Jeder von uns kennt es: man erstellt zunehmend Benutzer-Accounts, sei es geschäftlich oder auch privat, um online zu bestellen, Dienste zu streamen oder auch sonstige Online-Dienste in Anspruch nehmen zu können. Dabei wird man regelmäßig dazu aufgefordert einen Benutzernamen und ein Passwort zu vergeben. Die Folge ist: Je mehr Online-Accounts man erstellt, desto weniger Lust hat man in der Regel sich neue – bestenfalls komplexe – Anmeldedaten zu überlegen und zu merken. Daher besteht oft die Versuchung, die gleichen Anmeldedaten für alle Accounts zu verwenden oder die Anmeldedaten auf ein Stück Papier zu schreiben bzw. in einem nicht passwortgeschützten Handy zu speichern. Und dann verliert man das Handy… denkbar ist auch, dass mehrere Accounts gleichzeitig gehackt werden, da diese identische Passwörter haben… Hätte hier ein Passwortmanager schlimmeres verhindern können?

Was ist ein Passwort-Manager überhaupt?

Aber erstmal zu der Frage: Was ist überhaupt ein Passwort-Manager? Passwort-Manager sind Programme, die Benutzernamen und Passwörter verwalten. Mittels einer Verschlüsselung und eines komplexen Masterpassworts werden alle Ihre Passwörter sicher verwahrt.  In etwa wie ein Notizbuch, das in einer Schublade eingeschlossen ist und dessen Inhalte nur für den Besitzer/die Besitzerin einsehbar sind – vorausgesetzt, sie haben den Schlüssel. Bei dem Masterpasswort handelt es sich um ein zentrales Passwort, das man für die Anmeldung im Passwort-Manager benötigt. Dieses Passwort muss besonders komplex und gesondert aufbewahrt werden, denn damit lassen sich alle anderen Passwörter, die im Passwort-Manager gespeichert sind, abrufen.

Vorteile aber auch Risiken

Das Ganze hört sich gut und einfach an aber ist es wirklich sicher und lohnt es sich überhaupt? Bei der Beantwortung dieser Frage, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine gute Übersicht mit den wichtigsten Aspekten eines Passwort-Managers veröffentlicht.

Zu den Vorteilen eines Passwort-Managers zählen insbesondere das Verwahren von Passwörtern und Benutzernamen mittels Verschlüsselung und die Unterstützung bei der Vergabe von komplexen Passwörtern (z. B. durch die Generierung starker Kombinationen und Kennzeichnung schon verwendeter oder schwacher Begriffe). Zudem gibt es grundsätzlich eine Warnung vor gefährdeten Websites und möglichen Phishing-Attacken (beispielsweise, wenn sich die URL der aufgerufenen Webseite von der gespeicherten unterscheidet), sodass das Surfen im Internet dadurch ein Stück sicherer wird. Nicht zu vergessen ist dabei, dass auch ein Synchronisieren möglich ist, sodass bei Verwendung der Online-Dienste auf mehreren Geräten (mehrere Computer/Smartphones und unterschiedliche Betriebssysteme) nur ein Programm verwendet werden muss, das alle Einträge synchronisiert.

Leider ist auch der Einsatz eines Passwort-Managers nicht risikofrei. Ein hohes Risiko stellt der Anwender selbst dar. Dieser kann das Masterpasswort vergessen, sodass grundsätzlich alle im Passwort-Manager gespeicherten Daten ggf. verloren gehen können. Je nach ausgewähltem Anbieter kann aber eine Wiederherstellung des Masterpassworts möglich sein, sodass die Auswahl des richtigen Anbieters eine besonders wichtige Rolle spielt. Denkbar ist auch ein Cyber-Angriff auf einen Passwort-Manager, durch den alle Passwörter auf einmal gestohlen werden können. Dabei ist mit Sicherheit im Einzelfall das jeweilige Risiko für sich selbst abzuwägen, d. h. zwischen einem Cyber-Angriff und dem Verlust von eigenen Passwörtern aufgrund des eigenen unvorsichtigen Verhaltens. Nicht zu vergessen ist dabei selbstverständlich die rechtzeitige Durchführung von Updates. Wie jedes andere Software-Programm sind auch in diesem Fall stets die neuesten Updates zu installieren. Nur so kann sichergestellt werden, dass offene und bekannte Lücken der Anwendung, rechtzeitig behoben werden. Zudem sind bei der Auswahl des Anbieters die ergriffenen Sicherheitsmaßnahmen für den Passwort-Manager mit Sorgfalt zu bewerten. Für hochsensible Inhalte z. B. sollte man am besten einen erweiterten Schutz mit einer sog. 2-Faktor-Authentifizierung (d. h. ein Bestätigungscode wird an ein weiteres Gerät wie Ihr Smartphone gesendet, um den Vorgang eindeutig zu authentifizieren) einrichten.

Eine Abwägung der Vorteile und Risiken im privaten Bereich lässt sich in der Regel leicht durchführen, denn hier greift die DSGVO nicht – vorausgesetzt, man verwaltet eigene personenbezogene Daten. Sollten Passwort-Manager hingegen in einem Unternehmen eingesetzt werden, so ist eine weitreichende Abwägung unter der Berücksichtigung der geltenden datenschutzrechtlichen Vorschriften durchzuführen. Insbesondere die Sicherheit der Datenverarbeitung nach Art. 32 DSGVO und die Beteiligung des Datenschutzbeauftragten / der Datenschutzbeauftragten des Unternehmens spielen dabei eine wichtige Rolle.

Fazit

Ob privat oder geschäftlich, die meisten von uns haben täglich mit Passwörtern zu tun. Dabei wird die Anzahl und die Komplexität von Passwörtern leider noch oft verharmlost, was wiederum nicht selten zu schwerwiegenden Folgen für die Sicherheit unserer Daten führt oder führen kann. Die Einrichtung eines Passwort-Managers ist eine sehr gute Option, um die Datensicherheit sowohl im Online-, als auch im Offline -Bereich zu erhöhen. Für den Anfang ist gewiss maßgeblich, sich mit der Auswahl des richtigen Dienstleisters auseinanderzusetzen.