Mann am Laptop benutzt Passwortmanager
1Password
1Password

Nicht alle Passwortmanager legen Wert auf Datenschutz

Mit Passwortmanagern lassen sich komplexe Passwörter erstellen und speichern. Nicht alle Hersteller legen aber auch Wert auf die Privatsphäre der Nutzerinnen und Nutzer. Das deutsche Computerfachmagazin „c’t“ hat etliche Programme untersucht. Selbst bekannte Markenhersteller teilen nutzerbezogene Informationen mit Drittfirmen. Es gibt jedoch auch lobenswerte Beispiele.

Sendungshinweis

„Help“, das Ö1-Konsumentenmagazin, jeden Samstag um 11.40 Uhr in Radio Ö1.

Auch als Podcast.

Ein gutes Passwort sollte mindestens 20 Zeichen haben und aus zufälligen Groß- und Kleinbuchstaben sowie Ziffern und Sonderzeichen bestehen. Schwer zu knacken, aber auch schlecht zu merken. Hier helfen Passwortmanager. Sie können komplexe und somit sichere Passwörter generieren und in einem Passwortsafe speichern. Man muss sich lediglich ein Hauptpasswort, das so genannte Masterpasswort, merken.

Das Masterpasswort keinesfalls vergessen

Zwar könnte man die Software oft auch so konfigurieren, dass das Masterpasswort automatisch beim Programmstart eingefügt wird, das sollte man aber keinesfalls machen, sagt Jan Schüßler, Redakteur beim Computermagazin „c’t“. In so einem Fall könnten Unbefugte, die zufällig Zugang zum Rechner erhalten, die Abfrage des Masterpassworts einfach überspringen und auf diese Weise Zugang zu den Onlinekonten der betroffenen Anwenderinnen und Anwender erhalten. Das Masterpasswort ist das einzige Passwort, das man sich tatsächlich merken muss, wenn man einen Passwortmanager einsetzt, sagt Schüßler.

Für den Fall, dass man das Masterpasswort einmal vergisst, sollte man es notiert und an einem wirklich sicheren Ort gelagert haben. Dieser geheime Ort sollte jedenfalls so sicher sein, dass er im Zweifelsfall auch von Einbrechern nicht entdeckt werden kann. Wenn das Masterpasswort endgültig verloren geht, sei die Wahrscheinlichkeit groß, dass auch sämtliche im Passwortsafe gespeicherten Zugangsdaten unwiederbringlich gesperrt sind. Auch die Programmhersteller haben in solchen Fällen keine Möglichkeit, auf die im Safe gespeicherten Daten zuzugreifen, da das persönliche Masterpasswort ausschließlich den Kundinnen und Kunden bekannt war.

Mann am PC und Laptops benutzt Passwortmanager
1Password
Cloudbasierte Passwortmanager können auf mehreren Plattformen genutzt werden

Experte: Programme können Passwörter sicher verwahren

Manche Programme arbeiten ohne Internetanbindung, andere legen die gespeicherten E-Mail-Adressen und Kennwörter auf Cloud-Servern ab. Dadurch können sie plattformübergreifend genutzt werden. Etwa am PC, dem Smartphone und dem Tablet. Um die Sicherheit der gespeicherten Codes müsse man sich keine großen Sorgen machen, meint „c’t“-Redakteur Schüßler.

Man sei absolut in der Lage, den Passwortspeicher so zu konstruieren, dass es mit den bislang gängigen Hacker-Methoden nicht möglich ist, die verschlüsselten Passwortdaten zu knacken, so Schüßler. Dies habe man etwa am Beispiel des bekannten Programms „LastPass“ sehen können. Bei „LastPass“ habe es in der Vergangenheit mehrfach „mehr oder weniger haarsträubende Sicherheitslücken“ gegeben, so der „c’t“-Experte. Dennoch sei es in keinem Fall möglich gewesen, „die Kundenpasswörter abzuräumen“.

LastPass und Avira teilen Nutzerdaten mit Drittfirmen

Doch auch wenn die Passwörter von praktisch allen Programmen sicher verwahrt werden – mit anderen persönlichen Daten der Kundinnen und Kunden nehmen es nicht alle Anbieter so genau. Manche haben so genannte Tracker in die Software integriert. Das sind kleine Programme, die das Nutzerverhalten der Anwenderinnen und Anwender protokollieren.

Darunter können sich sehr persönliche Informationen wie das Alter oder das Herkunftsland befinden, so Schüßler. Auch Wissenswertes über die genutzten Anwendungen und persönlichen Vorlieben können erfasst und weitergegeben werden. Etwa welche Musik man gerne hört und welche Sportarten man bevorzugt. Auf diese Weise können sehr detaillierte Persönlichkeitsprofile erstellt werden, die auch an Drittanbieter weitergegeben werden können. Unter den besonders auskunftsfreudigen Programmen waren leider auch etliche Produkte bekannter Hersteller wie „LastPass“, „Avira“ oder „Dashlane“, so „c’t“-Redakteur Schüßler.

1Password – Desktop
1Password
1Password teilt die erhobenen Nutzerdaten nicht mit Drittanbietern

Die Praxis, persönliche Kundeninformationen auch an Drittfirmen weiterzugeben, habe meist rein finanzielle Gründe, denn diese Anbieter seien Teil eines Werbenetzwerks, so der Fachredakteur. Grundsätzlich sei es auch nicht verwerflich, dass solche Nutzerdaten erhoben werden, bei der Wahl eines geeigneten Passwortmanagers sollte man aber darauf achten, dass erhobene Leistungsdaten nur an den Programmhersteller übertragen und nicht einer Vielzahl von Drittfirmen zur Verfügung gestellt werden.

Dashlane rechtfertigt sich

In einer Stellungnahme Von „Dashlane“ gegenüber help.ORF.at heißt es zum Thema Datenweitergabe, dass Dashlane mit Drittanbietern zusammenarbeitet, die Tools für das Programm zur Verfügung stellen, um die Software zu verbessern. In solchen Fällen würden Daten zur Verfügung gestellt, „um Partner, die dem Unternehmen bei der Vermarktung helfen, fair zu entlohnen.“ Weiter heißt es: „Die Integration von Drittanbietern beinhaltet keinen Austausch von persönlichen Daten gegen Geld oder eine andere Gegenleistung. Die Inhalte in den Benutzerkonten sind weder für Dashlane noch für andere Personen zugänglich.“

Im Test gab es aber auch durchaus positive Beispiele, also Anbieter, die mit der Weitergabe persönlicher Daten durchwegs sparsam umgegangen sind, sagt Schüßler. Darunter befanden sich Hersteller wie „mSecure“, „SaferPass“, und „SecureSafe“.

Experte: 1Password in Sachen Datenschutz vorbildlich

Auch eines der bekanntesten Programme konnte die Experten in Sachen Datenschutz überzeugen. Im Rahmen der Untersuchung habe man kontrolliert, mit welchen Servern die einzelnen Applikationen kommunizieren, so Schüßler. Das Programm „1Password“ habe Nutzerdaten zwar erhoben, diese aber ausschließlich an die Herstellerfirma gesendet.

Fast alle im Test vertretenen Programme stehen kostenlos oder als kostenpflichtiges Abo zur Verfügung. Die Aboversionen kosten etwa 30 bis 50 Euro im Jahr und bieten einen größeren Funktionsumfang. Vernünftigen Kundensupport könne man sich allerdings nur als zahlender Kunde erwarten, so Schüßler.

KeePass arbeitet ohne Internetanbindung

Wer auf Datenschutz besonders viel Wert legt, sei mit Open-Source-Lösungen wie „KeePass“ oder dem „PasswordSafe“, der von dem Software-Experten Bruce Schneier mitentwickelt wurde, am besten bedient. Hier müsse man aber ein gewisses technisches Grundwissen mitbringen, die Programme sind nicht selbsterklärend. Wem Datenschutz und Bedienungskomfort gleichermaßen wichtig sind, für den sei 1Password in jedem Fall eine gute Wahl, meint der „c’t“-Experte.