BSI warnt vor Googles Passwortmanager – Nutzer sollten Chrome-Einstellungen ändern
12. Dezember 2025
Eine aktuelle Untersuchung des BSI offenbart ein gravierendes Problem: einige Passwortmanager speichern Zugangsdaten so, daß Hersteller darauf zugreifen können. Einer der Kandidaten, die im Test durchfallen, ist der Google-Passwortmanager. Denn die Einbindung in den hauseigenen Browser Chrome macht das Tool zum Einfallstor für Hacker.
Aus dem Bericht des BSI geht hervor: "Bei 3 von 10 der untersuchten Produkte werden die Passwörter so abgelegt, daß Hersteller theoretisch darauf zugreifen könnten." Für Chrome bedeutet das: bei aktivierter Synchronisierung kann Google auf Daten zugreifen. Die Behörde rät ausdrücklich: "Nutzer sollten bei der Synchronisation über das Google-Konto in den Einstellungen eine eigene Passphrase setzen."
Google selbst meldete bereits im Juni 2025, daß die Verteidigung gegen Kontoübernahmen immer schwieriger werde. Angreifer versuchen demnach verstärkt, Passwörter, MFA-Tokens und Cookies zu stehlen. Wird ein Google-Konto übernommen, droht weit mehr Schaden als nur der Verlust von E-Mails – besonders, wenn Chrome-Sync aktiv ist.
Google bewirbt den Chrome-Browser mit komfortablen Features, wie "Lesezeichen, Passwörter und mehr" auf allen eingeloggten Geräten zu synchronisieren. Der Browserverlauf, geöffnete Tabs, Zahlungsdaten, Adresse und mehr stehen so überall und jederzeit zur Verfügung. Diese Datenspeicherung macht ein kompromittiertes Konto hochattraktiv für Angreifer.
Die schiere Menge an Daten, die Chrome sammelt, macht das Google-Konto zur zentralen Schwachstelle. Nutzer sollten Passkeys für den Passwortmanager setzen, um ein einfaches Auslesen der Passwörter zu verhindern. Eine weitere Methode zur Erhöhung der Passwort-Sicherheit ist die Nutzung von Multi-Faktor-Authentifizierung (MFA) ohne SMS – also etwa per Extra-App. Am besten ist es jedoch, die Sync-Einstellungen zu prüfen und gegebenenfalls einzuschränken. Wer wirklich auf der sicheren Seite sein möchte, hat letztlich die Möglichkeit, Passwörter nicht im Browser zu speichern und stattdessen externe Passwortmanager zu nutzen.