Stand: 11.12.2025

Wir nehmen die veröffentlichte Gefährdungsanalyse des BSI ernst und möchten die Ergebnisse transparent einordnen. Wir verstehen, dass die Berichterstattung Verunsicherung auslösen kann. Darum finden Sie unten eine kurze, sachliche Einordnung zum Prüfgegenstand und zu unseren nächsten Schritten.

Was genau geprüft wurde

Der veröffentlichte BSI-Steckbrief bezieht sich ausschliesslich auf unsere Privat-Pakete (FREE & Standard), die in den mobilen Versionen 1.1.63 (Android) und 2.1.2 (iOS) im April 2025 getestet wurden. Business-Pakete waren nicht Gegenstand dieser Verbraucherschutzanalyse und sind von der Schlussfolgerung nicht betroffen.

Business-Pakete und Zero-Knowledge

PassSecurium wurde von Grund auf für den Einsatz in Unternehmen konzipiert. Es wurde ursprünglich aus unserer Sicherheitsplattform SWISS SECURIUM entwickelt (ein weiteres Business-Produkt aus unserem Portfolio). PassSecurium folgt einem strikten Sicherheitsmodell: Jede Kundeninstanz ist isoliert, mit einem individuellen Instanz-Masterpasswort verschlüsselt sowie mit zentralen Sicherheits-Policies, MFA sowie Geräte- und Zugriffsmanagement von Kunden individuell gesteuert. Nach der Vergabe des Masterpassworts ist ein technischer Zugriff unsererseits auf Tresorinhalte nicht mehr möglich. Damit ist das Zero-Knowledge-Konzept bei unseren Business-Paketen seit Beginn gewährleistet.

Einordnung zur Schlüsselverwaltung in den Privat-Paketen (FREE & Standard)

Der BSI-Steckbrief weist darauf hin, dass in den Privat-Paketen (FREE & Standard) Schlüssel serverseitig vorliegen können und daraus eine theoretische Zugriffsmöglichkeit abgeleitet wird. Uns ist wichtig, diese Aussage korrekt einzuordnen: Die Schlüssel sind separat gespeichert und streng geschützt. Ein Zugriff auf Tresorinhalte ist bei uns organisatorisch nicht möglich und wird durch klare Prozesse und Kontrollen abgesichert.

Dazu gehören insbesondere Need-to-know-Zugriffsmodelle, Trennung von Aufgaben, revisionssichere Protokollierung sowie weitere technische Schutzmassnahmen in der Betriebsumgebung. Zusätzlich betreiben wir ein nach ISO/IEC 27001 zertifiziertes ISMS und führen regelmässige interne und externe Penetrationstests sowie laufende Security-Reviews durch.

Kontinuierliche Sicherheitsprüfungen und Updates

PassSecurium wird laufend gewartet und weiterentwickelt. Regelmässige Sicherheitsprüfungen - intern wie extern - sind ein fester Bestandteil unserer Produktentwicklung. Erkenntnisse daraus sowie die Ergebnisse des BSI fliessen konsequent in unsere Verbesserungsmassnahmen ein. Seit dem Prüfzeitraum wurden zudem Updates für die mobilen Apps ausgeliefert, die mehrere der im Bericht genannten Punkte adressieren. Wir empfehlen allen Nutzerinnen und Nutzern, ihre App stets auf dem neuesten Stand zu halten.

Master-Upgrade (Version 3.0)

Parallel zur laufenden Produktwartung arbeiten wir seit über einem Jahr an einem Master-Upgrade. Die Entscheidung für eine grundlegende Überarbeitung des Kryptokonzepts – mit dem Ziel, es auf einen heute etablierten Standard zu bringen – wurde bereits vor der BSI-Analyse getroffen; die Arbeiten liefen während der Studie parallel weiter.

Das Master-Upgrade Version 3.0 ist bereits intern sowie bei ausgewählten Pilotkundinnen und -kunden im Einsatz. Der globale Rollout ist für Januar 2026 eingeplant.

Was bedeutet das für Sie als Kund:innen?

Business‑Kund:innen

• Ihre Business‑Instanzen sind nicht Gegenstand der BSI‑Bewertung und nicht von den genannten Punkten betroffen. Kein Handlungsbedarf.

• Auf Wunsch stellen wir technische Nachweise und Audit‑Unterlagen bereit.

Privat-Pakete (FREE & Standard):

• Bitte nutzen Sie die aktuellste App-Version und planen Sie das Upgrade auf Version 3.x ein, sobald es global ausgerollt ist.
• Wir verstehen, dass die Berichterstattung Besorgnis auslösen kann. Falls Sie sich als Privatkunde dennoch gegen eine weitere Lösung entscheiden, zeigen wir Verständnis und akzeptieren in diesem Zusammenhang auch eine ausserordentliche Kündigung Ihres Privat-Abonnements.

Transparenz & Kontakt

Wir stehen für eine klare und überprüfbare Kommunikation. Bei Fragen erreichen Sie uns über Ihren Ansprechpartner oder über unser Supportanfrage-Formular. 
 

Primärquelle: BSI-Abschlussbericht "Gefährdungsanalyse ausgewählter Passwort-Manager"