16. Dezember 2025, 13:29 Uhr | Lesezeit: 2 Minuten
Eine aktuelle Untersuchung des BSI offenbart ein gravierendes Problem: Einige Passwortmanager speichern Zugangsdaten so, dass Hersteller darauf zugreifen können. Einer der Kandidaten, die im Test durchfallen, ist der Google-Passwortmanager. Denn die Einbindung in den hauseigenen Browser Chrome macht das Tool zum Einfallstor für Hacker.
BSI warnt vor Chrome als Passwortmanager
Aus dem Bericht des BSI geht hervor: „Bei 3 von 10 der untersuchten Produkte werden die Passwörter so abgelegt, dass Hersteller theoretisch darauf zugreifen könnten.“ Für Chrome bedeutet das: Bei aktivierter Synchronisierung kann Google auf Daten zugreifen. Die Behörde rät ausdrücklich: „Nutzende sollten bei der Synchronisation über das Google-Konto in den Einstellungen eine eigene Passphrase setzen.“
Google selbst meldete bereits im Juni 2025, dass die Verteidigung gegen Kontoübernahmen immer schwieriger werde. Angreifer versuchen demnach verstärkt, Passwörter, MFA-Tokens und Cookies zu stehlen. Wird ein Google-Konto übernommen, droht weit mehr Schaden als nur der Verlust von E-Mails – besonders, wenn Chrome-Sync aktiv ist.
Sicherheitslücken in beliebten Gratis-Passwortmanagern entdeckt
So muss man seinen neuen Router einrichten
Chrome ist eine Maschine zur Datensammlung
Google bewirbt den Chrome-Browser mit komfortablen Features, wie „Lesezeichen, Passwörter und mehr“ auf allen eingeloggten Geräten zu synchronisieren. Der Browserverlauf, geöffnete Tabs, Zahlungsdaten, Adresse und mehr stehen so überall und jederzeit zur Verfügung. Diese Datenspeicherung macht ein kompromittiertes Konto hochattraktiv für Angreifer.
Auch interessant: OpenAI startet Browser-Offensive auf Chrome und Co.
Mit neuen KI-gestützten Autofill-Funktionen wächst der Datenumfang nur weiter. Chrome kann neuerdings etwa Treuekarten, Reisedetails und mehr aus Google Wallet ziehen.
Was Nutzer tun sollten
Die schiere Menge an Daten, die Chrome sammelt, macht das Google-Konto zur zentralen Schwachstelle. Nutzer sollten Passkeys für den Passwortmanager setzen, um ein einfaches Auslesen der Passwörter zu verhindern. Eine weitere Methode zur Erhöhung der Passwort-Sicherheit ist die Nutzung von Multi-Faktor-Authentifizierung (MFA) ohne SMS – also etwa per Extra-App. Am besten ist es jedoch, die Sync-Einstellungen zu prüfen und gegebenenfalls einzuschränken. Wer wirklich auf der sicheren Seite sein möchte, hat letztlich die Möglichkeit, Passwörter nicht im Browser zu speichern und stattdessen externe Passwortmanager zu nutzen.