SecureSafe, Avira, 1Password, PassSecurium).

Wenige Anbieter (etwa 1Password, SecureSafe und Avira) nutzen Daten – laut eigenen Angaben in der Regel mit Einwilligung – zu Marketingzwecken und teilen in dem Zusammenhang Daten teilweise auch mit Marketingpartnern (1Password), die nicht näher benannt werden. Was für Daten oder Marketingzwecke das im Konkreten sind, geht aus den Datenschutzhinweisen nicht immer eindeutig hervor. Die Wirksamkeit der Einwilligung wurde nicht gesondert geprüft. In den allgemeinen Datenschutzhinweisen von Avira werden als Kategorien von Empfängern auch Dienstleister und Anbieter von Marketingleistungen genannt. Inwiefern personenbezogene Daten, die bei der Nutzung des Passwort-Managers von Avira anfallen, auch für Marketingzwecke verwendet oder an Dritte weitergegeben werden, ging aus der Prüfung der Datenschutzhinweisen nicht eindeutig hervor.

1Password ist der einzige unter den geprüften Passwort-Managern, der nur kostenpflichtig nutzbar ist und zusätzlich personenbezogene Daten auch für Marketingzwecke nutzt.

Avira erlaubt Single-Sign-On über Drittanbieter (Facebook, Apple, Google) und kann dabei unter anderem Profilbild und E-Mail-Adresse erheben, die beim jeweiligen Drittanbieter genutzt werden.

Können Anbieter auf Daten zugreifen?

Die Sorge davor, dass der Anbieter auf gespeicherte Passwörter zugreifen könnte, hält laut unserer Umfrage rund ein Viertel der Teilnehmer:innen davon ab, einen Passwort-Manager zu verwenden. Tatsächlich geben einige Anbieter explizit an, auf die Inhalte der hochgeladenen Dateien oder die im Passworttresor gespeicherten Passwörter keinen Zugriff zu haben (zum Beispiel Avira und Mozilla Firefox). Auch bei SecureSafe verstehen wir die Datenschutzerklärung so, dass das Unternehmen keinen Zugriff auf die gespeicherten Inhalte hat. Die technische Untersuchung des BSI zeigt, dass 3 der 10 untersuchten Passwort-Manager die Passwörter in einer Weise speichern, die Herstellern einen Zugriff zumindest theoretisch oder unter gewissen Bedingungen ermöglicht (Google Chrome, mSecure, PassSecurium). Dies erhöht prinzipiell die Angriffsfläche und erfordert zusätzliche Schutzmaßnahmen des Anbieters, denen Nutzende dann auch vertrauen müssen. Bei den Programmen von SecureSafe und S-Trust konnte nicht bewertet werden, ob der Anbieter auf die gespeicherten Inhalte zugreifen kann. Gibt der Hersteller an, Daten des Passwort-Managers in einer Cloud zu speichern, sollten Sie sich über den Ort der Speicherung und dessen Schutzniveau beim Hersteller informieren.