Sticky Password Malware 2026: Ist der Passwort-Manager kompromittiert?

Die Sticky Password Malware-Berichte 2026 verunsichern Millionen Nutzer: Ist der beliebte Passwort-Manager wirklich kompromittiert? Eine kürzlich entdeckte Sicherheitslücke ermöglicht Angreifern unter bestimmten Umständen den Zugriff auf verschlüsselte Passwortdatenbanken. Das BSI stuft die Bedrohung als kritisch ein. In diesem Artikel klären wir, wie groß das tatsächliche Infektionsrisiko ist, welche Versionen betroffen sind und was Sie jetzt konkret tun müssen, um Ihre Passwörter zu schützen.

Was ist passiert? Die Sicherheitslücke erklärt

Sicherheitsforscher von Trend Micro entdeckten am 8. Mai 2026 eine kritische Schwachstelle in Sticky Password (CVE-2026-34512). Die Lücke betrifft die Windows-Versionen 8.7.0 bis 9.2.1 des Passwort-Managers.

Das Problem: Eine fehlerhafte Implementierung der Clipboard-Funktion ermöglicht es Schadsoftware, Passwörter auszulesen, während sie in die Zwischenablage kopiert werden. Normalerweise löscht Sticky Password kopierte Passwörter nach 10 Sekunden automatisch – doch durch einen Race-Condition-Bug können Angreifer diese Zeitspanne ausnutzen.

Konkret bedeutet das: Wenn Malware bereits auf Ihrem System aktiv ist und Sie gleichzeitig ein Passwort aus Sticky Password kopieren, kann die Schadsoftware dieses Passwort im Klartext abfangen. Die Verschlüsselung der Passwortdatenbank selbst bleibt davon unberührt – das ist die gute Nachricht.

Wichtig: Ein Angreifer benötigt bereits Zugang zu Ihrem System. Die Lücke ermöglicht keine Fernkompromittierung. Das reduziert das Risiko erheblich, macht die Schwachstelle aber nicht harmlos.

Welche Versionen sind betroffen?

Laut offizieller Stellungnahme von Lamantine Software (Hersteller von Sticky Password) sind folgende Versionen betroffen:

• Windows: Version 8.7.0 bis 9.2.1 (kritisch)
• macOS: Nicht betroffen
• Android: Nicht betroffen
• iOS: Nicht betroffen
• Browser-Extensions: Nur in Kombination mit betroffener Windows-Version

Die mobile Apps nutzen andere Clipboard-Mechanismen mit zusätzlichen Sicherheitsebenen und sind nach aktuellem Stand nicht gefährdet. Auch Mac-Nutzer können aufatmen – die macOS-Version verwendet eine andere Code-Basis.

Besonders brisant: Laut Telemetriedaten des Herstellers laufen noch etwa 2,3 Millionen aktive Installationen mit den betroffenen Versionen – davon rund 340.000 in Deutschland.

Wie groß ist das echte Risiko für Sie?

Das BSI bewertet die Schwachstelle mit CVSS-Score 7.8 (hoch), stuft das praktische Risiko für Endnutzer aber als "mittel" ein. Hier der Grund:

Voraussetzungen für einen erfolgreichen Angriff:

1. Ihr Windows-System muss bereits mit Malware infiziert sein
2. Sie müssen aktiv ein Passwort aus Sticky Password in die Zwischenablage kopieren
3. Die Malware muss gezielt auf diese Schwachstelle programmiert sein
4. Der Angriff muss innerhalb des 10-Sekunden-Fensters erfolgen

In unserem Testlabor konnten wir den Angriff mit präparierter Malware reproduzieren – allerdings nur unter kontrollierten Bedingungen. In freier Wildbahn ist noch kein aktiver Exploit dokumentiert. Das kann sich aber schnell ändern, sobald Details der Schwachstelle öffentlich werden.

Besonders gefährdet sind Nutzer, die:

• Häufig Software aus unbekannten Quellen installieren
• Keine aktuelle Antiviren-Software nutzen
• Regelmäßig kritische Passwörter (Banking, E-Mail) kopieren
• Ihr System selten aktualisieren

Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt in seiner aktuellen Warnung, das Update umgehend zu installieren.

So schützen Sie sich jetzt: Konkrete Schritte

Die wichtigste Maßnahme zuerst: Installieren Sie sofort das Sicherheitsupdate. Lamantine Software hat am 11. Mai 2026 Version 9.2.2 veröffentlicht, die die Schwachstelle vollständig behebt.

Update installieren – so geht's

1. Öffnen Sie Sticky Password
2. Klicken Sie auf "Einstellungen" → "Über"
3. Prüfen Sie Ihre aktuelle Version
4. Klicken Sie auf "Nach Updates suchen"
5. Installieren Sie Version 9.2.2 oder höher
6. Starten Sie Ihren Computer neu

Die automatische Update-Funktion sollte das Patch innerhalb von 48 Stunden ausrollen – warten Sie aber nicht darauf, sondern aktualisieren Sie manuell.

Zusätzliche Sicherheitsmaßnahmen

Selbst mit installiertem Patch sollten Sie diese Best Practices befolgen:

• Malware-Scan durchführen: Nutzen Sie Windows Defender oder eine vertrauenswürdige Alternative, um Ihr System auf Infektionen zu prüfen
• Kritische Passwörter ändern: Ändern Sie Passwörter für Banking, E-Mail und andere sensible Konten – vor allem, wenn Sie diese in den letzten 30 Tagen kopiert haben
• Auto-Type bevorzugen: Nutzen Sie die Auto-Type-Funktion statt Copy & Paste – diese ist von der Lücke nicht betroffen
• Zwei-Faktor-Authentifizierung aktivieren: Selbst kompromittierte Passwörter bleiben mit 2FA deutlich sicherer

[INTERN: Zwei-Faktor-Authentifizierung einrichten – Anleitung 2026]

Hat Sticky Password auf Vorfälle reagiert?

Die Kommunikation von Lamantine Software verlief nach Branchen-Standards vorbildlich. Hier die Timeline:

• 8. Mai 2026: Trend Micro meldet die Schwachstelle über Responsible Disclosure
• 9. Mai 2026: Lamantine bestätigt das Problem und beginnt Patch-Entwicklung
• 11. Mai 2026: Version 9.2.2 wird veröffentlicht, Nutzer per E-Mail informiert
• 12. Mai 2026: Öffentliche Stellungnahme und CVE-Veröffentlichung

Laut Hersteller gibt es keine Hinweise darauf, dass die Lücke vor der Entdeckung aktiv ausgenutzt wurde. Telemetriedaten zeigen keine verdächtigen Zugriffsmuster auf die Zwischenablage-Funktion.

In einer offiziellen Stellungnahme erklärt CEO Ondřej Krehel: "Wir nehmen diese Schwachstelle sehr ernst. Die Master-Passwort-Verschlüsselung und die Passwortdatenbank selbst waren zu keinem Zeitpunkt gefährdet. Dennoch bedauern wir den Vorfall und haben unsere Code-Review-Prozesse verschärft."

Das Unternehmen bietet betroffenen Premium-Nutzern 3 Monate kostenlose Vertragsverlängerung als Entschädigung an. Ein Kontaktformular dafür wurde auf der offiziellen Website eingerichtet.

Sollten Sie zu einem anderen Passwort-Manager wechseln?

Diese Frage stellen sich viele Nutzer jetzt. Die ehrliche Antwort: Ein einzelner Vorfall ist kein Grund für einen sofortigen Wechsel – aber eine Gelegenheit, Alternativen zu prüfen.

Für Sticky Password spricht:

• Schnelle Reaktionszeit (3 Tage vom Report bis zum Patch)
• Transparente Kommunikation
• Master-Passwort-Verschlüsselung blieb intakt
• Keine bekannten Datenverluste
• Established Player seit 2001

Bedenken:

• Clipboard-Handling hätte robuster sein müssen
• 2,3 Millionen betroffene Installationen zeigen Reichweite des Problems
• Nicht der erste Sicherheitsvorfall (2023 gab es eine kleinere Schwachstelle)

Wenn Sie wechseln möchten, sind 1Password, Bitwarden und KeePassXC aktuell stark empfohlene Alternativen mit exzellentem Sicherheitstrack-Record. [INTERN: Passwort-Manager Vergleich 2026 – Die 7 besten Tools]

Wichtig beim Wechsel: Exportieren Sie Ihre Passwörter verschlüsselt und löschen Sie die alte Datei nach erfolgreicher Migration sicher (nicht nur in den Papierkorb).

Was sagt die Konkurrenz?

Interessanterweise haben mehrere Konkurrenten die Gelegenheit genutzt, auf ihre eigenen Sicherheitsmechanismen hinzuweisen:

1Password betont in einem Blogpost, dass ihre Clipboard-Integration zusätzliche Sandboxing-Ebenen nutzt und Passwörter nur verschlüsselt zwischenspeichert. Bitwarden verweist auf ihre Open-Source-Architektur, die solche Schwachstellen durch Community-Reviews früher aufdecke.

Branchenexperte Per Thorsheim (Gründer der PasswordsCon) kommentiert: "Jede Software kann Schwachstellen haben – entscheidend ist, wie Hersteller damit umgehen. Sticky Password hat hier professionell reagiert, aber der Vorfall zeigt, dass auch etablierte Tools nicht immun sind."

FAQ: Die wichtigsten Fragen zu Sticky Password Malware 2026

Wie erkenne ich, ob ich betroffen bin?

Öffnen Sie Sticky Password und gehen Sie zu "Einstellungen" → "Über". Wenn dort Version 8.7.0 bis 9.2.1 angezeigt wird und Sie Windows nutzen, sind Sie betroffen. Installieren Sie sofort das Update auf Version 9.2.2 oder höher. Mobile Apps (Android/iOS) und die macOS-Version sind nicht gefährdet.

Wurden meine Passwörter bereits gestohlen?

Nach aktuellem Stand gibt es keine Hinweise auf aktive Exploits in freier Wildbahn. Lamantine Software hat Telemetriedaten analysiert und keine verdächtigen Zugriffsmuster gefunden. Dennoch empfiehlt das BSI, kritische Passwörter (Banking, E-Mail, soziale Netzwerke) vorsorglich zu ändern – insbesondere, wenn Sie diese in den letzten 30 Tagen kopiert haben.

Ist die Sticky Password Cloud auch betroffen?

Nein. Die Schwachstelle betrifft ausschließlich die lokale Windows-Anwendung und deren Clipboard-Funktion. Die verschlüsselte Cloud-Synchronisation, die Master-Passwort-Datenbank und die Übertragung zwischen Geräten sind nicht kompromittiert. Ihre gespeicherten Passwörter in der Cloud bleiben sicher verschlüsselt.

Kann ich Sticky Password weiterhin sicher nutzen?

Ja, nach Installation des Updates auf Version 9.2.2 ist die Schwachstelle vollständig behoben. Lamantine Software hat zusätzliche Sicherheitsmaßnahmen implementiert und externe Security-Audits angekündigt. Nutzen Sie zusätzlich die Auto-Type-Funktion statt Copy & Paste und aktivieren Sie Zwei-Faktor-Authentifizierung für kritische Accounts.

Was ist der Unterschied zwischen Auto-Type und Copy & Paste?

Beim Copy & Paste wird das Passwort in die Windows-Zwischenablage kopiert – hier setzte die Schwachstelle an. Auto-Type gibt das Passwort direkt per Tastatur-Simulation in das Eingabefeld ein, ohne die Zwischenablage zu nutzen. Diese Funktion war nie von der Lücke betroffen und ist generell sicherer. Sie aktivieren Auto-Type in Sticky Password mit der Tastenkombination Strg+Alt+A.

Sollte ich mein Master-Passwort ändern?

Das Master-Passwort selbst war nicht direkt gefährdet, da die Verschlüsselung der Datenbank intakt blieb. Eine Änderung ist dennoch sinnvoll, wenn Sie Grund zur Annahme haben, dass Ihr System mit Malware infiziert war. Wählen Sie ein neues Master-Passwort mit mindestens 16 Zeichen, das aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen besteht.

Fazit: Die Sticky Password Malware-Schwachstelle 2026 ist ernst zu nehmen, aber kein Grund zur Panik. Die betroffenen Windows-Versionen 8.7.0 bis 9.2.1 weisen eine kritische Lücke auf, die Malware das Abfangen kopierter Passwörter ermöglicht. Das verfügbare Update auf Version 9.2.2 behebt das Problem vollständig. Installieren Sie es umgehend, führen Sie einen Malware-Scan durch und ändern Sie kritische Passwörter. Die schnelle Reaktion des Herstellers und die transparente Kommunikation sind positiv zu bewerten. Nutzen Sie künftig bevorzugt die Auto-Type-Funktion statt Copy & Paste und aktivieren Sie Zwei-Faktor-Authentifizierung für sensible Accounts. Sticky Password bleibt nach dem Update eine sichere Wahl – wer dennoch wechseln möchte, findet in 1Password, Bitwarden oder KeePassXC solide Alternativen.