Unser alltägliches Leben wird maßgeblich von unterschiedlichsten digitalen Diensten bestimmt. Vom Online-Shopping über Banking bis hin zu E-Mail-Konten und Social-Media-Accounts. Für all diese Dinge werden Passwörter benötigt. Umso wichtiger, dass diese sicher sind. Das BSI hat jetzt zehn gängige Passwortmanager genauer unter die Lupe genommen.
Was hat die Untersuchung des BSI ergeben?
Gemeinsam mit dem FZI Forschungszentrum Informatik, hat sich das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, zehn gängige Passwortmanager genau angeschaut. Das Testergebnis: Einige von ihnen haben deutlichen Verbesserungsbedarf. Im Rahmen der Untersuchung wurden folgende Programme analysiert:
- 1 Password
- Avira Password Manager
- Chrome Password Manager
- Keepass2 Android
- KeePassXC
- Mozilla Firefox Password Mnager
- mSecure-Password Manager
- PassSecurium
- SecureSafe Password-Manager
- S-Trust Password Manager
Alle geprüften digitalen Tresore unterstützen einen zweiten Faktor, was ein gutes Sicherheitsmerkmal ist. Ferner wurden vom BSI weitere Aspekte überprüft. Beispielsweise, ob es eine Wiederherstellungsoption gibt, falls das Masterpasswort verloren geht, oder ob der Manager sich automatisch sperrt, wenn er eine Zeit lang nicht genutzt wird. Ein wesentlicher Aspekt war zudem die Frage, ob tatsächlich der komplette Inhalt verschlüsselt wird. Hier zeigten sich deutliche Unterschiede zwischen den Anwendungen. Nur „1 Password“, „Keepass2 Android“ sowie „KeePassXC“ verschlüsseln den gesamten Datenbestand vollständig. Bei anderen Programmen werden teilweise Metadaten oder Inhalte im Klartext belassen. Das ist ein potenzielles Sicherheitsrisiko. Besonders kritisch ist die Möglichkeit des Herstellerzugriffs. Sowohl „Chrome Password Manager“, „mSecure“ als auch „PassSecurium“ erlauben technisch gesehen den Zugriff durch den Anbieter. Dadurch könnten Daten theoretisch eingesehen oder abgegriffen werden. Das BSI bewertet diesen Punkt als erhebliches Sicherheitsrisiko. In diesem Zusammenhang rät die Behörde besonders Google-Usern:
„Nutzende sollten bei der Synchronisation über das Google-Konto in den Einstellungen eine eigene Passphrase setzen.“
Zu welchem Fazit kommt das BSI?
Trotz der festgestellten Mängel macht das Bundesamt für Sicherheit in der Informationstechnik deutlich, dass Passwortmanager unverzichtbar sind. Sie schützen im Alltag wesentlich besser als einfache oder wiederverwendete Passwörter. Denn noch immer gehören Passwörter wie „hallo“ oder „123456“ zu den meistgenutzten. Solche schwachen Passwörter sind ein offenes Einfallstor für Cyberangriffe. Ein guter Passwortmanager reduziert Risiken wie Phishing, Identitätsdiebstahl und kompromittierte Konten erheblich. Ein wesentlicher Vorteil der Manager ist auch, dass sich komplexe, einzigartige Passwörter ohne großen Aufwand erstellen und sicher speichern lassen. Laut BSI überwiegen die Vorteile daher ganz klar die Nachteile. Dennoch sollten sich Nutzer gründlich informieren und verschiedene Dienste vergleichen. Dabei sollte der Fokus insbesondere auf vollständiger Verschlüsselung, offenen Sicherheitskonzepten und Schutzmechanismen liegen.
Wie können Hersteller Sicherheit und Vertrauen stärken?
Das BSI informiert auch darüber, dass viele beteiligte Unternehmen nach der Untersuchung aktiv den Dialog mit der Behörde suchten und teilweise bereits Verbesserungen einleiteten. Diese kooperative Haltung zeigt, dass Transparenz ein entscheidender Schlüssel für Sicherheit ist. Nur wenn User nachvollziehen können, wie ein Passwortmanager arbeitet, kann Vertrauen entstehen. Daher empfiehlt die Behörde den Herstellern:
- Sicherheitskonzepte öffentlich zu dokumentieren
- Alle kryptografischen Verfahren offenzulegen
- Ausschließlich etablierte Kryptografie einzusetzen
- Den Herstellerzugriff vollständig technisch ausschließen
- Sämtliche Daten zu verschlüsseln
Hinterlasse jetzt einen Kommentar