Da hat ein 20-Jähriger aus Hessen vom Kinderzimmer aus einen Haufen Daten von Promis aus Politik und Unterhaltung gesammelt und über einen Adventskalender auf Twitter geleakt. Was zunächst als Riesen-Hack in den Medien groß aufgemacht wurde, entpuppt sich als Fleißarbeit, die nicht einmal besonders großes Online-Know-how erforderte. Die Reaktion zeigt deutlich, dass es in Deutschland immer noch an Wissen über die Digitalisierung mangelt – vor allem bei Politikern. Als Schwachstelle erwies sich einmal mehr der sorglose Umgang mit Passwörtern im Internet. Da fragt sich Otto Normalsurfer, ob die zurzeit viel gepriesenen Passwortmanager wirklich mehr Datensicherheit bringen.

Passwörter einsetzen per Browser-Erweiterung

Die Idee ist simpel: Mit Hilfe von Browser-Erweiterungen werden eingegebene Passwörter verschlüsselt in einer Cloud abgelegt und bei Bedarf (mehr oder weniger) automatisch eingegeben, wann immer man irgendwo aufgefordert wird sich einzuloggen. Am Ende muss sich der Anwender nur ein einziges Masterpasswort merken, das den Zugang zum Passwortmanager erlaubt. So weit, so gut. Wir haben insgesamt vier solcher Tools in der Praxis getestet: Dashlane, True Key, Keeper Security und Lastpass – allesamt von der Stiftung Warentest mit der Note „Gut“ bewertet.

Grundsätzlich unterscheiden sich diese Passwortmanager nur bei der Handhabung. Besonders komfortabel zeigten sich hier Key Security und Lastpass. Alle vier funktionieren übrigens im gleichen Maße gut bei den wichtigsten Browsern Google Chrome und Mozilla Firefox; Erweiterungen für Microsoft Edge und Apple Safari. Während Keeper Security und Dashlane mit Desktop-Anwendungen kommen, lassen sich die anderen beiden ausschließlich über die jeweilige Browser-Erweiterung starten. True Key stammt aus dem Hause McAfee, was die Bedienung für Kenner der Produkte dieser Schmiede einfach macht; Dashlane und Keeper ähneln sich in der Handhabung, während Lastpass zwar dieselben Funktionen bietet, aber mit anderen Begriffen arbeitet.

Passwörter verwalten im Tresor

Außer bei True Key bieten alle anderen Passwortmanager die Option, bei der ersten Benutzung die mit dem Browser gespeicherten Logins und damit verbundenen Passwörter automatisch einzusammeln. Das ist durchaus empfehlenswert, denn nach und nach für jede Website, in die man sich einloggen will, beim ersten Mal das Speichern im „Tresor“ zu erlauben, kann mühselig werden. True Key bietet immerhin eine ganze Reihe häufig genutzter Websites an, die man direkt ansteuern und aufzeichnen kann. Überhaupt: Im Alltagstest zeigte sich, dass es im Wesentlichen um maximal zwei Händevoll Websites geht, deren Passwörter man wirklich per Manager sichern wird – die Palette reicht von vom Google- und Microsoft-Account über die sozialen Netze (insbesondere Facebook, Twitter und Instagram) bis hin zum Online-Bankkonto, Paypal und den jeweils genutzten Cloud-Services wie Dropbox.

Wichtig ist, jederzeit Zugriff auf den sogenannten „Tresor“ zu haben. Dort findet man zu jeder Webadresse, die ein Login erfordert, das gespeicherte Passwort, das man dann dort ändern kann. Zugang hat man – wie gesagt – nur mit dem Masterpasswort. Hat man das vergessen oder verbummelt, wird’s schwierig. Jede der getesteten Lösungen geht beim Restaurieren des Zugangs einen anderen Weg. Da gibt es Listen mit Entsperr-Codes, die man Herunterladen und Ausdrucken muss, oder da wird ein proprietäres oder allgemeines Authentifizierungsverfahren (z.B. der Google Authenticator) bemüht.

Bleibt die Frage: Und, sind meine Login-Passwörter nun wirklich sicher? Im Prinzip: Ja. Denn im Klartext wird ein Passwort in Zukunft nur noch vom Passwortmanager in das entsprechende Formularfeld eingetragen, sodass nicht einmal ein Keylogger (ein Schadprogramm, das die Tastatur aushorcht) das Kennwort klauen kann. Je nach der gewählten Einstellung kann man bei allen getesteten Managern dafür sorgen, dass an jedem Login-Feld ein entsprechendes Icon eingeblendet wird, mit dem man das Tool aufruft und anordnet, dass die gewünschten Daten eingefüllt werden. Apropos: Zu den durchgehend vorhandenen Zusatzfunktionen zählt immer auch ein Autofill, dass generell Formularfelder mit zuvor im Manager abgelegten Informationen befüllt.

Das alles funktioniert allerdings bei allen vier Kandidaten nicht immer reibungslos. So kommt es nicht selten vor, dass ein Login die vom Manager eingegebenen Daten ohne Grund nicht akzeptiert. Außerdem greifen die Erweiterungen doch so tief in die Browser ein, dass man bisweilen in allen geöffneten Tabs abgemeldet wird, wenn man in einem neuen Tab ein Login probiert hat. Am anfälligsten dafür war übrigens Chrome; gar keine Probleme dieser Art gab’s bei Edge.

Schwächen auf mobilen Geräten

Enttäuschend war das Ergebnis beim Einsatz der Passwortmanager auf mobilen Geräten, also Smartphones und Tablets unter Android und iOS. Zwar klappte bei der Nutzung von Browsern auf den Mobil-Devices alles ganz gut, und man konnte per App immer auch auf die Tresore zugreifen. Ob man den jeweiligen Manager aber auch zum Speichern und wieder Abrufen von Login-Daten in Apps nutzen konnte, unterlag eher dem Zufallsprinzip. Und ganz chaotisch wurde es bei Browsern, deren Daten zwischen mehreren stationären und mobilen Geräten synchronisiert werden.

Wichtig: Zusätzliche 2-Faktor-Authentifizierung

Vermutlich muss sich der sicherheitsbewusste Anwender in diesem Fall entscheiden, ob er die Synchronisierung oder die Passwortsicherheit möchte. Sagen wir so: Der Einsatz eines Passwortmanagers kann auf Windows- und Apple-Computern unbedingt empfohlen werden. Man sollte dann auch jeweils zur kostenpflichtigen Version greifen – die Abopreise liegen bei rund 20 bis knapp 40 Euro pro Jahr.

Mindestens genauso wichtig wie der Schutz durch Verschlüsselung ist es aber, bei jeder Website, die ein Login erfordert, die Zwei-Faktor-Authentifizierung (dazu demnächst mehr) einzurichten – sofern das möglich ist. Dieses Verfahren, bei dem je nach Einstellung jedes Mal, regelmäßig oder zu zufällig gewählten Zeitpunkten ein zusätzlicher Code eingegeben werden muss, um sich einloggen zu können, macht es Amateurdatendieben wie dem jungen Mann aus Hessen fast unmöglich, Daten auszuforschen.