Passwort-Manager gelten seit Jahren als eine der wichtigsten Grundlagen moderner IT-Sicherheit. Sie sollen starke, einzigartige Kennwörter erzeugen, Zugangsdaten sicher speichern und Nutzer vor Credential-Stuffing oder Passwort-Wiederverwendung schützen. Doch was passiert, wenn genau diese „Tresore“ selbst öffentlich im Internet exponiert werden?
Eine aktuelle Analyse von Censys zeigt, wie groß die öffentlich erreichbare Infrastruktur von Passwort-Managern inzwischen geworden ist – und welche Risiken daraus entstehen. Die Forscher identifizierten weltweit mehr als 31.000 öffentlich erreichbare Passwort-Manager-Instanzen, darunter Bitwarden, Vaultwarden, Passbolt, Psono und Teampass.
Die eigentliche Erkenntnis dabei: Nicht die Existenz solcher Systeme ist das Problem – sondern ihre Fehlkonfigurationen, veralteten Versionen und die Tatsache, dass Passwort-Tresore zunehmend selbst zur Angriffsfläche werden.
Vaultwarden dominiert die Self-Hosting-Welt
Besonders auffällig ist die Dominanz von Vaultwarden. Laut Censys entfallen rund 62 Prozent aller beobachteten Installationen auf die in Rust geschriebene Open-Source-Alternative zu Bitwarden. Das überrascht kaum: Vaultwarden gilt als ressourcenschonender, einfacher zu hosten und bietet viele Funktionen der kostenpflichtigen Bitwarden-Version kostenlos an.
Die größten Konzentrationen öffentlich erreichbarer Passwort-Manager fanden die Forscher in: Deutschland, den USA und Frankreich. Auch die Hosting-Anbieter spiegeln dieses Muster wider: Hetzner, AWS und OVH stellen zusammen fast ein Viertel aller beobachteten Instanzen bereit. Gerade Hetzner profitiert dabei offenbar von zahlreichen Docker-Tutorials und einfachen Self-Hosting-Guides für Vaultwarden.
Jeder öffentlich erreichbare Passwort-Tresor ist „eine kritische CVE entfernt vom Desaster“
Besonders deutlich formuliert Censys die eigentliche Gefahr: Ein öffentlich erreichbarer Passwort-Manager sei „eine kritische CVE“. Und genau solche Schwachstellen existieren bereits. Die Forscher identifizierten über 1.700 Vaultwarden-Instanzen, die potenziell für zwei kritische Schwachstellen aus 2024 anfällig sind: CVE-2024-55224 und CVE-2024-55225.
Besonders kritisch: CVE-2024-55225 ermöglicht unter bestimmten Bedingungen die Übernahme privilegierter Accounts innerhalb von Organisations-Tresoren – ohne Kenntnis des Master-Passworts. Zwar bleiben persönliche Vault-Daten weiterhin verschlüsselt, doch innerhalb von Unternehmensumgebungen könnten Angreifer:
- Administratorrechte übernehmen,
- Schlüsselmaterial extrahieren,
- und Organisationsgeheimnisse entschlüsseln.
Damit wird aus einem simplen Passwort-Manager plötzlich ein potenzieller Single-Point of Failure für das komplette Unternehmen.
Die eigentliche Gefahr liegt tiefer: Passwort-Manager werden zur Infrastruktur
Der vielleicht wichtigste Punkt der Censys-Analyse liegt jedoch tiefer: Passwort-Manager sind längst keine einfachen lokalen Tools mehr. Sie entwickeln sich zunehmend zu: Cloud-Diensten, Webanwendungen, API-Plattformen und zentralen Identitäts-Hubs. Genau dadurch verändern sich auch die Angriffsflächen fundamental.
Frühere akademische Untersuchungen zeigen bereits seit Jahren, dass Passwort-Manager komplexe Sicherheitsprobleme mitbringen:
- unsichere Browser-Autofill-Funktionen,
- Clickjacking,
- Speicherlecks,
- kompromittierte Browser-Erweiterungen oder
- manipulierte Javascript-Auslieferung.
Besonders problematisch wird das bei webbasierten Passwort-Tresoren: Wenn Angreifer die Server-Infrastruktur kompromittieren, könnten sie manipulierten Code an Nutzer ausliefern – und so sogar Master-Passwörter abgreifen.
Genau diese Sorge wird inzwischen auch in Security-Communities intensiv diskutiert. Reddit-Nutzer weisen darauf hin, dass selbst „Zero-Knowledge“-Architekturen verwundbar werden, sobald die ausgelieferte Anwendung manipuliert wird.
Überraschend positiv: Self-Hoster patchen offenbar schneller als erwartet
Interessanterweise zeichnet die Analyse jedoch nicht nur ein negatives Bild. Entgegen vieler Vorurteile zeigt sich: Viele Betreiber selbst gehosteter Passwort-Manager aktualisieren ihre Systeme erstaunlich konsequent.
Laut Censys: laufen 65 Prozent aller beobachteten Vaultwarden-Instanzen auf Versionen, die nicht älter als fünf Monate sind, bei Bitwarden sind es 64 Prozent mit maximal sechs Monate alten Releases. Das widerspricht dem oft gezeichneten Bild fahrlässiger Self-Hosting-Administratoren.
Die Forscher vermuten: Wer die Verantwortung für einen eigenen Passwort-Tresor übernimmt, behandelt Updates oft deutlich ernster als bei gewöhnlichen Webanwendungen.
Trotzdem bleiben problematische Altlasten sichtbar: Knapp zehn Prozent der beobachteten Bitwarden-Instanzen nutzen laut Censys inzwischen nicht mehr unterstützte Versionen. Und genau diese Systeme werden für Angreifer besonders attraktiv.
MFA wird faktisch zur Pflicht
Ein weiteres klares Signal des Reports: Multi-Faktor-Authentifizierung darf bei öffentlich erreichbaren Passwort-Managern nicht optional sein. Denn moderne Angriffe konzentrieren sich längst nicht mehr nur auf Passwortdiebstahl:
- Credential Stuffing,
- Session Hijacking,
- Infostealer-Malware,
- Browser-Trojaner und
- kompromittierte Endgeräte
unterlaufen klassische Passwortsicherheit zunehmend. Selbst starke Master-Passwörter reichen deshalb nicht mehr aus.
Censys empfiehlt besonders sicherheitsbewussten Nutzern sogar, den zweiten Faktor getrennt vom Passwort-Manager aufzubewahren – also beispielsweise: Hardware-Tokens, dedizierte Authenticator-Apps oder physische Sicherheitsschlüssel zu nutzen.
Die eigentliche Lektion: Passwort-Manager lösen Passwortprobleme – schaffen aber neue Risiken
Der vielleicht wichtigste Punkt der Analyse ist ein strukturelles Dilemma moderner Sicherheit: Passwort-Manager reduzieren zwar massiv: Passwort-Wiederverwendung, schwache Kennwörter und Credential-Stuffing-Risiken, gleichzeitig bündeln sie jedoch hochkritische Geheimnisse an einem zentralen Ort. Damit entstehen neue „High-Value Targets“.
Ein kompromittierter Passwort-Manager bedeutet potenziell Zugriff auf:
- Unternehmenskonten,
- Cloud-Dienste,
- APIs,
- Bankzugänge,
- Entwicklungsplattformen und
- komplette digitale Identitäten.
Mit anderen Worten: Passwort-Manager verbessern Sicherheit insgesamt – erhöhen aber gleichzeitig den potenziellen Schaden eines erfolgreichen Angriffs enorm.
Fazit: Der Passwort-Tresor wird selbst zur Angriffsfläche
Die Censys-Analyse zeigt eindrucksvoll, wie sich Passwort-Manager verändern: Vom lokalen Hilfswerkzeug hin zu öffentlich erreichbarer Sicherheitsinfrastruktur. Gerade Self-Hosting-Lösungen wie Vaultwarden bieten zwar:
- Kontrolle,
- Datenschutz,
- Flexibilität und
- Unabhängigkeit von Cloud-Anbietern,
fordern jedoch gleichzeitig:
- konsequentes Patch-Management,
- Härtung,
- MFA,
- Monitoring und
- professionellen Betrieb.
Denn moderne Passwort-Manager sind längst nicht mehr nur „digitale Notizzettel“. Sie enthalten heute die Schlüssel zu kompletten digitalen Ökosystemen.
#Censys
