Wir vertreten die These, dass ein On­line-​Pass­wort­ma­na­ger keineswegs unsicherer sein muss, als ein Passwortmanager, der als lokale App implementiert ist.

Wie kommen wir dazu?

Betrachten wir einmal die Angriffsmöglichkeiten auf eine Web-App: Beteiligt sind der Browser, der Übertragungsweg und das Server-Programm und die gespeicherten (verschlüsselten) Daten.

Der Browser

Ein heutiger Browser ist in der Regel eine gut ausgereifte und sehr sicher programmierte App, die eher weniger angreifbar ist als andere Apps und zudem häufig aktualisiert wird.

Zudem vertrauen Sie dem Browser ohnehin die meisten Geheimnisse an, die Sie speichern wollen, nämlich alle Internet-Logins, spätestens wenn Sie diese Anmeldedaten nutzen.

Daher stellt die Einbeziehung eines Browsers als solche in die Geheimnisverwaltung kaum ein zusätzliches Risiko dar.

Es gibt aber Besonderheiten, die zu beachten sind:

Der Browser-Cache könnte ein Problem sein, da Kennworte, die nicht direkt in Anmelde-Formularen verwendet werden, für den Browser nicht als Geheimnisse erkennbar sind, er sie also wie "normale" Daten behandelt, die er durchaus auch per "Zurück"-Knopf anzeigen würde ... wenn der Web-App-Entwickler nicht aufpasst.

Hier hängt es sehr davon ab, wie die Web-App programmiert ist. key.matiq sendet geheime Daten (wie Kennwörter) nicht mit einer HTML-Seite mit, sondern lädt diese (nur während einer freigeschalteten Sitzung) über JavaScript nach. Damit landen diese Daten nicht im Browser-Cache und sind auch sonst nach Ende der Sitzung nicht mehr abrufbar.

Key-Logger und Clipboard-Scanner

Diese beiden Angriffsmöglichkeiten sind nicht unterschiedlich, ob ein Browser oder eine lokaler Passwortmanager zur Verwaltung der Geheimnisse genutzt werden. Key-Logger könnten zudem auch direkt die Kennworteingabe im Browser abgreifen, ganz ohne jede Geheimnisverwaltung.

Es kommt einfach darauf an, sich keine Malware einzufangen, regelmäßig Betriebssystem und Programme upzudaten und ggf. Virenscanner zu verwenden.

Der Übertragungsweg

Für den Übertragungsweg benutzen wir das HTTPS-Protokoll, was auch die Banken fürs Online-Banking verwenden.

Hier ist vor allem das Phishing ein Thema, d. h. man darf sich nicht auf eine Seite locken lassen, die nur vorgibt, key.matiq zu sein. SSL-Zertifikate werden nur an die jeweilige Do­main-​In­ha­ber*in ausgestellt, so dass Sie sicher sein können, dass die HTTPS-Domain, die in der Adresszeile angezeigt wird, nicht gefälscht ist. Aber achten Sie auf die genaue Schreibung!

Als zusätzliche Sicherheit legen wir auf Ihrem Rechner ein verschlüsseltes Cookie mit der ID Ihrer Box ab. Dann können wir auf der Anmeldeseite die von Ihnen selbst eingegebene Willkommensmeldung anzeigen.

Solange eine Angreifer*in weder Ihre Willkommensmeldung kennt noch die Cookies auslesen kann, werden Sie über die fehlende oder falsche Willkommensmeldung auf den Phishing-Versuch aufmerksam gemacht.

Denken Sie daran: Wenn eine Malware in der Lage ist, Ihre Cookies auszulesen, ist Ihr Rechner kompromittiert. Es stellt sich dann aber auch die Frage, ob die Malware nicht auch einen Keylogger installieren oder lokale Programme nachäffen kann, um an geheime Daten zu gelangen.

Das Serverprogramm

Es kann natürlich sein, dass sich der Fokus von Online-Kriminellen auf Online-Passwortmanager verschärft. Auf der anderen Seite werden professionelle Server in aller Regel besser gewartet als private PCs. Wir jedenfalls denken, den key.matiq-Server gut im Griff zu haben, führen regelmäßig Updates durch und prüfen ständig, ob für die von key.matiq benutzten Bibliotheken Sicherheitslücken bekannt gemacht wurden.

Auf die key.matiq-Daten kann neben key.matiq nur noch die Systemadministrator*in zugreifen. Und diese Daten sind in ihren geheimen Teilen stark verschlüsselt. D. h. auch die Systemadministrator*in kommt nicht an den Klartext dieser Geheimnisse heran.

Natürlich muss key.matiq auch mal die Geheimnisse im Klartext verarbeiten (um sie Ihnen anzuzeigen, oder um sie zu verschlüsseln, oder um sie, wenn Sie es wünschen, an eine andere Box zu übertragen), aber das ist immer nur kurz und solche Klartexte sind immer nur im Hauptspeicher und finden nie den Weg auf die Platte. Der Hauptspeicher ist geschützt, der Aus­la­ge­rungs­be­reich (Swap-Space) ist verschlüsselt. Der Schlüssel dafür wird bei jedem Systemstart neu generiert und ist seinerseits nur im geschützten Hauptspeicher vorhanden.

Mit der Umstellung von key.matiq auf "Zero-Knowledge+" wird der Zugriff des Servers auf Kerngeheimnisse auf nicht anders zu bewältigende Fälle (z. B. Virenscans, umfangreiches Suchen) beschränkt und in diesen Ausnahmefällen nur dann durchgeführt, werdenn Sie dem ausdrücklich zustimmen. Ansonsten werden geheime Daten nur noch clientseitig (im Browser per JavaScript) ent- und verschlüsselt.

Restrisiken

Sie sehen vielleicht das Risiko, wir könnten in Versuchung geraten, kriminelle Energie zu entwickeln, Programme so zu verändern, dass sie uns doch etwas verraten, was sie nicht sollen.*

Ein entsprechendes Risiko gibt es bei lokalen Apps. Beim Einspielen von Updates hat die Hersteller*in jedes Mal die Möglichkeit, auch Malware einzubauen. Auf Updates kann man aber kaum verzichten, da sonst neu gefundene Sicherheitslücken nicht geschlossen werden könnten. Aber selbst, wenn man keine Updates einspielen würde, könnte die Hersteller*in schon von Anfang an eine Malware eingebaut haben, die nicht gleich, sondern erst zu einem späteren Zeitpunkt aktiv wird (Zero-Day-Angriff).

Ein viel größeres Problem ist dagegen die menschliche Unzulänglichkeit. Bei aller Sorgfalt können Fehler passieren. Deshalb können wir ja auch keine absolute Sicherheit versprechen. Aus diesem Grund lassen wir täglich Prüfprogramme laufen, die untersuchen, ob noch alles in Ordnung ist, ob auch wirklich keine kritischen Informationen in Log-Dateien mitgeschrieben werden, ob die Zugriffsberechtigungen noch stimmen, usw. usf. Und wir denken immer wieder darüber nach, ob wir etwas übersehen haben könnten.

Und aus diesem Grund haben wir das "Zero-Knowledge+"-Konzept entwickelt und implementieren es derzeit.

Was bleibt ist, dass ein Online-Dienst von überall her angesprochen werden kann, z. B. Kennworte ausprobiert werden können. Dagegen hilft jedoch die Zwei-Faktor-Authentisierung, mit der Sie den Zugriff auf ihre Geräte beschränken können.*

Abwägung gegen Sicherheits-Vorteile

Die Restrisiken von Web-Apps und die ansonsten gering erscheinenden Vorteile von lokalen Passwortmanagern sollten Sie aber unbedingt gegen die Vorteile von Online-Managern abwägen. Bedenken Sie dabei, dass bessere Bedienungsfreundlichkeit auch immer ein Plus an Sicherheit bedeutet, da damit der Tendenz entgegengewirkt wird, aus Bequemlichkeit Sicherheitsmaßnahmen zu unterlaufen.

Ein gewaltiger Vorteil von Web-Apps gegenüber lokalen Apps ist, dass erstere immer auf dem aktuellen Stand sind, während letztere nur über (oft erst spät vorgenommene) Updates aktuell gehalten werden können.

Web-Apps können auch Datensicherungen professionell und regelmäßig vornehmen, so dass Erpressungstrojaner (Ransomware) bezüglich der Daten, die in den Web-Apps gespeichert werden, ins Leere laufen.

Auch bedeutet die Unterstützung unterschiedlicher Betriebssysteme für lokale Apps einen höheren Test-Aufwand vor der Freigabe von neuen Versionen, was wiederum die letztendliche Behebung erkannter Sicherheitsrisiken verzögert. Web-Apps sind hier klar im Vorteil.

Ein Vergleich mit der nicht-digitalen Welt

Wenn Sie sagen: "Niemals würde ich meine Geheimnisse einem Online-Passwortmanager anvertrauen", dann ist das etwa so, wie wenn Sie sagen: "Niemals würde ich der Hausmeister*in unser Wohnanlage meinen Wohnungsschlüssel geben."

Wenn Sie dann aber sagen: "Einem Passwortmanager, der als heruntergeladene App installiert wird, würde ich schon benutzen", dann ist das etwa so, wie wenn Sie sagen: "Wenn die Hausmeister*in bei mir einzieht, gebe ich ihm natürlich schon den Schlüssel."

Einen Schlüssel auszuhändigen, verlangt viel Vertrauen. Aber jemand bei sich einziehen zu lassen, sollte doch viel mehr Vertrauen verlangen.

Könnte es vielleicht sein, dass der Gedanke eine Web-App zur Geheimnisverwaltung zu verwenden, einfach nur fremd und ungewohnt ist, während Sie sich schon längst daran gewöhnt haben, alle möglichen Programme auf Ihrem Rechner zu installieren ohne die Vertrauenswürdigkeit zu hinterfragen?

Übrigens: Gar keinen Passwortmanager zu verwenden, entspricht in diesem Vergleich grob gesagt der Gewohnheit, den Wohnungsschlüssel unter die Fußmatte zu legen.

*) So etwas käme bei uns überhaupt nicht in Frage. Es würde nicht nur unseren Zielen und Prinzipien widersprechen, sondern auch das Ergebnis all unserer jahrelangen Anstrengungen zunichte machen. Dennoch ist das Abwägen dieser theoretischen Möglichkeit berechtigt, weil es leider tatsächlich derartige Betrüger*innen gibt. Allerdings sind Dienstleister*innen leichter greifbar als die Hersteller*innen von lokal installierten Apps. Denn erstere unterliegen dem Impressumsgesetz und der DSGVO, während letztere vielleicht gar nicht mehr auffindbar sind, wenn Probleme auftauchen.

**) Dennoch können Sie selbst auch von einem beliebigen Computer der Welt aus auf Ihre key.matiq-Box zugreifen, wenn Sie sich einen sog. "Auth-Key" ausdrucken und auf Ihre Reisen mitnehmen.

Nächstes Thema:

Die Menschen dahinter