Da hat ein 20-Jähriger aus Hessen vom Kinderzimmer aus einen Haufen Daten von Promis aus Politik und Unterhaltung gesammelt und über einen Adventskalender auf Twitter geleakt. Was zunächst als Riesen-Hack in den Medien groß aufgemacht wurde, entpuppt sich als Fleißarbeit, die nicht einmal besonders großes Online-Know-how erforderte. Die Reaktion zeigt deutlich, dass es in Deutschland immer noch an Wissen über die Digitalisierung mangelt – vor allem bei Politikern. Als Schwachstelle erwies sich einmal mehr der sorglose Umgang mit Passwörtern im Internet. Da fragt sich Otto Normalsurfer, ob die zurzeit viel gepriesenen Passwortmanager wirklich mehr Datensicherheit bringen.
Passwörter einsetzen per Browser-Erweiterung
Die Idee ist simpel: Mit Hilfe von Browser-Erweiterungen werden eingegebene Passwörter verschlüsselt in einer Cloud abgelegt und bei Bedarf (mehr oder weniger) automatisch eingegeben, wann immer man irgendwo aufgefordert wird sich einzuloggen. Am Ende muss sich der Anwender nur ein einziges Masterpasswort merken, das den Zugang zum Passwortmanager erlaubt. So weit, so gut. Wir haben insgesamt vier solcher Tools in der Praxis getestet: Dashlane, True Key, Keeper Security und Lastpass – allesamt von der Stiftung Warentest mit der Note „Gut“ bewertet.
Passwörter verwalten im Tresor
Wichtig ist, jederzeit Zugriff auf den sogenannten „Tresor“ zu haben. Dort findet man zu jeder Webadresse, die ein Login erfordert, das gespeicherte Passwort, das man dann dort ändern kann. Zugang hat man – wie gesagt – nur mit dem Masterpasswort. Hat man das vergessen oder verbummelt, wird’s schwierig. Jede der getesteten Lösungen geht beim Restaurieren des Zugangs einen anderen Weg. Da gibt es Listen mit Entsperr-Codes, die man Herunterladen und Ausdrucken muss, oder da wird ein proprietäres oder allgemeines Authentifizierungsverfahren (z.B. der Google Authenticator) bemüht.
Das alles funktioniert allerdings bei allen vier Kandidaten nicht immer reibungslos. So kommt es nicht selten vor, dass ein Login die vom Manager eingegebenen Daten ohne Grund nicht akzeptiert. Außerdem greifen die Erweiterungen doch so tief in die Browser ein, dass man bisweilen in allen geöffneten Tabs abgemeldet wird, wenn man in einem neuen Tab ein Login probiert hat. Am anfälligsten dafür war übrigens Chrome; gar keine Probleme dieser Art gab’s bei Edge.
Schwächen auf mobilen Geräten
Wichtig: Zusätzliche 2-Faktor-Authentifizierung
Vermutlich muss sich der sicherheitsbewusste Anwender in diesem Fall entscheiden, ob er die Synchronisierung oder die Passwortsicherheit möchte. Sagen wir so: Der Einsatz eines Passwortmanagers kann auf Windows- und Apple-Computern unbedingt empfohlen werden. Man sollte dann auch jeweils zur kostenpflichtigen Version greifen – die Abopreise liegen bei rund 20 bis knapp 40 Euro pro Jahr.
Mindestens genauso wichtig wie der Schutz durch Verschlüsselung ist es aber, bei jeder Website, die ein Login erfordert, die Zwei-Faktor-Authentifizierung (dazu demnächst mehr) einzurichten – sofern das möglich ist. Dieses Verfahren, bei dem je nach Einstellung jedes Mal, regelmäßig oder zu zufällig gewählten Zeitpunkten ein zusätzlicher Code eingegeben werden muss, um sich einloggen zu können, macht es Amateurdatendieben wie dem jungen Mann aus Hessen fast unmöglich, Daten auszuforschen.