Digitaler Sicherheit auf den Zahn gefühlt
FZI überprüft konzeptionelle Sicherheit von Passwortmanagern
Welche Passwortmanager halten wirklich, was sie versprechen? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das FZI Forschungszentrum Informatik haben zehn gängige Lösungen unter die Lupe genommen – mit dem Fokus auf echte technische Sicherheit statt auf Marketing-Versprechen.
Passwortmanager gehören inzwischen zu den wichtigsten Werkzeugen für mehr digitale Sicherheit. Sie bieten nicht nur Komfort, sondern vor allem eine deutlich höhere Passwortqualität im Alltag. Dennoch nutzen viele Menschen solche Lösungen weiterhin nicht – oft aus Unsicherheit oder fehlendem Vertrauen, wie eine vorhergehende Umfrage des BSI zeigt. Das führt unter anderem dazu, dass auch aus Bequemlichkeit auf komplexe und vor allem unterschiedliche Passwörter für die digitalen Konten verzichtet wird.
Das BSI hat daher gemeinsam mit dem FZI Forschungszentrum Informatik als Fachpartner zehn Passwortmanager untersucht und deren konzeptionelle Sicherheitsmerkmale bewertet. Im nun veröffentlichten Bericht IT-Sicherheit auf dem digitalen Verbrauchermarkt: Fokus Paswortmanager zeigte sich, dass es deutliche Unterschiede zwischen den getesteten Passwortmanagern gibt. Bei der Wahl eines Passwortmanagers lohnt es sich also, genau hinzuschauen.
Sicherheit beginnt bereits bei der Konzeption
Die Auswahl der getesteten Manager reichte von browserbasierten Lösungen über Open-Source-Varianten bis hin zu sogenannten „White-Label“-Produkten. Dabei handelt es sich um Passwortmanager, die nicht nur direkt über den Hersteller vertrieben werden, sondern auch von anderen Unternehmen unter der eigenen Marke angeboten werden.
Die Bewertung basierte nicht auf Marketingversprechen, sondern auf einer systematischen Analyse der zugrunde liegenden technischen Konzepte. Ein Ergebnis der Untersuchung ist, dass die Beurteilung der Konzepte sowie der eingesetzten kryptographischen Mechanismen einen hohen technischen Sachverstand voraussetzt. Nutzende sollten sich bei ihrer Entscheidung daher auf die Ergebnisse dieser und anderer seriöser Untersuchungen stützen.
Wie wurde vorgegangen?
Die Bewertung basierte auf knapp 60 detaillierten Kriterien und der Prüfung der konzeptionellen Sicherheit gegen mögliche Angriffsszenarien. Die Prüfung umfasste beispielsweise:
- Phishing-Schutz: automatische URL-Überprüfung zum Schutz gegen gefälschte Websites
- Kryptographie: korrekte Anwendung von ausschließlich etablierten und wohluntersuchten Mechanismen
- Zukunftssicherheit: Schutzmechanismen gegen Quantencomputer-Attacken
- Sicherheitskonzept: Zugriffsmöglichkeiten des Passwortmanager-Herstellers
- Compliance: sichere Masterpasswort-Vorgaben und sichere Updatekanäle
- Transparenz: Veröffentlichung des verwendeten Konzepts durch den Hersteller, Informationen zur eingesetzten Kryptographie, Berichte von Sicherheitsuntersuchungen
- Schutz gegen unsichere Passwörter: Abgleich mit Leak-Plattformen zur schnellen Identifikation kompromittierter Konten
Mehr zu unserer Sicherheitsforschung und Kooperationsmöglichkeiten können sie unter unserem Forschungsschwerpunkt Safety, Security and Law erfahren.
Über das FZI
Das FZI Forschungszentrum Informatik mit Hauptsitz in Karlsruhe und Außenstelle in Berlin ist eine gemeinnützige Einrichtung für Informatik-Anwendungsforschung und Technologietransfer. Sie bringt die neuesten wissenschaftlichen Erkenntnisse der Informationstechnologie in Unternehmen und öffentliche Einrichtungen und qualifiziert für eine akademische und wirtschaftliche Karriere oder den Sprung in die Selbstständigkeit. Betreut von Professor*innen verschiedener Fakultäten entwickeln die Forschungsgruppen am FZI interdisziplinär für ihre Auftraggeber Konzepte, Software-, Hardware- und Systemlösungen und setzen die gefundenen Lösungen prototypisch um. Mit dem FZI House of Living Labs steht eine einzigartige Forschungsumgebung für die Anwendungsforschung bereit. Das FZI ist Innovationspartner des Karlsruher Instituts für Technologie (KIT) und strategischer Partner der Gesellschaft für Informatik (GI).