Ein als rein europäisches Produkt vermarkteter Passwortmanager steht im Zentrum massiver Sicherheitsbedenken. Recherchen des Organized Crime and Corruption Reporting Project (OCCRP) decken auf, dass die in Spanien ansässige Passwork Europe SL direkte technische Verbindungen zu einem russischen Schwesterunternehmen unterhält. Dieses ist von russischen Staatsbehörden zertifiziert und beliefert unter anderem sanktionierte Raketenhersteller.
Wie viel russischer Informationstechnologie steckt eigentlich im angeblich „rein europäischen“ Passwortmanager von Passwork Europe SL? Das spanische IT-Sicherheitsunternehmen rühmt sich auf seiner Website mit dem Slogan „Passwork – European company built for trust“ und einem „Made in EU 2017“-Siegel. Noch in diesem Jahr versicherte das Unternehmen in veröffentlichten Richtlinien, es gebe keinerlei Verbindungen zu russischen oder anderen außereuropäischen Unternehmen. Diese Behauptung wurde nach ersten Medienanfragen klammheimlich von der Website gelöscht.
Tatsächlich teilen sich die europäische Software und ihr russisches Pendant, Passwork LLC, denselben Quellcode. Die Updates beider Systeme erfolgen nahezu zeitgleich, die Benutzerhandbücher sind fast identisch und beide Firmen nutzen dasselbe Logo. Die Wurzeln des Produkts liegen im nordrussischen Archangelsk, wo die Russen Ilja Garach und Andrej Pjankow die Software im Juni 2014 ins Leben riefen. Die aktuellen Updates für den europäischen Markt fließen über eine undurchsichtige Firma namens Passwork FZ-LLC in den Vereinigten Arabischen Emiraten, die von einem der russischen Gründer geleitet wird.
Passwork, a Spain-based password manager used by European government agencies and universities, shares technological ties with a Russian counterpart — an arrangement that experts say poses a state-level security risk.https://t.co/Su8dkINkVa
— Organized Crime and Corruption Reporting Project (@OCCRP) July 17, 2026
Die Brisanz des Falls liegt in den Kunden und Zertifizierungen der russischen Passwork LLC. Die Firma verfügt über Freigaben des Inlandsgeheimdienstes FSB sowie der FSTEC, einer dem russischen Verteidigungsministerium unterstellten Behörde. Solche Zertifizierungen setzen in Russland eine detaillierte Offenlegung und Prüfung des Quellcodes voraus. Cybersicherheitsexperten warnen deshalb vor einem enormen Risiko auf Staatsebene. Bart van den Berg vom niederländischen Clingendael-Institut betont, dass der russische Staat durch den Zugriff auf den Code tiefgreifende Einblicke in Schwachstellen gewinnen oder gezielt Hintertüren einbauen könnte. Da beide Produkte den gleichen Codebaustamm nutzen, beträfen derartige Schwachstellen unweigerlich auch die europäische Version.
Alexander Muntyan, CEO und alleiniger Aktionär der spanischen Passwork Europe SL, bestreitet eine aktive Verbindung zum russischen Pendant. Man teile weder Kunden noch Server, Kundendaten oder administrativen Zugang. Muntyan verweist auf eine „Zero-Knowledge-Architektur“, bei der Kundendaten auf privaten Servern gespeichert und lokal verschlüsselt werden. Er räumte jedoch den gemeinsamen Ursprung des Quellcodes ein und bestätigte, die Rechte an der Software von der Firma aus den Vereinigten Arabischen Emiraten erworben zu haben.
JUST OUT: 🔴 A 'European' Password Manager’s Russian Origins
— Organized Crime and Corruption Reporting Project (@OCCRP) July 17, 2026
Read more in OCCRP Weekly, our flagship email newsletter on the latest in organized crime and corruption: https://t.co/snk4Sc2iCL
Subscribe: https://t.co/a0oYFqcEID pic.twitter.com/1xGMgxOFQp
Obwohl bislang noch keine schadhaften Codes oder konkrete Datenabflüsse nachgewiesen wurden, offenbart der Fall eklatante Lücken bei der Überprüfung von Softwarelieferanten durch den öffentlichen Sektor. Zu den ahnungslosen europäischen Kunden des vermeintlichen EU-Passwortmanagers zählen unter anderem drei irische Regierungsbehörden, die Technische Universität Dresden sowie der IT-Dienstleister der Brüsseler Regionalregierung.
Wer braucht da noch irgendwelche „russischen Hacker“, wenn sich europäische Behörden und Institutionen über den vom russischen Geheimdienst freigegebenen Quellcode von Sicherheitssoftware gleich potentielle Hintertürchen installieren lassen? Als ob die allgegenwärtige Spionage der US-Geheimdienste und Big Tech über die US-Informationstechnologie und die Sammelei der chinesischen Geheimdienste über deren Elektroautos, sowie über deren Solar- und Windenergietechnologie, wie auch die totalen Überwachungsfantasien der europäischen Politiker nicht schon genug wären. Da stellt sich die Frage, wer sich denn eigentlich noch nicht die Mühe macht, Unmengen an Informationen abzugreifen…





