Warum 81% der Angriffe Ihren Passwort-Manager umgehen

Das Schloss an Ihrer digitalen Haustuer hat einen Generalschluessel

Sie haben fuenfzehn Minuten investiert, um ein zufaellig generiertes Passwort mit 24 Zeichen fuer Ihr Bankkonto zu erstellen. Sie haben die Zwei-Faktor-Authentifizierung aktiviert. Ihr Passwort-Manager arbeitet mit biometrischer Entsperrung und Zero-Knowledge-Verschluesselung. Nach dem Standardlehrbuch haben Sie alles richtig gemacht.

Nichts davon spielte eine Rolle, als ein Infostealer 1.861 Session-Cookies von einem einzigen infizierten Geraet abgriff.

Die Zahl stammt aus der SpyCloud-Analyse von 2025 ueber durch Malware exfiltrierte Daten, die ueber 20 Milliarden gestohlene Session-Cookies in einem einzigen Jahr zurueckgewonnen hat. Die Konsequenz ist weitreichend: Angreifer brauchen Ihr Passwort nicht mehr. Sie brauchen einen Cookie aus Ihrem Browser, der besagt "diese Person hat sich bereits eingeloggt", und schon passieren sie Ihre 24-Zeichen-Festung, Ihre MFA-Abfrage und selbst Ihre neuen Passkeys.

Ihr Passwort-Manager hat ein groesseres Problem als Sie denken

Im Februar 2026 veroeffentlichten Forschende der ETH Zuerich und der Università della Svizzera italiana Ergebnisse, die jeden Nutzer eines Passwort-Managers aufhorchen lassen sollten. Sie deckten 25 verschiedene Passwort-Wiederherstellungsangriffe bei den vier populaersten cloudbasierten Managern auf: Bitwarden sah sich 12 Angriffsszenarien gegenueber, LastPass sieben, Dashlane sechs. Zusammen schuetzen diese Plattformen ueber 60 Millionen Nutzer und 125.000 Unternehmen.

Die Angriffe reichen von Metadaten-Lecks bis zur vollstaendigen Kompromittierung des Tresors. Die Forschenden zeigten, dass die "Zero-Knowledge-Verschluesselung", das zentrale Verkaufsargument jedes Passwort-Managers, durch die Ausnutzung von Schluesselverwahrung, fehlerhafte Verschluesselung auf Elementebene und Schwachstellen in Freigabefunktionen umgangen werden kann. Dass die Studie von der ETH Zuerich stammt, einer der weltweit renommiertesten technischen Hochschulen, verleiht den Ergebnissen besonderes Gewicht.

Dieses Ergebnis bedeutet nicht, dass Sie Ihren Passwort-Manager morgen loeschen sollten. Es bedeutet, dass das Werkzeug ein notwendiges Minimum darstellt, nicht den Sicherheitsschild, fuer den die meisten es halten.

Session-Hijacking: Der Angriff, der Authentifizierung irrelevant macht

Hier ist das unbequeme Muster: 87 Prozent der erfolgreichen Cyberangriffe im Jahr 2024 nutzten Session-Hijacking nach einem gueltigen MFA-Login. Der Angreifer knackt weder Ihr Passwort noch faengt er Ihren Einmalcode ab. Er wartet, bis Sie Ihre Identitaet bestaetigt haben, und stiehlt dann das Session-Token, das Ihr Browser nach erfolgreicher Authentifizierung erzeugt.

Stellen Sie es sich so vor: Ihr Passwort ist der Schluessel, MFA ist das Sicherheitsschloss. Aber ein Session-Cookie ist die Tuer, die nach dem Durchgehen weit offen stehen bleibt, und das tagelang, manchmal wochenlang.

Infostealer-Malware wie RedLine und Raccoon operiert mittlerweile im industriellen Massstab. Eine einzelne Malware-Kampagne kann 548 Millionen Passwoerter und 17 Milliarden Session-Cookies gleichzeitig abernten. Kriminelle buendeln diese gestohlenen Sitzungen zu kommerziellen Produkten auf Untergrundmaerkten wie dem Genesis Store, komplett mit Browser-Fingerabdruecken und IP-Adressen zur nahtlosen Identitaetsuebernahme.

Adversary-in-the-Middle-Phishing-Angriffe (AiTM) stiegen 2025 um 146 Prozent, mit fast 40.000 taeglich erkannten Vorfaellen. Sie positionieren sich zwischen Ihnen und der legitimen Anmeldeseite und erfassen Zugangsdaten sowie Session-Tokens in Echtzeit.

Passkeys beseitigen die Angriffsflaeche — doch kaum jemand kann sie nutzen

Passkeys stellen einen echten architektonischen Paradigmenwechsel dar. Statt ein gemeinsames Geheimnis an den Server zu uebermitteln, nutzt ein Passkey Public-Key-Kryptographie, die an Ihr spezifisches Geraet gebunden ist. Serverseitig gibt es nichts zu stehlen, da der private Schluessel das Geraet niemals verlaesst. Die FIDO Alliance berichtet, dass Passkeys inzwischen ueber 15 Milliarden Konten eine passwortlose Authentifizierung ermoeglichen, mit einer Erfolgsquote von 93 Prozent gegenueber 63 Prozent bei herkoemmlichen Anmeldedaten. Das Bundesamt fuer Sicherheit in der Informationstechnik (BSI) empfiehlt Passkeys bereits als bevorzugte Authentifizierungsmethode.

Dienste, die Passkeys eingefuehrt haben, melden Kontoubernahme-Raten nahe null.

Die Luecke, ueber die niemand offen spricht: Nur etwa 48 Prozent der 100 groessten Websites unterstuetzen Passkeys. Jenseits dieser Spitzengruppe sinkt die Unterstuetzung stark ab. Ihre Bank, Ihr Gesundheitsportal, das Legacy-VPN Ihres Arbeitgebers laufen hoechstwahrscheinlich noch mit Passwoertern und SMS-basierter MFA.

Zeitgleich wurden 16 Milliarden Zugangsdaten Mitte 2025 offengelegt, verteilt auf 30 Datensaetze im Darknet. Viele dieser Passwoerter waren frisch von Infostealern geerntet, also zum Zeitpunkt der Offenlegung aktiv und in Gebrauch.

Was Sie heute tatsaechlich schuetzt

Die kontraintuitive Erkenntnis lautet nicht, dass Passwort-Manager nutzlos waeren. Sie loesen das Problem von gestern, waehrend die heutigen Angriffe sich auf Session-Tokens und Post-Authentifizierungsvektoren verlagert haben.

Eine zeitgemaesse Sicherheitsstrategie fuer 2026 umfasst: den Passwort-Manager beibehalten, ohne ihn fuer unverwundbar zu halten; Passkeys ueberall aktivieren, wo sie verfuegbar sind; Session-Hygiene ebenso ernst nehmen wie Passwort-Hygiene, durch konsequentes Abmelden bei sensiblen Konten und die Trennung von Bank-Sitzungen in separaten Browser-Profilen; Endpoint-Schutz einsetzen, der Infostealer erkennt; und wachsam gegenueber AiTM-Phishing bleiben.

Ihr Passwort-Manager ist nicht obsolet. Aber das Bedrohungsmodell, fuer das er konzipiert wurde, ist es. Das 24-Zeichen-Passwort Ihres Bankkontos ist weiterhin relevant — nur nicht aus den Gruenden, die Sie vermuten. Der eigentliche Kampf findet nach dem Login statt, und das ist ein Gefecht, fuer das Ihr Passwort-Manager nie gebaut wurde.