Passwörter begleiten den Alltag von Verbraucherinnen und Verbrauchern – sie sind für die Nutzung zahlreicher Onlinedienste, wie z. B. Onlineshopping, Social Media oder E-Maildienste, erforderlich. Passwortmanager stellen eine Möglichkeit zur Passwortverwaltung dar und leisten somit einen signifikanten Beitrag zur Absicherung von Onlineaccounts.
Aufgrund der Sensibilität der in Passwortmanagern gespeicherten Daten bestehen hohe Anforderungen an deren IT-Sicherheit. Zur Prüfung der Umsetzung dieser Anforderungen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) diese Produktkategorie gemeinsam mit dem FZI Forschungszentrum Informatik in den Blick genommen und die IT-Sicherheitseigenschaften von zehn ausgewählten Passwortmanagern untersucht.
Wie bei jeder anderen Software gibt es auch bei einzelnen Passwortmanagern Verbesserungsbedarf. Drei von zehn der untersuchten Passwortmanager speicherten Passwörter in einer Weise, die Herstellern theoretisch den Zugriff ermöglicht. Dies erhöht prinzipiell die Angriffsfläche auf Seiten des Herstellers, die durch ergänzende kompensatorische Maßnahmen mitigiert werden muss. Nutzende müssen diesen zusätzlich ergriffenen Maßnahmen vertrauen. Bei cloud-basierter Speicherung der Daten im Passwortmanager sollten Verbraucherinnen und Verbraucher sich über den Ort der Speicherung und dessen Schutzniveau beim Hersteller informieren. Diese finden sich zum Beispiel auf der Website des Herstellers, in den AGBs zur Nutzung des Produktes oder in den Datenschutzhinweisen.
Doch die Defizite der Passwortmanager sind kein Grund, auf diese zu verzichten. Aus Sicht des BSI überwiegt der Nutzen bei weitem. Passwörter wiederzuverwenden oder schwache Passwörter zu nutzen kann zu erhöhten Phishing-Anfälligkeiten führen, sodass die Risiken, keine Passwortmanager zu nutzen, deutlich größer sind als die Implementierungsmängel einzelner Produkte.
Der Abschlussbericht „IT-Sicherheit auf dem digitalen Verbrauchermarkt: Fokus Passwortmanager“ der Untersuchung enthält weitere Informationen zu sicherheitsrelevanten Eigenschaften der Produkte.
Trotz einiger Implementierungsmängel bei einzelnen Produkten bleibt die Empfehlung klar: Passwortmanager sind ein essenzielles Sicherheitstool und können für viele Verbraucherinnen und Verbraucher ein wichtiger Begleiter im digitalen Alltag sein. Die Untersuchung ermöglicht es, sich vor der Auswahl eines Passwortmanagers gründlich über die Funktionalitäten und Sicherheitsmerkmale ihrer präferierten Anwendung zu informieren. Hierfür enthält der Abschlussbericht eine tabellarische Darstellung für Verbraucherinnen und Verbraucher. Es ist zu beachten, dass regelmäßige Programmaktualisierungen seitens der Hersteller ein zusätzlicher wichtiger Schutz sind. Verbraucherinnen und Verbraucher sollten daher Updates zeitnah übernehmen. Weitere Tipps und Erläuterungen rund um das Thema Passwortmanager stehen auf der Website des BSI zur Verfügung.
Transparenz schafft Vertrauen und Sicherheit. Im kooperativen Herstellerdialog des BSI haben mehrere Unternehmen bereits Verbesserungen eingeleitet oder zugesagt. Es ist erfreulich, dass sich nach der Untersuchung nahezu alle beteiligten Hersteller offen und fachlich fundiert über die Erkenntnisse der Untersuchung mit dem BSI austauschten. Dies trug dazu bei, identifizierte Defizite zu beheben und damit die IT-Sicherheit im Bereich der Passwortmanager voranzubringen.
Zur Unterstützung unabhängiger Prüfungen sollten Hersteller die von ihnen eingesetzten Konzepte möglichst vollständig öffentlich dokumentieren. Dies beinhaltet insbesondere die Sicherheitskonzepte, die wesentlichen Züge der Systemarchitektur, Details der eingesetzten Kryptografie sowie den Softwareentwicklungsprozess und die darin eingesetzten Schutzmechanismen. Diese Art von Transparenz ermöglicht detailliertere Überprüfungen und erhöht somit das Vertrauen von Verbraucherinnen und Verbrauchern.
Auf Basis der Untersuchungserkenntnisse empfiehlt das BSI den Herstellern stets etablierte kryptographische Konzepte und Algorithmen einzusetzen. Die BSI TR-02102-1 bietet eine passgenaue Übersicht über empfohlene kryptographische Mechanismen, Schlüssellängen und Betriebsmodi.
Das BSI unterstreicht die Schlussfolgerungen für die Branche: Sicherheitskonzepte und Audit-Berichte öffentlich dokumentieren, den Herstellerzugriff technisch ausschließen, etablierte Kryptographie nutzen und alle Daten, einschließlich Metadaten, vollständig verschlüsseln.
Die Nutzung eines Passwortmanagers hat für Verbraucherinnen und Verbraucher auch datenschutzrechtliche Relevanz. Im Rahmen einer Kooperation hat die Verbraucherzentrale Nordrhein-Westfalen (VZ NRW) die vom BSI ausgewählten Passwortmanager einer datenschutzrechtlichen Prüfung unterzogen. Hierfür hat die VZ NRW sowohl die Datenschutzhinweise, als auch die für den Registrierungsprozess erhobenen Daten begutachtet. Die Ergebnisse der Untersuchungen durch das BSI und der VZ NRW sind in der Veröffentlichung „Passwortmanager im Test: IT-Sicherheit und Datenschutz im Fokus“ zusammengefasst.
PM Bundesamt für Sicherheit in der Informationstechnik
