"Bizarre Code-Architekturen"ETH Zürich findet "gravierende Lücken" in Passwortmanagern
Von Klaus Wedekind
Forschende der ETH Zürich untersuchen drei populäre Passwortmanager. Sie entdecken "gravierende Sicherheitslücken", die es in Tests erlauben, gespeicherte Zugangsdaten einzusehen und zu verändern.
Passwortmanager sind enorm hilfreich, wenn es darum geht, für Dutzende verschiedene Online-Konten Zugangsdaten zu verwalten, ohne sich viele unterschiedliche und komplizierte Passwörter merken zu müssen. Kürzlich haben das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Verbraucherzentrale NRW auch bestätigt, dass zehn oft verwendete Lösungen grundsätzlich sicher sind. Forschende der ETH Zürich haben jetzt allerdings in drei weiteren populären Passwortmanagern "gravierende Sicherheitslücken" entdeckt, die Hackern unter Umständen vollständigen Zugriff auf gespeicherte Daten ermöglichen.
Die in der Schweiz untersuchten Lösungen sind Bitwarden, Lastpass und Dashlane, die nicht zu den von BSI und der Verbraucherzentrale NRW geprüften Produkten gehören. Wie bei fast allen Passwortmanagern handelt es sich bei ihnen um cloudbasierte Lösungen. Das heißt, die Daten der Kunden werden auf Servern der Unternehmen abgelegt, wo sie verschlüsselt sicher vor jedem Zugriff sein sollen – auch durch die Anbieter.
Zu viel versprochen
"Das Versprechen lautet, dass selbst wenn jemand auf den Server zugreifen kann, dies kein Sicherheitsrisiko für die Kunden darstellt, weil die Daten verschlüsselt und damit unlesbar sind", erklärt Matilda Backendal, die an der Studie beteiligt war. "Wir konnten nun zeigen, dass dies nicht stimmt."
Für seine Untersuchung setzte das Forschungsteam eigene Server auf, die sich so verhalten sollten wie ein gehackter Server eines Passwortmanagers. In ihrem Szenario arbeitet er also nicht mehr vertrauenswürdig, sondern kann bei der Kommunikation mit dem Nutzer – etwa über einen Webbrowser – bewusst falsche oder manipulierte Antworten liefern. Dadurch könnten Angreifer einzelne Passwortspeicher (Tresore) gezielt verändern. Im schlimmsten Fall wäre es sogar möglich, alle gespeicherten Passwörter von Nutzerinnen und Nutzern oder auch einer Organisation unter ihre Kontrolle zu bringen.
Größe der Sicherheitslücken überrascht
Insgesamt demonstrierten die Wissenschaftler zwölf Angriffe auf Bitwarden, sieben auf Lastpass und sechs auf Dashlane. In den meisten Fällen konnten sie sich Zugang zu Passwörtern verschaffen und sie manipulieren. Dazu seien lediglich übliche Interaktionen mit den Managern nötig gewesen, schreiben die Forschenden - zum Beispiel beim Konto anmelden, den Tresor öffnen, Passwörter anzeigen oder Daten synchronisieren.
"Wir waren überrascht, wie groß die Sicherheitslücken sind", sagt Backendahls Kollege Kenneth Paterson. Das Team habe ähnliche Lücken bereits bei anderen cloudbasierten Diensten entdeckt, sei aber davon ausgegangen, dass der Sicherheitsstandard aufgrund der kritischen Daten bei Passwortmanagern deutlich höher ist. "Da die Ende-zu-Ende-Verschlüsselung bei kommerziellen Diensten noch relativ neu ist, hatte sich das anscheinend noch nie jemand genauer angeschaut."
Benutzerfreundlichkeit als Risikofaktor
Als Problem der untersuchten Lösungen stellten sich "sehr bizarre Code-Architekturen" heraus. Sie seien darauf zurückzuführen, dass Unternehmen bemüht seien, ihren Kunden einen möglichst benutzerfreundlichen Service anzubieten, zum Beispiel die Möglichkeit, Passwörter zurückzugewinnen oder den eigenen Account mit Familienmitgliedern zu teilen, sagt Teammitglied Matteo Scarlata. "Dadurch werden die Codes komplexer, unübersichtlicher, und die möglichen Angriffsstellen für Hacker nehmen zu." Für die Angriffe seien keine besonders leistungsstarken Computer und Server nötig, erklärt der Wissenschaftler, "nur kleine Programme, mit welchen man dem Server eine falsche Identität vortäuschen kann".
Wie beim Aufdecken von Schwachstellen üblich informierten die Forschenden die Unternehmen frühzeitig und gaben ihnen vor der Veröffentlichung 90 Tage Zeit, um die Probleme zu beheben. "Die Anbieter waren vorwiegend kooperativ und dankbar, aber nicht alle waren gleich schnell beim Beheben der Sicherheitslücken", sagt Paterson. Es habe sich gezeigt, dass die Entwickler der Passwortmanager aus Sorge, Kunden könnten den Zugriff auf ihre Daten verlieren, sehr zurückhaltend mit Systemupdates seien.
Scarlata schlägt vor, die Systeme für Neukunden kryptografisch auf den neuesten Stand zu bringen. Bestandskunden könnten dann auswählen, ob sie auf das neue, sicherere System migrieren und ihre Passwörter dorthin überführen möchten oder ob sie beim alten System bleiben – in Kenntnis der bestehenden Sicherheitslücken. Paterson rät allgemein, einen Manager zu wählen, der offen über mögliche Sicherheitslücken informiert, extern geprüft wird und bei dem zumindest die Ende-zu-Ende-Verschlüsselung standardmäßig eingeschaltet ist.
Stellungnahmen der betroffenen Anbieter
Bitwarden begrüßt in einer Stellungnahme die Arbeit der Forschenden. Die Tests basierten jedoch auf einem hypothetischen Szenario mit einem vollständig manipulierten Server, schreibt das Unternehmen. Bitwarden sei noch nie von einem Sicherheitsvorfall betroffen gewesen, nach bestem Wissen und Gewissen sei auch von keinem anderen Passwortmanager-Produkt ein solches Szenario bekannt. Bitwarden sei von den Forschenden ausgewählt worden, weil es im Gegensatz zu vielen Konkurrenten eine überprüfbare Open-Source-Architektur verwende.
Bei Lastpass ist das nicht der Fall, sein Code ist überwiegend proprietär. Der Anbieter lobt aber ebenfalls die Arbeit der Schweizer Wissenschaftler, die helfe, die Sicherheit seines Produkts zu verbessern. Das Unternehmen weist darauf hin, dass kein sofortiges Handeln der Kundinnen und Kunden nötig sei, es gäbe keinerlei Anzeichen dafür, dass die Lücken ausgenützt würden. Lastpass listet zudem einzelne Punkte auf, die bereits verbessert wurden, was aktuell bearbeitet wird und welche Schritte folgen sollen.
Auch Dashlane, dessen Quellcode einsehbar ist, geht offen mit der Schweizer Forschung um. Der Hersteller bestätigt die Ergebnisse und teilt mit, welche Korrekturen mit einem Update im vergangenen November vorgenommen wurden. Ebenso listet es wie die Mitbewerber Punkte auf, die nicht geändert werden können oder bei denen das Sicherheitsrisiko nicht hoch genug sein soll, um für dessen Beseitigung Nutzerfunktionen einzuschränken.