Benachrichtigung aktivieren Dürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafft Erlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert Wir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke
Digitale Revolution

Ratgeber Das müssen Sie über Passwortmanager wissen

Die jüngsten Datenlecks haben das Bewusstsein der Nutzer für IT-Sicherheit geschärft. Passwortmanager können zu einem effektiven Schutz beitragen. Was es zu beachten gilt.
Kommentieren
Immer mehr Nutzer greifen auf Passwortmanager zurück, um ihre Daten zu schützen. Quelle: EyeEm Premium/Getty Images
Digitaler Schlüsselbund

Immer mehr Nutzer greifen auf Passwortmanager zurück, um ihre Daten zu schützen.

(Foto: EyeEm Premium/Getty Images)

DüsseldorfDie Datenlecks der vergangenen Wochen und Monate haben das Bewusstsein für die Risiken der vernetzten Welt geschärft. So veröffentlichten Unbekannte Ende Januar unter dem Namen „Collection #1-#5“ mehrere Sammlungen mit insgesamt 2,2 Milliarden E-Mail-Adressen samt Passwörtern.

Kurz zuvor hatte ein jugendlicher Hacker sensible Daten und Dokumente von Hunderten deutschen Politikern und Prominenten ins Netz gestellt.

Diese Vorfälle haben bei vielen Internetnutzern das Interesse an Passwortmanagern geweckt: Diese Programme versprechen, die Zugangsdaten für Onlinedienste sicher zu verwalten – und die Auswirkungen von Datenlecks möglichst gering zu halten.

Das auf IT-Sicherheit spezialisierte Softwareunternehmen Avira beispielsweise verzeichnete im Zeitraum der beiden Datenlecks 60 Prozent mehr Installationen seines Password Manager Pro sowie 20 Prozent mehr Nutzerregistrierungen als sonst. Kunden hätten zudem mehr als doppelt so viele Passwortänderungen vorgenommen als üblich, erklärte der deutsche Anbieter auf Anfrage.

Ein ähnliches Bild zeigt sich bei 1Password, das vor allem bei Apple-Nutzern beliebt ist: Der Anbieter verzeichnete in der Woche nach der Veröffentlichung von „Collection #1“ nach eigenen Angaben einen weltweiten Besucherzuwachs von 287 Prozent – in Deutschland betrug das Plus sogar 810 Prozent.

„Es findet ein Umdenken statt: Passwörter werden nicht mehr als unumgängliches Übel betrachtet, sondern als wichtiger Schlüssel und gleichzeitig starke Barriere zu unserem digitalen Portfolio“, sagte Emmanuel Schalit, Chef des amerikanischen Anbieters Dashlane, dem Handelsblatt.

„Unsere sensiblen Daten müssen daher genauso geschützt werden wie unsere wertvollsten physischen Vermögenswerte“ – hinter den Passwörtern steckten schließlich Zugänge zu Bankkonten sowie zur privaten und beruflichen Kommunikation.

Dashlane profitiert ebenfalls von den Schlagzeilen der letzten Wochen: Die Vorfälle haben Schalit zufolge dazu geführt, dass Nutzer im Internet viermal häufiger nach dem Passwortmanager des Unternehmens gesucht haben als in den Monaten zuvor. Auch die Gratisvariante KeePass des Entwicklers Dominik Reichl verzeichnet seit Jahren steigende Nutzungszahlen. Im Januar 2019 waren es fast eine Million Downloads.

Immer mehr Nutzer greifen auf Passwortmanager zurück, um ihre Daten zu schützen. Doch welche Details gilt es dabei zu beachten? Im Folgenden sollen die wichtigsten Fragen rund um Passwortmanager beantwortet werden.

Was sind Passwortmanager?
Passwortmanager sind Programme, die alle genutzten Passwörter in einem digitalen Schlüsselbund oder Tresor ablegen, bei Bedarf schwer zu knackende Passwörter generieren und diese automatisch in die Anmeldemasken von Webseiten wie E-Mail-Diensten einfügen.

Was sind die Vor- und Nachteile?
Der wichtigste Vorteil ist, dass sich Nutzer nur ein Hauptpasswort merken müssen, mit dem sie Zugriff auf ihre Datenbank erhalten. Der Nachteil ist, dass ein Eindringling nur dieses eine Passwort knacken muss, um sich Zutritt zum digitalen Leben eines Nutzers zu verschaffen.

Wann ist ein Passwort stark?
Um Hacker abzuwehren, sollte das Master-Passwort sehr lang sein (mindestens 16 Zeichen oder mehr), außerdem Sonderzeichen und Zahlen enthalten, jedoch keine existierenden Begriffe – die Zeichenfolge sollte keinen Sinn ergeben. Damit sich Nutzer die Kombination trotzdem merken können, sollten sie sich Merksätze überlegen und aus den Anfangsbuchstaben der einzelnen Wörter das Passwort bilden.

Ein Beispiel: „Ich bin 36 Jahre alt und mein Bruder heißt Johannes“ würde dann zu „Ib36JaumBhJ“. Das Master-Passwort kann für alle Fälle auch handschriftlich notiert werden, sollte dann aber unbedingt an einem sicheren Ort verwahrt werden.

Welche Varianten von Passwortmanagern gibt es?
Passwortmanager existieren in zwei Varianten: als lokal installierte Software und als cloudbasierte Lösungen. Zu den Letzteren gehören beispielsweise LastPass, 1Password oder Dashlane. Sie speichern die Passwortdatenbanken der Nutzer meist auf den Servern ihrer Cloud-Dienstleister.

AgileBits, das kanadische Softwareunternehmen hinter 1Password, nutzt dafür die Dienste von Amazon, ebenso das US-Unternehmen Dashlane und der deutsche Anbieter Avira.

Was sind die Vor- und Nachteile der beiden Varianten?
Cloud-Lösungen sind überall verfügbar – Nutzer haben also auch auf einem neuen Gerät direkt Zugriff auf ihre Daten und können diese auf Smartphone, Notebook und PC einfach aktuell halten. Der Nachteil ist, dass die Nutzer darauf vertrauen müssen, dass die Server der Anbieter oder ihrer Dienstleister ausreichend gegen Hackerangriffe abgesichert sind.

Bei lokalen Lösungen wie KeePass besteht dieses Risiko nicht. Die verschlüsselte Passwortdatenbank wird direkt auf dem eigenen Gerät gespeichert. Allerdings müssen hier Änderungen manuell auf die jeweiligen Geräte übertragen werden.

Welche Funktionen sollte ein guter Passwortmanager bieten?
Ein guter Passwortmanager sollte starke Passwörter generieren und den Nutzer vor schwachen Kombinationen sowie Dubletten warnen. Auch eine Absicherung mit der sogenannten Zwei-Faktor-Authentisierung (2FA) ist wichtig.

Hier müssen Nutzer neben dem Passwort einen zusätzlichen Code eingeben, um sich bei einem Dienst einzuloggen. Dieser wird beispielsweise per SMS aufs Handy gesendet – auch wenn Hacker die Zugangsdaten kennen, erhalten sie in diesem Fall keinen Zugriff.

Ein guter Passwortmanager sollte den Nutzer zudem sofort warnen, wenn eines seiner Konten gehackt wurde. Zahlreiche Anbieter durchforsten hierfür Untergrundforen im Netz nach verdächtigen Datensätzen.

Zu den Standardfunktionen eines guten Passwortmanagers zählt auch eine reibungslose Integration in die populären Browser Google Chrome und Mozilla Firefox. Dadurch können Anmeldefelder automatisch ausgefüllt werden, sobald der Nutzer auf einer Webseite surft, für die er seine Zugangsdaten hinterlegt hat.

Welche Passwortmanager sind empfehlenswert?
Bekannte Passwortmanager wie LastPass, 1Password, Dashlane, KeePass oder der Password Manager Pro von Avira nutzen für die Verschlüsselung der Daten allesamt den zeitgemäßen „Advanced Encryption Standard“ mit einer Schlüssellänge von 256 Bit (AES-256). Dieser wird beispielsweise in den USA für Regierungsdokumente der höchsten Geheimhaltungsstufe verwendet.

Supercomputer würden Milliarden Jahre brauchen, um mit der „Brute-Force-Methode“ – dem Ausprobieren von Hunderten Milliarden von Schlüsseln pro Sekunde – die AES-256-Verschlüsselung zu knacken. Doch auch wenn AES-256 heute noch als sicher gilt: Das könnte sich im bevorstehenden Zeitalter der Quantencomputer ändern. Die Anbieter müssen also auf dem Stand der Technik bleiben.

Neben des zeitgemäßen Verschlüsselungsstandards ist auch der Funktionsumfang der bekanntesten Passwortmanager nahezu identisch. Unterschiede gibt es beim Preis: Während die Lokalvariante KeePass kostenlos zu haben ist, kosten die Premiumvarianten der cloudbasierten Lösungen im Abo zwischen 25 und 50 Euro jährlich.

Da die Funktionalität bei den bekannten Anbietern nahezu identisch ist, spielt neben dem Preis vor allem die Grundsatzfrage eine Rolle, inwieweit man bereit ist, einem Unternehmen die Zugangsdaten zur kompletten digitalen Identität anzuvertrauen. Auch die Frage nach der optischen Aufmachung kann bei ansonsten gleichen Möglichkeiten ein Entscheidungskriterium sein.

Gibt es Alternativen zu Passwortmanagern?
Gewöhnliche Passwortmanager speichern Passwörter verschlüsselt in einer Datenbank ab – entweder in der Cloud oder lokal. Der Nachteil: Die Daten können theoretisch in falsche Hände gelangen, etwa bei einem Hackerangriff. Alternativen bieten Dienste wie LessPass, die das jeweilige Passwort nicht zentral speichern, sondern jedes Mal von Neuem errechnen.

Dieses Tool speichert keine Passwörter, sondern errechnet sie bei jedem Login neu. Quelle: Screenshot
LessPass

Dieses Tool speichert keine Passwörter, sondern errechnet sie bei jedem Login neu.

(Foto: Screenshot)

Dafür ziehen sie verschiedene Faktoren heran, zum Beispiel die E-Mail-Adresse, ein Hauptpasswort und die Web-Adresse des jeweiligen Dienstes. Das Werkzeug Forgiva nutzt die Kombination aus einem Master-Passwort, einem digitalen Zertifikat, den Metadaten des jeweiligen Nutzerkontos und der Bestätigung eines visuellen Musters.

Der größte Vorteil: Nutzer müssen sich nur ein einziges Passwort merken – trotzdem sind die Daten nicht zentral an einem Ort abgelegt, wie es bei einem digitalen Schlüsseltresor üblich ist. Der größte Nachteil: Bei jeder einzelnen Anmeldung müssen die Anwender die Zugangsdaten aufs Neue eingeben. Dieser kompliziertere und unbequemere Prozess könnte so manchen abschrecken.

Mehr: Strengere Sicherheitsvorgaben, schärfere Gesetze: Könnten sich Hackerangriffe so verhindern lassen? Bei der Cybersicherheit besteht Handlungsbedarf. Lesen Sie hier, welche Vorschläge von Politik und Verbänden bereits kursieren.

Startseite

Mehr zu: Ratgeber - Das müssen Sie über Passwortmanager wissen

0 Kommentare zu "Ratgeber: Das müssen Sie über Passwortmanager wissen"

Das Kommentieren dieses Artikels wurde deaktiviert.