Bitwarden wurde angegriffen. Browser-Extensions infiziert. Passkeys sind die Alternative — und die zeigt gerade, warum sie Passwort-Managern überlegen ist.
Es war ein gewöhnlicher Dienstagvormittag im April, als die Meldung kam. Bitwarden — einer der beliebtesten Passwort-Manager weltweit mit geschätzten 25 Millionen Nutzern — hatte eine Supply-Chain-Attacke entdeckt. Angreifer hatten es geschafft, bösartigen Code in die Browser-Erweiterungen einzuschleusen. Betroffen waren Chrome, Firefox, Edge. Millionen Nutzer waren potenziell exponiert.
Die Nachricht verbreitete sich schnell in den IT-Sicherheitskanälen. Erstarrte Gesichter in den Redaktionen. Ein leises Pfeifen in den Büros der Security-Teams. Bitwarden galt als einer der vertrauenswürdigeren Anbieter. Open Source. Community-geprüft. Sicherheits-Audits regelmäßig bestanden. Und trotzdem. Der Vorfall reiht sich in eine Serie von Passwort-Manager-Angriffen ein, die zeigt: Die gesamte Kategorie steht unter Druck.
Sie haben Ihr Passwort noch nie richtig gesichert gefühlt? Mit Recht. Der Angriff war kein Einzelfall. Er war eine Warnung — an alle, die Passwort-Manager als Ultima Ratio der digitalen Sicherheit betrachten.
Die Angreifergruppe nutzte einen kompromittierten Update-Kanal. Die offizielle Erweiterung wurde nicht direkt angefasst — stattdessen schlichen sie sich durch einen Drittanbieter ein, der für Update-Signaturen zuständig war. Klassisch. Effektiv. Beängstigend.
Sie verstehen das Problem nicht, wenn Sie denken: „Ich nutze doch nur die offizielle Erweiterung.“ Genau das ist der Punkt. Bei Supply-Chain-Angriffen wird die Lieferkette attackiert — nicht das Endprodukt. Der Benutzer kann noch so vorsichtig sein. Wenn das Update, das er installiert, bereits vergiftet ist, nützt alle Vorsicht nichts.
Stellen Sie sich einen Supermarkt vor. Sie kaufen Milch. Die Milch ist in Ordnung — aber die LKW-Reifen, die die Milch angeliefert haben, waren manipuliert. Sie haben die Milch nie direkt angefasst. Trotzdem ist das Ergebnis verdorben.
Bei Bitwarden konkret: Ein Angreifer namens „Pinkish“ soll über Wochen hinweg bösartige Versionen der Browser-Extension verteilt haben. Die Extension lud automatische Updates. Der Schadcode wurde als Teil eines legitimen Prozesses getarnt. Kein Nutzer hätte das im normalen Betrieb bemerken können. Keine Warnung. Keine Meldung. Kein Popup. Einfach nur ein Update wie jedes andere.
Das Perfide daran: Passwort-Manager sind per Definition das Ziel. Sie speichern die Schlüssel zu allem. Bankdaten, Firmen-Logins, private Nachrichten. Wer einen Passwort-Manager kompromittiert, bekommt nicht nur ein Passwort — er bekommt den Zugang zu allem. Eine einzelne Vault kann Tausende von Zugangsdaten enthalten. Für Angreifer ist das ein Lotterieschein — und sie müssen nur einmal gewinnen.
Die Dunkelziffer ist erschreckend. Wie viele ähnliche Vorfälle bleiben unentdeckt? Wie viele Browser-Extensions sind bereits kompromittiert, aber noch nicht entlarvt? Die Branche spricht nicht gerne darüber. Aber die Zahlen, die in den Cybersecurity-Reports auftauchen, sprechen eine deutliche Sprache: Supply-Chain-Angriffe nehmen zu. Nicht, weil die Technologie schlechter wird — sondern weil die Anreize für Angreifer immer größer werden.
Betrachten wir den Ablauf nüchtern. Erstens: Der Angreifer infiltrierte den Software-Lieferanten, der für Signaturen zuständig war. Nicht Bitwarden selbst. Sondern ein Glied in der Kette, das niemand auf dem Schirm hatte. Zweitens: Pristine Code — die manipulierte Extension — wurde über offizielle Kanäle verteilt. Der Chrome Web Store. Das Firefox Add-on-Repository. Alles sah offiziell aus. Drittens: Automatische Updates luden den Schadcode auf Tausende Rechner. Ohne Zutun der Nutzer. Viertens: Der Code exportierte gespeicherte Passwörter und verschlüsselte Vault-Daten.
Was blieb den Betroffenen? Im besten Fall: sofort alle Passwörter ändern. Im schlechtesten Fall: hoffen, dass nichts passiert ist — und es irgendwann herausfinden, wenn es bereits zu spät ist.
Und die Liste der betroffenen Unternehmen liest sich wie das Who-is-Who der Tech-Welt. Nicht nur Privatanwender. Auch Firmenkunden. Mit Firmen-Lizenzen. Mit zentral verwalteten Konten. Die Admins mussten nicht nur ihre eigenen Passwörter ändern — sie mussten die gesamte Infrastruktur prüfen. Wer hatte Zugriff auf welchen Dienst? Welche Credentials waren potentiell exponiert? Das kostet Zeit. Viel Zeit. Und in der Zwischenzeit waren die Systeme in einer Art Schwebezustand, der für sicheres Arbeiten kaum geeignet war.
Bitwarden hat reagiert, wie Bitwarden reagieren konnte: Extension aus dem Store entfernt, neue Version veröffentlicht, Nutzer informiert. Die Reaktion war korrekt und zeitnah. Das ändert nichts daran, dass der Angriff passiert ist. Und es ändert nichts an der Tatsache, dass ähnliche Angriffe in Zukunft wieder passieren werden. Nicht weil Bitwarden versagt hat — sondern weil die Angriffs methode systematisch funktioniert.
Jetzt der Moment, in dem Passkeys ins Spiel kommen. Und diesmal ist es keine theoretische Diskussion. Es ist eine konkrete Reaktion auf einen realen Vorfall.
Passkeys nutzen Public-Key-Kryptografie — ein Schlüsselpaar. Der private Schlüssel bleibt auf Ihrem Gerät. Der öffentliche Schlüssel wird auf dem Server gespeichert. Selbst wenn der Server kompromittiert wird, hat der Angreifer nichts, was er nutzen kann. Er müsste Ihren privaten Schlüssel stehlen — und der verlässt Ihr Gerät nie. Kann nicht abgefangen werden. Kann nicht repliziert werden. Ist physisch an Ihre Hardware gebunden.
Das ist der fundamentale Unterschied. Passwort-Manager speichern Geheimnisse zentral. Passkeys machen Geheimnisse dezentral. Bei einem Passwort-Manager ist die Vault das Ziel. Bei Passkeys gibt es keine zentrale Vault, die zu stehlen sich lohnt. Es gibt keinen Datenbank-Backup, der gestohlen werden kann. Keine riesige Sammlung von Zugangsdaten, die auf dem Schwarzmarkt verkauft werden kann.
Ein Angreifer, der eine Passkey-Infrastruktur angreifen wollte, müsste nicht einen zentralen Server kompromittieren — er müsste Millionen einzelner Geräte angreifen. Das ist eine völlig andere Bedrohungssituation. Dezentralisierung ist nicht nur ein Architekturprinzip — es ist eine Sicherheitsstrategie.
Natürlich gibt es Einschränkungen. Passkeys werden noch nicht überall unterstützt. Die Infrastruktur ist noch im Aufbau. Aber die Richtung ist klar. Die großen Plattformen — Google, Apple, Microsoft — haben sich hinter den Standard gestellt. FIDO2/WebAuthn ist längst kein Nischenprodukt mehr. Die Standards sind ausgereift. Die Implementierungen werden von Jahr zu Jahr besser.
Das Problem der Bitwarden-Sache ist kein Problem von Bitwarden als Unternehmen. Es ist ein Problem der gesamten Architektur von Passwort-Managern. Sie sind集中ierte Ziele. Und Angriffe auf zentralisierte Ziele werden irgendwann erfolgreich sein. Immer. Das ist keine Kritik an Bitwarden — es ist eine Kritik an einem Systemansatz, der strukturell verwundbar bleibt.
Sagen Sie jetzt nicht: „Dann nutze ich einfach keine Passwort-Manager mehr.“ So einfach ist es nicht. So verlockend es klingt — die Realität ist komplizierter.
Solange Passkeys nicht universell einsetzbar sind, brauchen Sie eine Lösung für die Legacy-Systeme. Für ältere Webseiten, die seit 2012 nicht mehr aktualisiert wurden. Für Dienste, die noch keine Passkey-Unterstützung haben. Für die Hausbank, deren Online-Banking-Interface aus dem Jahr 2008 stammt und nur IE8-kompatibel ist.
Ein guter Passwort-Manager ist immer noch besser als kein Passwort-Manager. Die Alternative „überall dasselbe Passwort“ ist kein Sicherheitskonzept, sondern eine Einladung zur Katastrophe. Wenn ein Dienst kompromittiert wird und Sie überall dasselbe Passwort nutzen, ist alles weg. Mit einem Passwort-Manager haben Sie immerhin verschiedene, komplexe Passwörter pro Dienst. Das reduziert die Schadensreichweite.
Das Problem, das wir adressieren müssen, ist ein anderes: Wir können nicht davon ausgehen, dass ein Passwort-Manager uns sicher macht. Er ist ein Werkzeug. Ein gutes Werkzeug. Aber eines, das angreifbar bleibt. Die Frage ist nicht „Passwort-Manager oder nicht“ — die Frage ist „Welche zusätzlichen Schichten kann ich einbauen, damit ein Kompromittierungsereignis nicht zum Totalschaden führt“.
Was also tun? Erstens: Nutzen Sie einen Passwort-Manager — aber nicht als Alles-in-einem-Lösung, die alle Ihre digitalen Identitäten an einem Ort bündelt. Zweitens: Aktivieren Sie, wo immer möglich, Passkeys. Drittens: Aktivieren Sie Zwei-Faktor-Authentifizierung — nicht nur für Ihren Passwort-Manager, sondern für jeden Dienst, der es unterstützt.
Ein mehrschichtiges Sicherheitsmodell ist kein Overhead — es ist eine Notwendigkeit. Keine einzelne Maßnahme ist ausreichend. Aber die Kombination aus Passwort-Manager, Passkeys und Zwei-Faktor-Authentifizierung reduziert die Angriffsfläche drastisch.
Werfen wir einen Blick auf den aktuellen Stand der Dinge. Google unterstützt Passkeys seit Anfang 2023 flächendeckend. Apple hat sie in iOS und macOS integriert. Microsoft folgt mit Windows Hello. Die Grundinfrastruktur steht. Die Unterstützung wächst.
Das Problem ist die Adoption. Viele Dienste — besonders im deutschen Mittelstand — haben noch keine Passkey-Unterstützung. Die Migration ist aufwändig. Die Implementierung erfordert Entwicklungszeit. Viele Unternehmen warten ab, bis die Nachfrage da ist. Die Nachfrage ist da — aber das Angebot hinkt hinterher. Es ist ein klassisches Henne-Ei-Problem.
Dann ist da das Problem der Wiederherstellung. Passkeys sind an Geräte gebunden. Was passiert, wenn Sie Ihr Gerät verlieren? Die Wiederherstellungsmechanismen sind noch nicht so ausgereift wie bei klassischen Passwörtern. Die Backup-Codes müssen sorgfältig gesichert werden. Das ist ein Overhead, den viele Nutzer scheuen. Und ehrlich gesagt — für die meisten Menschen ist ein Passwort-Manager mit einer Master-Passphrase, die man in einem Safe hinterlegt, einfacher zu verstehen als ein System aus asymmetrischen Schlüsselpaaren.
Das alles sind Übergangsprobleme. Langfristig werden Passkeys Passwörter ablösen. Die Frage ist nur, wie lange der Übergang dauert. Und ob wir in der Zwischenzeit noch weitere Supply-Chain-Angriffe auf Passwort-Manager erleben werden. Wir werden. Das ist keine Vorhersage — das ist eine extrapolierte Erwartung aus den bisherigen Mustern.
Wir bei digital-magazin.de haben die Entwicklung von Passkeys seit zwei Jahren im Blick. Die Fortschritte sind real. Die Wachstumskurve ist steil. Aber die Realität ist auch, dass Milliarden von Passwörtern noch im Umlauf sind. Die Umstellung wird Jahre dauern. In dieser Zeit müssen wir das Beste aus beiden Welten machen — und gleichzeitig die Infrastruktur für die neue Welt aufbauen.
Unternehmen sind besonders exponiert. Ein kompromittiertes Firmenkonto bei einem Passwort-Manager kann existenzbedrohend sein. Die Schlagzeile „Firmenpasswörter gestohlen“ ist kein Medienereignis — sie ist ein Reputationsdesaster mit realen finanziellen Folgen. Kunden verlieren das Vertrauen. Partner trennen sich. Aufsichtsbehörden werden aktiv.
Konkrete Schritte, die Sie jetzt einleiten sollten. Erstens: Passkey-Rollout für unternehmenskritische Dienste priorisieren. Google Workspace, Microsoft 365, AWS — alle drei unterstützen Passkeys bereits. Zweitens: Passwort-Manager-Zugang mit hardwarebasierten 2FA absichern. YubiKey oder ähnliche Hardware-Token sind keine paranoide Spielerei. Drittens: Incident-Response-Plan für Passwort-Manager-Kompromittierung haben. Das klingt unangenehm — ist aber notwendig. Lieber einen Plan haben und nie brauchen, als in einer Krise keinen zu haben.
Was Sie nicht tun sollten: Auf den großen Anbieter X oder Y umsteigen in der Hoffnung, dass dieser sicherer ist. Bitwarden wurde angegriffen. 1Password wurde angegriffen — nicht erfolgreich, aber angegriffen. LastPass wurde mehrfach angegriffen — zuletzt mit verheerenden Folgen. Die Frage ist nicht „welcher Anbieter ist sicherer“ — die Frage ist „wie baue ich ein Sicherheitskonzept, das nicht von einem einzigen Tool abhängt“.
Zero-Trust-Architektur ist kein Buzzword. Es ist die Antwort auf genau diese Art von Angriffen. Jeder Zugriff wird verifiziert. Jede Anfrage wird geprüft. Kein System wird als vertrauenswürdig eingestuft nur weil es intern ist. Wenn ein Passwort-Manager kompromittiert wird, sollte das nicht automatisch Zugang zu allen Systemen bedeuten. Ihr Zero-Trust-Modell muss so aufgebaut sein, dass kompromittierte Credentials nicht direkt zu totalem Zugriff führen.
Die Bitwarden-Attacke ist kein isolierter Vorfall. Sie ist Teil einer größeren Bewegung, die Sicherheitsexperten seit Jahren alarmiert. Identity Abuse — der Missbrauch digitaler Identitäten — hat Malware als beliebteste Angriffsmethode abgelöst. Das zeigt: Angreifer haben verstanden, dass es einfacher ist, eine Identität zu stehlen, als Schadsoftware zu entwickeln, die Virenscanner umgeht.
Die Zahlen des Darktrace-Reports 2026 zeigen ein erschreckendes Bild: Deutschland ist Europas Hackerziel Nummer eins. Nicht weil deutsche Unternehmen besonders schlecht in IT-Sicherheit sind — sondern weil hier besonders viel zu holen ist. Deutsche Unternehmen sind wirtschaftlich stark. Sie haben geistiges Eigentum. Sie haben Kundenbeziehungen. Sie haben Zugangsdaten, die auf dem internationalen Schwarzmarkt wertvoll sind.
Stellen Sie sich vor: Ein Angreifer muss sich nicht mehr die Mühe machen, Schadsoftware zu entwickeln, die Virenscanner umgeht. Er muss nur einen Passwort-Manager kompromittieren. Dann hat er Zugang zu allem — und kann sich als legitimer Nutzer ausgeben. Das ist für Sicherheitsteams extrem schwer zu erkennen. Die Anmeldung kommt von einer legitimen IP. Mit legitimen Credentials. Zum legitimen Zeitpunkt. Die Firewall sieht eine reguläre Anmeldung. Das SIEM-System meldet keinen Alarm. Der Angreifer ist bereits drin, bevor jemand etwas bemerkt.
Passkeys ändern diese Gleichung fundamental. Selbst wenn jemand Ihre Passkey-Daten stiehlt — was technisch extrem schwierig ist — kann er sich nicht als Sie ausgeben. Der private Schlüssel ist an Ihr Gerät gebunden. Ein gestohlener öffentlicher Schlüssel ist wertlos. Es gibt keine Credentials, die replaybar sind. Kein Passwort, das in einer Rainbow-Table auftaucht. Kein Hash, der zu knacken ist.
Das ist der Grund, warum FIDO2/WebAuthn von Sicherheitsexperten weltweit als der wichtigste Schritt in der digitalen Sicherheit seit Jahren betrachtet wird. Nicht weil es bequemer ist als Passwörter. Sondern weil es die Angriffsoberfläche drastisch reduziert. Keine zentralen Vaults. KeinePasswort-Datenbanken, die zu stehlen sich lohnt. Keine Supply Chains, in die sich ein Angreifer einkaufen kann.
Lassen Sie uns das zusammenfassen, was wirklich relevant ist. Supply-Chain-Angriffe auf Passwort-Manager werden zunehmen. Bitwarden war der erste große Name in einer Serie — aber es wird nicht der letzte sein. Die Architektur von Passwort-Managern macht sie strukturell zu attraktiven Zielen. Eine zentrale Vault mit Millionen von Zugangsdaten ist ein einziger Angriffspunkt. Und irgendjemand wird ihn immer angreifen.
Passkeys sind die Antwort. Nicht perfekt. Nicht überall einsetzbar. Nicht sofort für jeden umsetzbar. Aber in ihrer Grundidee sind sie den Passwort-Managern fundamental überlegen. Sie eliminieren die zentrale Angriffsfläche. Sie machen Phishing praktisch unmöglich. Sie machen Credential-Stuffing sinnlos. Sie machen Supply-Chain-Angriffe auf Zugangsdaten zu einem Angriff auf Millionen einzelner Geräte — was technisch und wirtschaftlich in einer völlig anderen Liga spielt.
Was Sie konkret tun können: Aktivieren Sie Passkeys überall dort, wo es möglich ist. Beginnen Sie mit Ihren wichtigsten Konten — Google, Apple, Microsoft. Nutzen Sie einen Passwort-Manager als Übergangslösung für die Dienste, die noch keine Passkeys unterstützen. Aber verlieren Sie sich nicht in der Illusion, dass ein Passwort-Manager Sie vollständig schützt. Er ist ein Werkzeug in einem Werkzeugkasten — nicht der Werkzeugkasten selbst.
Der Bitwarden-Angriff war ein Weckruf. Nicht weil er besonders raffiniert war — sondern weil er zeigt, dass selbst die als sicher geltenden Lösungen verwundbar bleiben. Die Branche muss reagieren. Aber Sie können heute schon beginnen, die Weichen für eine sicherere Zukunft zu stellen.
Machen Sie den Schritt. Bevor es ein Angreifer für Sie tut.
Es gibt einen Grund, warum Passwort-Manager so beliebt sind. Menschen vertrauen dem Konzept eines Master-Passworts. Es ist ein Modell, das sie verstehen. Ein Schloss, ein Schlüssel. Sie haben die Kontrolle. Sie kennen das Master-Passwort. Niemand sonst.
Diese psychologische Einfachheit ist gleichzeitig die größte Stärke und die größte Schwäche von Passwort-Managern. Die Stärke: Menschen akzeptieren das Modell. Sie nutzen es. Sicherheit, die nicht akzeptiert wird, ist wertlos. Die Schwäche: Die Einfachheit verleitet dazu, den Passwort-Manager als Allheilmittel zu betrachten.
Passkeys sind für viele Menschen noch abstrakt. „Was ist ein öffentlicher Schlüssel?“ Diese Frage ist berechtigt. Die Antwort ist nicht in einem Satz zu geben. Das ist ein Kommunikationsproblem, das die Branche noch lösen muss. Bis dahin werden Passwörter und Passwort-Manager ein notwendiges Übel bleiben.
Der Bitwarden-Vorfall könnte ein Katalysator sein. Er zeigt, dass die vermeintliche Sicherheit eines Passwort-Managers eine Illusion sein kann. Wenn selbst Bitwarden — ein Open-Source-Projekt mit regelmäßigen Audits — kompromittiert werden kann, was bedeutet das für die anderen Anbieter? Die Antwort ist unbequem: Es bedeutet, dass die gesamte Kategorie mit Vorsicht zu betrachten ist.
Passkeys bieten einen Ausweg. Aber der Übergang braucht Zeit. Und in der Zwischenzeit gilt: Nutzen Sie Ihren Passwort-Manager, aber behandeln Sie ihn wie das, was er ist — ein Werkzeug mit bekannten Limitationen. Nicht mehr, aber auch nicht weniger.
Für Unternehmen kommt noch ein weiterer Aspekt hinzu: Compliance. Viele Branchenregulierungen verlangen bestimmte Sicherheitsstandards. Ein Passwort-Manager kann diese Standards teilweise erfüllen — aber der Bitwarden-Vorfall zeigt, dass ein Audit alleine nicht ausreicht. Die Lieferkette ist ein Blinder Fleck in den meisten Compliance-Frameworks.
Passkeys verschieben das Compliance-Problem. Statt zu fragen „Ist unser Passwort-Manager sicher?“, fragt man „Unterstützen wir die modernsten verfügbaren Authentifizierungsmethoden?“. Das ist eine andere — und ehrlich gesagt bessere — Frage.
Die Zeit der Ausreden ist vorbei. Passkeys funktionieren. Sie sind skalierbar. Sie sind von den großen Plattformen unterstützt. Was jetzt noch fehlt, ist der Mut, sie flächendeckend einzuführen — und der Druck von Nutzerseite, die Hersteller dazu zwingt.
