Thought Leadership
Der Passwortmanager Proton Pass hat eine externe Sicherheitsprüfung erfolgreich bestanden. Die Architektur wurde als überdurchschnittlich sicher bewertet.
Der Schweizer Anbieter von verschlüsselten Kommunikationsdiensten, Proton, hat die Ergebnisse einer umfassenden Sicherheitsuntersuchung für seinen Passwortmanager Proton Pass vorgelegt. Die Prüfung wurde von der unabhängigen Sicherheitsberatung Recurity Labs durchgeführt und deckte den Zeitraum zwischen Januar und April 2026 ab. Im Fokus standen dabei sämtliche Schnittstellen des Dienstes, darunter die Browser-Erweiterungen, die mobilen Applikationen, die Desktop-Anwendungen sowie die Befehlszeilenschnittstelle. Das Ergebnis der Analyse bescheinigt dem Dienst ein Sicherheitsniveau, das deutlich über dem Branchendurchschnitt liegt.
Proton Pass: Nur ein Problem mit mittlerem Schweregrad
Die Experten von Recurity Labs führten eine detaillierte Begutachtung der gesamten Infrastruktur von Proton Pass durch. Hierbei wurden nicht nur die herkömmlichen Endnutzer-Applikationen auf iOS, Android, Windows und macOS untersucht, sondern auch die für professionelle Anwender relevante Command Line Interface (CLI). Die monatelange Untersuchung zielte darauf ab, potenzielle Schwachstellen in der Programmierung und im Design der Verschlüsselungsprotokolle aufzudecken.
In ihrem Abschlussbericht halten die Auditoren fest, dass die allgemeine Sicherheitshaltung der Lösung als überdurchschnittlich zu bewerten ist. Zwar wurden im Verlauf des Assessments mehrere technische Unregelmäßigkeiten identifiziert, diese stellten jedoch in der Mehrzahl lediglich ein geringes Risiko dar. Ein einziges Problem mit mittlerem Schweregrad wurde im Rahmen der Prüfung dokumentiert. Proton hat nach Angaben der Prüfer umgehend auf diesen Befund reagiert und die entsprechende Schwachstelle bereits während des laufenden Audit-Prozesses behoben.
Keine Anzeichen für kritische Hintertüren oder Fernzugriffe
Ein zentraler Aspekt der Untersuchung war die Suche nach Möglichkeiten zur Umgehung der Verschlüsselung. Die Analysten von Recurity Labs konnten keine Anhaltspunkte für sogenannte Backdoors, Abkürzungen in der Kryptografie oder die Verwendung schwacher Schlüssel finden, die die Sicherheit der gespeicherten Daten untergraben könnten. Die Ende-zu-Ende-Verschlüsselung, die den Kern von Proton Pass bildet, blieb in allen Testszenarien intakt.
Zudem wurden keine Pfade für Remote-Exploits identifiziert. Dies bedeutet, dass zum Zeitpunkt der Prüfung keine Methode existierte, mit der ein Angreifer aus der Ferne und ohne physischen Zugriff auf das Endgerät die Kontrolle über die Passwortdatenbank erlangen könnte. Die Auditoren betonten jedoch in ihrem Bericht, dass das Fehlen eines konkreten Exploit-Pfads in der aktuellen Version nicht als endgültiger Beweis für die absolute Fehlerfreiheit gewertet werden darf. Mit fortschreitender Entwicklung und Veränderungen im Ausführungskontext der Software wird eine kontinuierliche Überwachung empfohlen.
Optimierung des Speichermanagements und der Laufzeitsicherheit
Neben der Prüfung der Kernfunktionen gaben die Experten von Recurity Labs eine Reihe von Empfehlungen zur weiteren Härtung des Systems ab. Diese bezogen sich primär auf den Umgang mit sensiblen Informationen im Arbeitsspeicher (RAM) während der aktiven Nutzung der Anwendung. Das Ziel dieser Maßnahmen ist es, sicherzustellen, dass kryptografische Geheimnisse so kurz wie möglich im Speicher verbleiben und nach Gebrauch sicher gelöscht werden, um lokale Ausleseversuche zu erschweren.
Weitere Empfehlungen betrafen die Laufzeitsicherheit und Implementierungspraktiken, die über das primäre Bedrohungsmodell hinausgehen. Proton hat erklärt, diese Hinweise ernst zu nehmen und bereits Fixes für die identifizierten Punkte implementiert zu haben. Son Nguyen Kim, ein beteiligter Entwickler bei Proton, bezeichnete Sicherheitsaudits als wesentliche Gelegenheit, um Implementierungen über die Kernanforderungen hinaus zu testen und stetig zu verbessern. Die Zusammenarbeit mit Recurity Labs habe wertvolle Erkenntnisse geliefert, um die Sicherheitsarchitektur weiter zu festigen.
Proton Pass ist Teil einer umfassenderen Infrastruktur, die mittlerweile von über 100 Millionen Menschen weltweit genutzt wird. Zum Dienstleistungsspektrum des Unternehmens gehören unter anderem Proton VPN, ProtonMail und der Cloud-Speicherdienst Proton Drive. Sämtliche Dienste basieren auf dem Prinzip der Zero-Access-Verschlüsselung. Das bedeutet technisch, dass Daten verschlüsselt werden, bevor sie die Geräte der Nutzer verlassen. Proton selbst verfügt über keine technischen Mittel, um auf die Klartextdaten der Kunden zuzugreifen. Das Unternehmen betreibt zudem eine umfangreiche globale Infrastruktur für seinen VPN-Dienst, die mehr als 6.000 Server in etwa 100 Ländern umfasst. Die Strategie des Anbieters basiert auf einer strengen No-Log-Policy und dem schweizerischen Datenschutzrecht.
