Nutzen überwiegt Mängel bei weitemBSI und Verbraucherzentrale überprüfen Passwortmanager
Die Verbraucherzentrale NRW und das BSI überprüfen zehn Passwortmanager. Drei davon speichern Passwörter in einer Weise, die Herstellern theoretisch den Zugriff ermöglicht. Doch die Defizite seien kein Grund, auf Passwort-Manager zu verzichten, schreiben die Experten.
In einer aktuellen Umfrage der Verbraucherzentrale NRW hat von rund 1200 Befragten etwa die Hälfte angegeben, mehr als 50 passwortgeschützte Online-Konten zu besitzen. 84 Prozent dieser Nutzerinnen und Nutzer vertrauen ihre Zugangsdaten einem Passwortmanager an. Das ist erfreulich, denn vermutlich loggen sie sich mit verschiedenen und komplizierteren Passwörtern an. Ob die Daten auch sicher verwahrt werden, hat das Bundesamt für Sicherheit in der Informationstechnologie (BSI) zusammen mit dem FZI Forschungszentrum Informatik und der Verbraucherzentrale NRW überprüft.
Getestet wurden die alleinstehenden Lösungen 1Password, Avira Password Manager, mSecure Password Manager, PassSecurium, KeePass2Android, KeePassXC, S-Trust Password Manager, SecureSafe Password Manager sowie die browsergestützten Mozilla Firefox Password Manager und Google Chrome Password Manager.
Mindestens drei können theoretisch Passwörter auslesen
Alle Ergebnisse findet man im Abschlussbericht "IT-Sicherheit auf dem digitalen Verbrauchermarkt: Passwortmanager". Sie sind für deren Nutzerinnen und Nutzer grundsätzlich erfreulich, denn größere Mängel wurden bei keinem der zehn Kandidaten gefunden. Wie bei jeder anderen Software gebe es aber auch bei einzelnen Passwortmanagern Verbesserungsbedarf, schreibt das BSI. Bei drei Lösungen sei es theoretisch möglich, dass deren Hersteller auf die gespeicherten Daten zugreifen könnten.
Konkret handelt es sich dabei um den Chrome Password Manager, den mSecure Password Manager und PassSecurium. Bei den Programmen von SecureSafe und S-Trust konnte nicht bewertet werden, ob der Anbieter auf die gespeicherten Inhalte zugreifen kann.
Risiko ohne Passwortmanager viel größer
Laut der Umfrage der Verbraucherzentrale NRW hält die Angst davor, dass Anbieter die Zugangsdaten auslesen könnten, ein Viertel der Teilnehmenden ab, einen Passwortmanager einzusetzen. Diese Angst halten BSI und Verbraucherzentrale NRW zwar nicht für völlig unbegründet. Die theoretische Möglichkeit des Zugriffs erhöhe prinzipiell die Angriffsfläche und erfordere zusätzliche Schutzmaßnahmen des Anbieters, denen Nutzende dann auch vertrauen müssten, schreiben sie.
Doch die Defizite der Passwortmanager seien kein Grund, auf diese zu verzichten. Der Nutzen überwiege bei weitem: "Passwörter wiederzuverwenden oder schwache Passwörter zu nutzen kann zu erhöhten Phishing-Anfälligkeiten führen, sodass die Risiken, keine Passwortmanager zu nutzen, deutlich größer sind als die Implementierungsmängel einzelner Produkte."
BSI lobt Kooperationsbereitschaft
Bei einigen der Kandidaten kritisierten die Prüfer auch die nicht immer einwandfreien Datenschutzerklärungen. Unter anderem machten Hersteller keine ausreichenden Angaben zu Betroffenenrechten oder zum Zweck und den Rechtsgrundlagen von gespeicherten Daten.
Das BSI lobt allerdings die Kooperationsbereitschaft der Unternehmen. Nahezu alle seien nach der Untersuchung zu einem offenen und fachlich fundierten Austausch über die Ergebnisse bereit gewesen. Mehrere von ihnen hätten bereits Verbesserungen eingeleitet oder zugesagt.