Wie man ein Passwortmanager-Sicherheitsaudit liest: Cure53, ISE, SOC 2 — und was jedes davon tatsächlich abdeckt
Verschiedene Audit-Typen prüfen Verschiedenes. Cure53 deckt die kryptografische Implementierung ab; SOC 2 deckt organisatorische Kontrollen ab. Hier ist, was jeder große Passwortmanager tatsächlich veröffentlicht hat.
Die drei relevanten Audit-Typen
(1) Kryptografie- / Penetrations-Audit — eine Sicherheitsfirma (Cure53, ISE, NCC Group, Praetorian) prüft die kryptografische Implementierung, die Server-Zugriffskontrollen und die Client-Apps und berichtet Befunde mit Schweregrad-Einstufungen. Das Audit ist aussagekräftig, wenn der vollständige Bericht mit Name des Prüfers, Datum und Umfang veröffentlicht wird. (2) SOC 2 Type II — ein Audit organisatorischer Kontrollen zu Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz auf operativer Ebene über ein Beobachtungsfenster von 6+ Monaten. (3) ISO 27001 — eine Zertifizierung eines Informationssicherheits-Managementsystems. Type 1 ≠ Type 2, der Umfang zählt mehr als das Siegel.
Was jeder Manager veröffentlicht hat
Bitwarden: jährliche Audits durch Dritte (Cure53, ISE, Insight Risk Consulting); Berichte verlinkt von bitwarden.com/help/is-bitwarden-audited. 1Password: SOC 2 Type II + ISE-Penetrationstests; Audit-Historie unter 1password.com/security-audit. Proton Pass: vollständiges Cure53-Sicherheitsaudit zum Start (2023, keine kritischen Befunde, moderate Befunde vor dem Launch behoben) laut proton.me/blog/pass-launch. NordPass: Cure53-White-Box-Audit Feb. 2020, zweites Cure53-Audit für NordPass Business 2021, SOC 2 Type 2, ISO-27001-zertifiziert laut nordpass.com/features/security. KeePassXC: community-auditierter Open Source — kein beauftragtes Audit durch Dritte, aber der Quellcode ist öffentlich auf GitHub.
Warnsignale im Audit-Marketing
(1) Ein Audit, das von einer Wirtschaftsprüfungsgesellschaft ohne genannten Namen einer Sicherheitsfirma durchgeführt wurde. (2) Ein Audit-Umfang, der auf „die Anwendung“ beschränkt ist, ohne anzugeben, welche Komponenten. (3) Ein Audit, das älter als 24 Monate ist, bei einem Produkt, dessen Architektur sich geändert hat. (4) Ein zusammenfassendes Schreiben statt eines vollständigen Berichts. (5) Ein Audit, das vor einem größeren Versions-Release durchgeführt wurde, das die kryptografische Implementierung wesentlich verändert hat. Keiner der fünf Manager in diesem Vergleich passt zu diesen Mustern; die Kommunikation von LastPass nach dem Datenleck (aus diesem Vergleich ausgeschlossen) wies hingegen mehrere davon auf.
Was ein Audit nicht abdeckt
Audits dokumentieren, was die Sicherheitsfirma zu einem bestimmten Zeitpunkt geprüft hat. Sie decken keine Supply-Chain-Angriffe ab (kompromittierte npm-Abhängigkeiten im Client-Build), kein Insider-Risiko beim Anbieter und keine neuen Schwachstellen, die nach dem Audit-Fenster entdeckt werden. Die Verteidigungen dagegen sind quelloffene Clients (damit Forscher jedes Release unabhängig verifizieren können — Bitwarden, Proton Pass, KeePassXC), Bug-Bounty-Programme (1Password betreibt Bugcrowd; Bitwarden betreibt HackerOne) und architektonische Entscheidungen wie der 1Password Secret Key (ein zusätzliches, lokal gespeichertes Geheimnis, das bewirkt, dass ein Server-Datenleck allein die Tresore nicht entschlüsseln kann).
Quellen
Bitwarden-Audits: bitwarden.com/help/is-bitwarden-audited. 1Password-Sicherheitsaudits: 1password.com/security-audit. Proton Pass Cure53-Audit: proton.me/blog/pass-launch. NordPass-Sicherheit: nordpass.com/features/security. Cure53: cure53.de. ISE: securityevaluators.com. Alle URLs abgerufen am 2026-04-30.