password-security-guideINFO

Passworks russische Verbindungen: Was die Recherche ergab und wie Sie einen vertrauenswürdigen Passwort-Manager wählen

Eine OCCRP-Recherche ergab, dass Passwork, ein als europäisch vermarkteter Passwort-Manager, russische Ursprünge und fortbestehende Verbindungen hat, darunter eine Schwesterfirma, die vom FSB zertifiziert ist. Was berichtet wurde und die Vertrauens-Checkliste für die Wahl eines Passwort-Managers.

Von Eric Gerard · Redakteur · PwdFortress3 Min. LesezeitPhoto: Pexels

Ihr Passwort-Manager ist die sensibelste App, die Sie besitzen - er verwahrt die Schlüssel zu allem anderen. Eine Recherche vom Juli 2026 zu Passwork, einem als europäisch vermarkteten Manager, dem jedoch tiefe russische Verbindungen nachgesagt werden, ist es daher wert, in Ruhe verstanden zu werden. Hier ist, was die Berichterstattung tatsächlich sagt, und, nützlicher noch, die Checkliste, auf die sie für die Wahl eines wirklich vertrauenswürdigen Passwort-Managers verweist.

Was die Recherche ergab

Laut einer Recherche des OCCRP (Organized Crime and Corruption Reporting Project), mit bestätigender Berichterstattung von der Irish Times, DutchNews, den NL Times und Cybernews, präsentiert sich Passwork als europäisches Produkt (mit Sitz in Spanien, unter passwork.pro), hat aber russische Ursprünge, die für seine Nutzer nicht im Vordergrund standen.

Die zentralen Punkte aus der Berichterstattung:

  • Die Software lässt sich auf Arkhangelsk in Russland zurückführen, wo die russischsprachige Seite passwork.ru erstmals 2014 registriert wurde.
  • Eine russische Schwesterfirma ist vom Sicherheitsdienst FSB zertifiziert - eine Zertifizierung, die der Berichterstattung zufolge eine Prüfung des Quellcodes durch staatlich anerkannte Auditoren erfordert.
  • Das europäische (passwork.pro) und das russische (passwork.ru) Produkt haben Berichten zufolge dasselbe Update auf Version 7.6 im Abstand von einem Tag ausgeliefert, was auf eine gemeinsame Codebasis hindeutet.
  • Die Unternehmensstruktur erstreckt sich über mehrere Rechtsordnungen, und das Produkt wurde von europäischen Behörden und Universitäten genutzt, darunter irische staatliche Stellen und niederländische Firmen.

Um präzise und fair zu sein: Die Berichterstattung behauptet keine bewiesene Backdoor. Die Frage, die sie aufwirft, ist eine des Vertrauens, der Transparenz und der Rechtsprechung.

Warum das Vertrauen in einen Passwort-Manager so wichtig ist

Die meisten Softwarefehler bleiben begrenzt. Ein Passwort-Manager ist anders, weil er jede Zugangsdaten verwahrt, die Sie besitzen. Wenn das Unternehmen dahinter unerklärte Verbindungen zu einem staatlichen Sicherheitsdienst hat - einem, der seinen Code prüft - dann lautet die Frage nicht nur „gibt es einen Fehler?", sondern „wer hat letztlich Einfluss auf das, was all meine Konten schützt?". Deshalb ordnen die in der Recherche zitierten Experten es als Risiko auf staatlicher Ebene ein, und deshalb ist Transparenz über Eigentum und Rechtsprechung für diese Kategorie kein netter Zusatz. Sie ist der ganze Sinn der Sache.

Eine Hand hält ein Vorhängeschloss aus Messing. Ein Passwort-Manager verwahrt jede Zugangsdaten, die Sie besitzen, was die Frage, wem Sie seinen Bau anvertrauen, zur wichtigsten überhaupt macht.
Eine Hand hält ein Vorhängeschloss aus Messing. Ein Passwort-Manager verwahrt jede Zugangsdaten, die Sie besitzen, was die Frage, wem Sie seinen Bau anvertrauen, zur wichtigsten überhaupt macht.

So wählen Sie einen vertrauenswürdigen Passwort-Manager

Das ist die praktische Erkenntnis, und sie gilt weit über ein einzelnes Produkt hinaus. Wenn Sie einen Passwort-Manager auswählen, achten Sie auf vier Dinge:

  • Transparentes Eigentum und Rechtsprechung. Sie sollten ohne eine Recherche herausfinden können, wer das Unternehmen führt und unter wessen Gesetzen es tätig ist.
  • Open-source-Code plus aktuelle unabhängige Audits. Offener Code erlaubt unabhaengigen Pruefern, die Angaben zu ueberpruefen; Audits durch Dritte prüfen, ob die Sicherheit hält. Zusammen machen sie aus „vertraut uns" ein „überprüft es selbst".
  • End-to-end-, zero-knowledge-Verschlüsselung. Ihr Tresor sollte mit einem Schlüssel verschlüsselt sein, der auf Ihrem Gerät aus Ihrem Passwort abgeleitet wird, sodass der Anbieter selbst ihn nicht lesen kann - der stärkste strukturelle Schutz, den es gibt.
  • Eine echte Erfolgsbilanz. Langlebigkeit und eine saubere, transparente Historie sind für etwas so Sensibles von Bedeutung.

Manager wie Bitwarden (open-source und auditiert), Proton Pass (mit Sitz in der Schweiz und auditiert) und NordPass (unabhängig auditiert) sind Beispiele, die diese Kriterien erfüllen - siehe unseren Beitrag dazu, ob Passwort-Manager sicher sind, und die beste kostenlose Passwort-Manager, um zu erfahren, wie man sie vergleicht.

Was tun, wenn Sie Passwork nutzen

Keine Panik, aber prüfen Sie es. Lesen Sie die Berichterstattung, wägen Sie die offengelegten Verbindungen gegen Ihr eigenes Bedrohungsmodell ab, und wenn Sie sich nicht wohlfühlen, migrieren Sie zu einer transparenten, auditierten zero-knowledge-Alternative - und ändern Sie dabei Ihre wichtigsten Passwörter von einem sauberen Gerät aus. In der Berichterstattung genannte Organisationen überprüfen Berichten zufolge ihre Nutzung; als Einzelperson können Sie diese Entscheidung schneller treffen.

Das Fazit: Bei der Passwork-Geschichte geht es weniger darum, dass ein einzelnes Produkt „gehackt" wurde, als vielmehr um eine Lektion, die für sie alle gilt. Weil ein Passwort-Manager alles schützt, wählen Sie einen, dessen Eigentum transparent ist, dessen Code offen und auditiert ist und dessen Verschlüsselung bedeutet, dass er Ihren Tresor nicht lesen könnte, selbst wenn er wollte.

Häufig gestellte Fragen

Was ergab die Recherche zu Passwork?

Laut einer im Juli 2026 veröffentlichten OCCRP-Recherche und Berichten von Medien wie der Irish Times, DutchNews und Cybernews hat Passwork - ein als europäisches, in Spanien ansässiges Produkt präsentierter Passwort-Manager - russische Ursprünge und fortbestehende Verbindungen. Die Berichterstattung führt die Software auf Arkhangelsk in Russland zurück, wo die russischsprachige Seite passwork.ru erstmals 2014 registriert wurde, und gibt an, dass eine russische Schwesterfirma vom Sicherheitsdienst FSB zertifiziert ist, ein Verfahren, das eine Prüfung des Quellcodes durch staatlich anerkannte Auditoren erfordert. Die europäische und die russische Version sollen zudem dasselbe Update auf Version 7.6 im Abstand von nur einem Tag ausgeliefert haben, was auf eine gemeinsame Codebasis hindeutet.

Ist Passwork unsicher in der Nutzung?

Die Berichterstattung behauptet keine bewiesene Backdoor; die Bedenken, die Experten äußern, betreffen Vertrauen, Transparenz und Rechtsprechung. Ein Passwort-Manager verwahrt jede Zugangsdaten, die Sie besitzen, sodass unerklärte Verbindungen zu einem staatlichen Sicherheitsdienst, der den Code prüft, laut der Recherche ein ernst zu nehmendes Sicherheitsrisiko auf staatlicher Ebene darstellen - insbesondere für Behörden und Unternehmen. Ob dieses Risiko akzeptabel ist, muss jeder Nutzer und jede Organisation selbst entscheiden, aber es ist genau die Art von Sache, über die ein Passwort-Manager völlig transparent sein sollte.

Wie wähle ich einen vertrauenswürdigen Passwort-Manager?

Achten Sie auf vier Dinge. Transparenz darüber, wem das Unternehmen gehört und unter welcher Rechtsprechung es tätig ist. Open-source-Code plus aktuelle unabhängige Sicherheitsaudits, damit sich die Angaben überprüfen und nicht nur glauben lassen. End-to-end-, zero-knowledge-Verschlüsselung, sodass der Anbieter selbst Ihren Tresor nicht lesen kann. Und eine solide Erfolgsbilanz. Manager wie Bitwarden (open-source, auditiert), Proton Pass (schweizerisch, auditiert) und NordPass (unabhängig auditiert) sind Beispiele, die diese Kriterien erfüllen.

Was sollte ich tun, wenn ich Passwork nutze?

Keine Panik, aber prüfen Sie es. Lesen Sie die Berichterstattung, wägen Sie die offengelegten Verbindungen gegen Ihr eigenes Bedrohungsmodell ab, und wenn Sie sich nicht wohlfühlen, wechseln Sie zu einer transparenten, auditierten zero-knowledge-Alternative und ändern Sie Ihre wichtigsten Passwörter von einem sauberen Gerät aus, während Sie migrieren. In der Berichterstattung genannte Organisationen überprüfen Berichten zufolge ihre Nutzung; Einzelpersonen können dieselbe Entscheidung schneller treffen.

Macht open-source einen Passwort-Manager sicherer?

Es hilft, weil es unabhaengigen Pruefern erlaubt, den Code zu pruefen, statt dem Wort des Anbieters zu vertrauen - das Prinzip „don't trust, verify". Open-source ist am stärksten, wenn es mit regelmäßigen Audits durch Dritte und zero-knowledge-Verschlüsselung kombiniert wird. Für sich allein ist es keine Garantie, aber zusammen mit Audits und einem transparenten Eigentümer ist es eines der klarsten Signale, dass ein Passwort-Manager vertrauenswürdig ist.