Passwortmanager: Gute Gründe für europäische Clouds oder Self Hosting
Einen Passwortmanager sollte jeder nutzen. Die bekanntesten sind jedoch aus Gründen nicht unbedingt die beste Wahl.
„Hatte Ihr Ehemann einen Spitznamen?“, „Sie haben eine Hündin – verraten Sie mir ihren Namen?“ – solche und ähnliche Fragen stellte Howard Lutnick, damals CEO des Finanzdienstleistungsunternehmens Cantor Fitzgerald, den Hinterbliebenen der 658 Kollegen, die bei den Terroranschlägen auf das World Trade Center am 11. September 2001 ums Leben gekommen waren, in den Tagen und Stunden danach.
„Unsere Computer waren in den Gebäuden. Es gab Backups, aber für die brauchte man Passwörter. Die Leute, die diese Passwörter hatten, waren tot“, sagte Lutnick Jahre später einem Reporter der New York Times. Stunden nach den Anschlägen entsandte Microsoft ein Team von IT-Sicherheitsexperten, die dabei helfen sollten, die Infrastruktur wieder aufzubauen und die Passwörter zu knacken. Dafür setzten die Techniker auf Brute Force und daneben auf zwei Fakten: Zum einen, dass Menschen dazu neigen, Passwörter zu recyclen. Zum anderen, dass sie meist Zeichenfolgen mit einer persönlichen Bedeutung wählen. Sie sollten Recht behalten. Zwei Tage, viel neue Hardware, viel Admin-Arbeit und viele Telefonate später konnte Cantor Fitzgerald den Betrieb wieder aufnehmen.
Seitdem hat sich die Art, wie Daten gesichert werden fundamental geändert. Statt On-Premise liegen Unternehmensdaten in einer Cloud. Passwortrecycling und das Wählen bedeutungsgeladener Passwörter, die man sich gut merken kann, sind allerdings immer noch verbreitet. Dabei lassen sich die Geheimnisse bequem an einen Passwortmanager auslagern. Eine solche Software generiert und speichert sichere Passwörter oder gleich Passkeys verschlüsselt auf den Endgeräten und in der Cloud, sodass man sich außer dem Masterpasswort zum Entschlüsseln der Daten nichts merken muss. Auswahl gibt es genug und grundsätzlich gilt, so das Bundesamt für Sicherheit in der Informationstechnik (BSI), dass es keinen Grund gibt, auf den Einsatz zu verzichten, sofern man bei der Auswahl darauf achtet, dass das Produkt grundsätzliche Sicherheitsanforderungen erfüllt, also etwa Nutzerdaten bestenfalls bereits lokal verschlüsselt sowie über sichere Vertriebswege verfügbar ist.
Das war die Leseprobe unseres heise-Plus-Artikels "Passwortmanager: Gute Gründe für europäische Clouds oder Self Hosting". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.
