Empfohlen, aber verbesserungswürdig Borns IT- und Windows-Blog

Passwörter gehören zum Alltag bei der Nutzung von Online-Diensten: E-Mail-Dienste, Online-Shopping, soziale Netzwerke etc. Zur Verwaltung von Passwörtern dienen Passwortmanager. Doch wie sicher sind diese Programme? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wollte es wissen und nachforschen. Fazit des BSI: Es gibt Raum für Verbesserungen, aber eine klare Empfehlung zum Einsatz von Passwort-Managern.

Laut BSI bieten Passwortmanager eine Möglichkeit zur Verwaltung von Passwörtern und leisten damit einen wesentlichen Beitrag zur Sicherheit von Online-Konten. Aufgrund der Sensibilität der in Passwortmanagern gespeicherten Daten bestehen jedoch hohe Anforderungen an deren IT-Sicherheit. Um die Umsetzung dieser Anforderungen zu analysieren, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit dem FZI Forschungszentrum Informationstechnologien diese Produktkategorie analysiert und die IT-Sicherheitseigenschaften von zehn ausgewählten Passwortmanagern analysiert.

Es gibt Raum für Verbesserungen

Wie bei jeder Software gibt es auch bei individuellen Passwort-Managern Verbesserungspotenzial, schreibt das BSI in seiner Bewertung. Drei von zehn Passwortmanagern analysierten gespeicherte Passwörter so, dass Hersteller theoretisch darauf zugreifen könnten.

Grundsätzlich erhöht sich dadurch die Angriffsfläche seitens des Herstellers, die durch zusätzliche Ausgleichsmaßnahmen abgemildert werden muss. Auf diese zusätzlichen Maßnahmen müssen sich die Nutzer verlassen.

Ihr Passwort in der Cloud

Werden cloudbasierte Daten im Passwort-Manager gespeichert, sollten Verbraucher den Speicherort und das vom Hersteller vorgesehene Schutzniveau kennen, rät das BSI. Diese Informationen finden Sie beispielsweise auf der Website des Herstellers, in den Nutzungsbedingungen der Produkte oder in den Datenschutzhinweisen.

Tipp: Es gibt keinen Grund, Passwort-Manager zu verlassen

Obwohl das BSI der Ansicht ist, dass bestehende Lösungen verbessert werden müssen, sieht es trotz ihrer Mängel keinen Grund, auf Passwort-Manager zu verzichten. Aus Sicht des BSI überwiegen die Vorteile bei weitem. Das BSI sagt: Die Wiederverwendung von Passwörtern oder die Verwendung schwacher Passwörter kann die Anfälligkeit für Phishing erhöhen, sodass die Risiken durch den Verzicht auf einen Passwort-Manager deutlich größer sind als die Unzulänglichkeiten einzelner Produkteinstellungen.

Der aktuelle Bericht Computersicherheit im digitalen Verbrauchermarkt: Fokus auf Passwort-Manager enthält weitere Informationen zu den sicherheitsrelevanten Eigenschaften der Produkte.

Trotz einiger Umsetzungsmängel bei einzelnen Produkten bleibt die Empfehlung des BSI klar: Passwortmanager sind ein unverzichtbares Sicherheitstool und können für viele Verbraucher ein wichtiger Begleiter im digitalen Alltag sein.

Mit der BSI-Analyse können Sie mehr über die Funktionalität und Sicherheitsmerkmale Ihrer bevorzugten Anwendung erfahren, bevor Sie sich für einen Passwort-Manager entscheiden. Der Abschlussbericht enthält eine Präsentationstabelle für Verbraucher. Zu beachten ist, dass regelmäßige Programmupdates der Hersteller einen wichtigen zusätzlichen Schutz darstellen. Verbraucher sollten sich die Updates also sofort besorgen. Weitere Ratschläge und Erläuterungen zum Thema Passwort-Manager finden Sie auf der Website des BSI.

Die Hersteller nehmen Verbesserungen vor

Im kooperativen Herstellerdialog des BSI haben mehrere Unternehmen bereits Verbesserungen eingeleitet oder versprochen. Erfreulich ist, dass im Anschluss an die Untersuchung nahezu alle beteiligten Hersteller einen offenen und fachlich fundierten Austausch mit dem BSI über die Untersuchungsergebnisse geführt haben. Dies habe dazu beigetragen, festgestellte Defizite zu beseitigen und damit die IT-Sicherheit im Bereich der Passwort-Manager weiter voranzutreiben, schreibt das BSI.

Um unabhängige Tests zu unterstützen, sollten Hersteller die von ihnen verwendeten Konzepte möglichst öffentlich dokumentieren, rät das BSI. Dazu gehören insbesondere Sicherheitskonzepte, die wesentlichen Merkmale der Systemarchitektur, die Einzelheiten der verwendeten Kryptographie sowie der Softwareentwicklungsprozess und die dabei eingesetzten Schutzmechanismen. Diese Art der Transparenz ermöglicht eine genauere Kontrolle und erhöht somit das Vertrauen der Verbraucher.

BSI-Empfehlungen für Hersteller

Basierend auf den Forschungsergebnissen empfiehlt das BSI den Herstellern, stets etablierte kryptografische Konzepte und Algorithmen zu verwenden. BSI TR-02102-1 bietet einen detaillierten Überblick über empfohlene kryptografische Mechanismen, Schlüssellängen und Betriebsarten.

Das BSI weist auf die Implikationen für die Industrie hin: Sicherheitskonzepte und Prüfberichte öffentlich dokumentieren, Herstellerzugang technisch ausschließen, etablierte Kryptografie nutzen und alle Daten inklusive Metadaten vollständig verschlüsseln.

Die Bedeutung des Datenschutzes für Passwortmanager

Auch für den Verbraucherdatenschutz ist der Einsatz eines Passwort-Managers wichtig. Im Rahmen einer Partnerschaft hat die Verbraucherzentrale NRW (VZ NRW) die vom BSI ausgewählten Passwortmanager einem Datenschutzcheck unterzogen. Zu diesem Zweck hat das VZ NRW sowohl die Datenschutzhinweise als auch die für den Registrierungsprozess erhobenen Daten ausgewertet. Die Ergebnisse der Recherche von BSI und VZ NRW sind in der Publikation „Passwortmanager im Test: IT-Sicherheit und Datenschutz im Fokus“ zusammengefasst.