B2B-Passwortschutz: NordPass für Unternehmen im Test

Auf einem gelb-leuchtenden Post-It klebt das Passwort gut sichtbar am Monitor. Dieser Albtraum aller Sicherheitsexperten ist in vielen Unternehmen immer noch gelebte Praxis. Die unsichere Merkhilfe kann man den Angestellten schon fast verzeihen, müssen sie im Alltag doch immer mehr Passwörter im Kopf behalten. Angefangen beim Confluence-Wiki, über das Marketingwerkzeug GetResponse bis zum Zugang für den Helpdesk, verlangt jeder weitere Cloud-Dienst seine eigenen Zugangsdaten. Genau die holt der Passwortmanager NordPass* aus den Köpfen der Mitarbeiter und Administratoren.

Hinter dem Cloud-Dienst steht das Unternehmen NordSecurity, das auf Sicherheitstechniken spezialisiert ist und mit NordVPN (Test) ein äußerst beliebtes VPN betreibt. Ihr Passwortmanager existiert in einer Fassung für Privatkunden sowie einer explizit auf Unternehmen zugeschnittenen Variante. Im Folgenden steht die letztgenannte „Business-Lösung“ im Fokus. Sie kommt nach Angaben von NordSecurity weltweit in über 7.000 Unternehmen zum Einsatz, zu den bekannteren Kunden zählt etwa Boredpanda.

Tipp: Wenn Sie sich für das Business-Angebot interessieren, achten Sie auf der NordPass-Website penibel auf die angezeigten Inhalte. Mitunter wechseln die Seiten unvermittelt zur Beschreibung des Privatkundenangebots.

Passwort-Management mit Versionsverwaltung

Wie jeder andere Passwortmanager verwahrt NordPass zunächst die von den einzelnen Mitarbeitern genutzten Passwörter, wie die Zugangsdaten zu den E-Mail-Postfächern oder zum LinkedIn- und Facebook-Firmenauftritt. Ein Limit gibt es nicht, der Passwortmanager verwahrt beliebig viele Anmeldedaten. Zu jedem gemerkten Passwort lassen sich weitere Daten speichern, etwa das Ablaufdatum eines Abonnements. Wer NordPass als Privatperson nutzt, darf bis zu 50 MByte große Dateien anhängen und so etwa ein PDF mit den Nutzungsbedingungen an die Anmeldedaten heften. Unternehmenskunden ist dies unverständlicherweise nicht gestattet.

Neben Passwörtern merkt sich NordPass auch Kreditkarten-Informationen sowie sensible Notizen – zu letzteren zählen unter anderem PINs oder exklusiv für ein Unternehmen eingerichtete Support-Rufnummern. Des Weiteren bietet NordPass eine eingebaute Versionsverwaltung: Ändert man ein Passwort, behält NordPass das alte im Gedächtnis und kann es bei Bedarf wieder zurückholen. Gleichzeitig lässt sich mit der Versionsverwaltung nachvollziehen, wann welche Anmeldedaten geändert wurden. NordPass merkt sich allerdings nur jeweils maximal zehn Vorgänger.

Passwortschutz auf (fast) allen Systemen

Nutzen lässt sich der Passwortmanager über eine vom Hersteller bereitgestellte App oder direkt im Browser. Letztgenannten kann man mit der NordPass-Erweiterung ausrüsten, die für Chrome, Firefox, Safari, Opera (Test), Edge und sogar Brave existiert. Die Erweiterung setzt unter anderem in Internetformulare automatisch die zugehörigen Anmeldedaten ein. Die App wiederum steht für iOS und Android sowie die großen Betriebssysteme Windows, macOS und Linux parat. Bei genauerem Hinsehen offenbaren sich aber Lücken: So steht der Linux-Client ausschließlich als Snap-Paket für Ubuntu bereit. In unseren Tests bot uns Firefox zudem nur die NordPass-Erweiterung mit der „Legacy“-Kennzeichnung an. Sie ist veraltet und zudem mit einer Sicherheitswarnung der Firefox-Entwickler gekennzeichnet. In unseren Tests lief sie aber noch stabil. Laut Entwickler soll kurz nach unserem Test eine neue, verbesserte Version der Erweiterung veröffentlicht werden.

In jedem Fall synchronisiert NordPass die gespeicherten Daten automatisch zwischen allen Clients, sodass Mitarbeiter von beliebigen Geräten aus an ihre Passwörter gelangen. Beim Ausfall einer Internetverbindung lassen sich gespeicherte Passwörter in der Nordpass-Version für Privatnutzer (Test) weiterhin einsehen. Die Business-Fassung von NordPass arbeitet hingegen nur bei bestehender Internetverbindung. In Einzelfällen kann das zu Problemen führen, etwa wenn ein Außendienstler im Zug durch die mobilfunkfreie Pampa fährt und dabei dringend seine Zugangsdaten für Microsoft 365 benötigt.

Hilfreiche Automatiken

Auf Wunsch blickt NordPass den Mitarbeitern über die Schulter: Sobald ein Mitarbeiter Anmeldedaten eintippt, bietet ihm NordPass automatisch an, sie direkt in seinen Speicher zu übernehmen. Kehrt der Mitarbeiter später auf die Seite zurück, füllt der Passwortmanager das entsprechende Anmeldeformular automatisch aus. Die Mitarbeiter müssen folglich nicht die Anmeldedaten bei LinkedIn und Co mühsam selbst abtippen. Laut Eigenwerbung setzt NordPass bei dieser Funktion maschinelles Lernen ein, um etwa die Erkennung von Formularen und die Klassifikation zu verbessern. Derzeit können zudem nur die Desktop-Clients einige persönliche Daten der Mitarbeiter, wie Namen, E-Mail-Adresse und Telefonnummer erfassen und dann in entsprechenden Registrierungsformularen automatisch eintragen.

NordPass besitzt eine eingebaute Texterkennung (OCR), die handschriftlich notierte (WLAN-)Passwörter, Kreditkartendaten und andere sensible Daten einliest, erkennt und direkt speichert. Die Mitarbeiter müssen folglich lediglich ihre Kreditkarten und das Kärtchen mit dem WLAN-Passwort im Hotel abfotografieren, damit NordPass die entsprechenden Informationen kennt und später automatisch in die passenden Formulare einsetzt.

TOTP- und Passwort-Generatoren

Bei der Registrierung an einem neuen Cloud-Dienst erzeugt NordPass selbstständig ein komplexes und sehr sicheres Passwort. Administratoren dürfen in die Generierung eingreifen und Passwortrichtlinien vorschreiben. So könnten sie beispielsweise festlegen, dass die erzeugten Passwörter mindestens 32 Zeichen lang sein sowie aus Groß- und Kleinbuchstaben bestehen müssen. Sollen sich die Mitarbeiter die Passwörter merken können, setzt sie der Passwortgenerator auf Wunsch aus einzelnen Wörtern zusammen.

Des Weiteren generiert NordPass zeitbasierte Einmalpasswörter (Time-based one-time password, TOTP), wie sie GitLab, Stripe und einige weitere Dienste bei der Zwei-Faktor-Authentifizierung (2FA) einfordern. Auf diese Weise benötigen die Mitarbeiter keine zweite App wie den Google Authenticator. Das Einmalpasswort gibt NordPass erst dann frei, wenn sich der Mitarbeiter noch einmal explizit per Fingerabdruck oder einem anderen biometrischen Merkmal gegenüber NordPass zu erkennen gibt. Damit zieht der Passwortmanager anders als manch ein Konkurrent eine zusätzliche kleine Sicherheitsebene ein.

Passkey-Verwaltung inklusive

NordPass kann zudem mit Passkeys umgehen, die langfristig die klassischen Passwörter ablösen sollen. Dabei wickelt der Passwortmanager selbstständig die Anmeldung über eine Variante des sicheren FIDO2-Verfahrens (Wikipedia) ab. Die Mitarbeiter müssen die Anmeldung lediglich mit ihrer Geräte-PIN, einem Fingerabdruck oder einem anderen biometrischen Merkmal abnicken. Insbesondere entfällt so die umständliche Zwei-Faktor-Authentifizierung.

Da NordPass die Passkeys verwaltet und das Einloggen übernimmt, geraten die Mitarbeiter gar nicht erst in Versuchung, das Passwort auf einem Post-It an ihren Monitor zu heften. Im Gegenzug erfordert die Anmeldung zwingend einen NordPass-Client. Da dieser aber für fast alle Plattformen bereitsteht, sind die Mitarbeiter deutlich unabhängiger, als etwa bei Apple, wo man für den Einsatz von Passkeys ein Apple-Gerät benötigt.

Wer umgekehrt den eigenen Kunden die Anmeldung via Passkeys auf seiner Website erlauben möchte, sollte einen Blick auf den derzeit noch kostenlosen NordPass-Dienst Authopia werfen: Er stellt vorgefertigte Komponenten und Formulare bereit, die man lediglich in die eigenen Seiten einbauen muss. Die Anmeldung und Authentifizierung wickelt dann vollständig Authopia ab.

Flexible Datenfreigabe

Bei Bedarf erhalten mehrere Mitarbeiter Zugriff auf dieselben Daten. Auf diese Weise nutzen beispielsweise alle Außendienstmitarbeiter die gleiche Kreditkarte für Hotelbuchungen. Damit nicht einer von ihnen auf die Idee kommt, diese essenziellen Daten zu ändern, lässt sich der Zugriff gezielt einschränken. Die Außendienstmitarbeiter dürfen dann beispielsweise nur noch die Kreditkarteninformationen einsehen. Im Zweifelsfall lassen sich Konten komplett sperren. Sollte ein Mitarbeiter kündigen, übertragen wenige Mausklicks seine Passwörter und Kreditkartendaten an andere Mitarbeiter.

Um die Sicherheit beim Passwort-Austausch zu erhöhen, kann man Kollegen explizit als vertrauenswürdige Kontakte einstufen (Trusted Contact). Darüber hinaus lassen sich Nutzergruppen bilden und die sensiblen Daten in Ordnern thematisch zusammenfassen. So landen etwa alle Social-Media-Konten übersichtlich in einem eigenen Ordner. Letztgenannte kann man gezielt für andere Mitarbeiter freigeben, muss in diesen Shared Foldern dann aber auf die eingebaute Versionsverwaltung verzichten. Einen Überblick über alle ausgetauschten Informationen liefert der Freigabe-Hub (Sharing Hub), der sich allerdings derzeit noch in einer Testphase befindet.

Auf Wunsch erzeugt NordPass einen Link, über den externe Empfänger Zugriff auf ein Passwort erhalten. Was nach einem Sicherheitsproblem klingt, hat durchaus eine praktische Anwendung: Über einen solchen Link könnte ein Unternehmen einem Kunden seine Zugangsdaten für das Support-Center mitteilen. Diese Übermittlung des Passworts ist sicherer, als sie in einer Klartext-E-Mail an den Kunden zu schicken. Der Link verfällt automatisch nach einer vorgegebenen Zeitspanne, beispielsweise nach 24 Stunden. Diese Form der Passwortfreigabe könnte aber auch Mitarbeiter dazu verleiten, externen Personen unternehmensinterne Passwörter zu übermitteln. Daher sollte man die externen Links nur mit passenden Zugriffsrechten und klaren unternehmensinternen Regeln erlauben. Administratoren können zudem das Teilen von Passwörtern mit externen Personen untersagen.

Compliance, Monitoring und Protokollierung

Welcher Mitarbeiter sich wann wo eingeloggt hat, merkt sich NordPass in einem Protokoll. Das lässt sich sogar über eine Programmierschnittstelle anzapfen und so automatisiert auswerten. Die Passwörter tauchen dabei nicht im Klartext im Protokoll auf – man kann lediglich sehen, für welchen Dienst ein Mitarbeiter einen Login angefordert hat. Ergänzend lässt sich NordPass mit dem Compliance-Dienst Vanta und der Monitoring-Plattform Splunk integrieren. Damit kann man im Fall der Fälle schnell nachvollziehen, wer die Kreditkarte zuletzt mit einem hohen Betrag belastet hat. Umgekehrt ermöglicht das Protokoll aber auch, die Angestellten zu überwachen. Den Einsatz des Aktivitätsprotokolls sollte man daher mit dem Betriebsrat absprechen.

Wegwerfadressen und Spam-Fallen

NordPass erzeugt auf Knopfdruck E-Mail-Aliase, die der Passwortmanager etwas unüblich als E-Mail-Masken bezeichnet. Alle an eine solche E-Mail-Adresse geschickte Post leitet NordPass an die E-Mail-Adresse des Nordpass-Kontos weiter. Dank der Aliasadressen kann ein Unternehmen einen Dienst anonym nutzen. Das ist beispielsweise sinnvoll, wenn die Firma ein neues Marketingwerkzeug sucht und sich dafür bei mehreren Anbietern einen Testzugang verschafft. Setzt man für jeden Dienst eine eigene E-Mail-Maske ein, kann man zudem genau verfolgen, von welchem Dienst Spam ausgeht und diesen dann einfacher ausfiltern. Eine E-Mail-Maske lässt sich schnell deaktivieren oder löschen, sollten sie Spammer als Ziel für sich entdeckt haben oder der genutzte Dienst kompromittiert worden sein. Wird der Dienst im Unternehmen nicht mehr benötigt, muss man ebenfalls nur die E-Mail-Maske eliminieren.

NordPass generiert die Aliasadressen selbst, in die Namenswahl eingreifen darf man nicht. Das führt zu generischen E-Mail-Adressen wie „nature.hike2725@eagereverest.com“. Die wiederum erkennen einige Dienste und verweigern dann die Registrierung. Den Versand der E-Mails wickelt ein nicht näher benannter Drittanbieter im Hintergrund ab.

Geniale Sicherheitschecks

NordPass prüft alle gespeicherten Passwörter auf ihre Stärke und ihr Alter. Auf diese Weise spürt man schnell unsichere Passwörter auf. Wird ein genutzter Dienst kompromittiert, könnten sich die Angreifer mit dem erbeuteten Passwort auch bei allen anderen Diensten anmelden, bei denen man das gleiche Passwort einsetzt. NordPass brandmarkt daher alle Passwörter, die bei mehreren Diensten gleichzeitig zum Einsatz kommen.

Immer wieder schaffen es Angreifer, in Dienste einzubrechen und dort die Datenbanken mit Nutzerkonten und Kreditkarteninformationen zu erbeuten. Wenn dann Kriminelle mit diesen Daten Einkaufen gehen, kann es für ein Unternehmen schnell teuer werden. Verhindern sollen das gleich zwei in NordPass eingebaute Werkzeuge: Der „Datenleck-Scanner“ (Data Breach Scanner) prüft kontinuierlich oder explizit per Knopfdruck, ob die ihm anvertrauten E-Mail-Adressen und Kreditkarteninformationen irgendwo von Einbrechern erbeutet wurden und in entsprechenden Listen im Darknet auftauchen. In solchen Fällen warnt der Datenleck-Scanner das Unternehmen, liefert umfassende Informationen zur Sicherheitslücke und empfiehlt weitere Maßnahmen.

Die zweite Funktion prüft, ob eines der Passwörter bereits im Darknet aufgetaucht ist. Dazu konsultiert NordPass im Hintergrund einen nicht näher genannten Dienstleister. Der erhält immerhin nicht die Passwörter im Klartext, sondern nur einen Teil eines Fingerabdrucks (in Form eines Hashwerts). Unternehmen können selbst entscheiden, ob sie ihren Mitarbeitern die Nutzung von solchen gefährdeten Passwörtern weiterhin erlauben möchten. Alle sicherheitsrelevanten Informationen bereitet NordPass in Statistiken auf, die wiederum ein Dashboard übersichtlich zusammenfasst.

Zugriff auf NordPass

Da NordPass aufgrund der eingelagerten Passwörter ein lukratives Angriffsziel darstellt, lässt sich der Zugriff über eine Multi-Faktor-Authentifizierung absichern. Im einfachsten Fall kommt dabei ein Sicherheitscode zum Einsatz, wie ihn der Google Authenticator erzeugt. Alternativ oder ergänzend melden sich die Mitarbeiter mit ihrem Fingerabdruck oder einem anderen biometrischen Merkmal an. Nach einer vorgegebenen Zeit loggt NordPass den Anwender zudem automatisch wieder aus (Autolock).

Unternehmenskunden bietet NordPass ein Single-Sign-On (SSO) via Google Workspace, Microsoft ADFS, Azure AD beziehungsweise Entra ID und Okta. Über die beiden letztgenannten Identitätsmanagementdienste lassen sich auch Nutzer und Gruppen bereitstellen. Unternehmen können zudem gezielt einzelne Geräte für den Zugriff sperren. Auf diese Weise erhalten beispielsweise in Außenstellen gemeinsam genutzte Mobiltelefone keinen Zugriff auf NordPass.

Im- und Export zu Fuß

Nur auf Android-Geräten übernimmt NordPass auf Wunsch die im Browser des jeweiligen Mitarbeiters gespeicherten Passwörter. Möchte man die Zugangsdaten aus Desktop-Browsern oder anderen Passwortmanagern wie 1Password oder KeePass einpflegen, muss man sie zunächst exportieren und dann wieder in NordPass importieren. Dabei präferiert NordPass das CSV-Format, versteht bei vielen Passwortmanagern aber auch andere Dateiformate. So verdaut NordPass die Passwörter aus Bitwarden alternativ im JSON-Format und kann sie sogar direkt aus LastPass übernehmen.

Über eine CSV-Datei können Unternehmen auch beliebige andere existierende Passwortlisten schnell in NordPass einpflegen. Die CSV-Datei muss dabei einem festen Aufbau folgen, den die NordPass-Dokumentation beschreibt. Umgekehrt exportiert NordPass bei Bedarf die in ihm gespeicherten Informationen unverschlüsselt in eine CSV-Datei.

International europäisch

Hinter NordPass steht laut Impressum das niederländische Unternehmen NordSecurity, das mit NordVPN bereits ein etabliertes VPN betreibt. Die für Firmenkunden zuständige NordPass Business sitzt allerdings seit 2023 in den USA. Hier könnte unter Umständen ein Konflikt mit den europäischen Datenschutzverordnungen entstehen. Zudem dürften viele deutsche Unternehmen ein mulmiges Gefühl verspüren, sensible interne Daten in die Hände einer ausländischen Firma zu legen. NordPass begegnet dem mit zwei separaten Rechenzentren in den USA und Europa, die jeweils die Datenschutzanforderungen ihrer Regionen berücksichtigen. Bei der Registrierung muss man sich zwingend für eines der beiden Rechenzentren entscheiden. Die Mitarbeiter benötigen ebenfalls Konten im gleichen Rechenzentrum, andernfalls lassen sie sich nicht mit dem Unternehmenskonto verknüpfen.

Zero Knowledge dank clientseitiger Verschlüsselung

Die in NordPass gespeicherten Daten lagern verschlüsselt auf einem Server des Anbieters. Auf diesen sogenannten Tresor (Secure Vault) hat NordPass nach eigenen Angaben keinen Zugriff. Die Datenübertragung erfolgt Ende-zu-Ende verschlüsselt: Ausschließlich die Clients chiffrieren und dechiffrieren alle in NordPass gespeicherten Passwörter. Auf dem Server von NordPass kommen somit nur unleserliche Daten an. NordSecurity erhält somit prinzipiell keinen Einblick in die Daten (Zero-Knowledge-Architektur). Sollte NordPass einem Hackerangriff zum Opfer fallen, könnten die Einbrecher ebenfalls nur kryptische Datenberge erbeuten.

Die eigentliche Chiffrierung übernimmt das derzeit als sicher geltende XChaCha20-Verfahren mit 256 Bit langen Schlüsseln. Über die konkrete Implementierung schweigt sich NordPass jedoch aus. Da der Quellcode nicht offen liegt, muss man NordPass hier vertrauen. Nach Angaben von NordSecurity erfüllt NordPass die IT-Sicherheitsstandards ISO 27001 und SOC 2 Type 2. Die Prüfung erfolgte allerdings schon 2020 durch die deutsche Sicherheitsfirma Cure53. Die Ergebnisse können bei NordPass registrierte Nutzer herunterladen.

Tarife

Unternehmen erhalten NordPass lediglich im Jahresabonnement. Wer sich gleich zwei Jahre bindet, bekommt einen Rabatt. Die tatsächlichen Kosten hängen maßgeblich von der Anzahl der Nutzer und dem Funktionsumfang ab. Derzeit liegt der günstigste Tarif „Teams“ bei 1,99 EUR pro Monat und Nutzer bei einem Einjahresvertrag. Erlaubt sind dabei maximal zehn Nutzer, zudem muss man auf das Sicherheits-Dashboard und viele weitere Funktionen verzichten.

Den vollen Funktionsumfang ohne Limitierungen gibt es für 5,99 EUR pro Nutzer und Monat, ebenfalls bei einer einjährigen Bindung. Dieser Tarif „Enterprise“ ist primär für sehr große Unternehmen gedacht. Nur in ihm stellt NordPass einen eigenen Kundenbetreuer ab und offeriert Schulungen. Alle anderen Abonnements erhalten immerhin zu jeder Tages- und Nachtzeit Live-Support. Obendrein steht eine ausführliche Online-Dokumentation bereit. In jedem Fall lässt sich NordPass 14 Tage kostenlos testen. Ein Upgrade vom niedrigsten „Teams“-Tarif ist jederzeit möglich, eine Rückkehr bleibt jedoch grundsätzlich verwehrt. Einen Wechsel sollte man sich folglich gut überlegen.

Fazit

NordPass* bietet Unternehmen eine komfortable Möglichkeit, Passwörter und sensible Daten an einer zentralen Stelle sicher zu verwalten. Allerdings vertraut man damit wichtige Unternehmensdaten einer fremden Firma an, deren Server immerhin in der Europäischen Union stehen. Ferner verlangt der Passwortspeicher nach eigenen Apps und Browser-Erweiterungen. An die Anmeldedaten kommt man nur, solange das Gerät gerade online ist. Im Gegenzug erhält man einen sicheren Datenspeicher mit extrem nützlichen Komfortfunktionen. Highlights sind zweifelsohne die E-Mail-Aliasadressen und die für Unternehmen schon unverzichtbare Datenlecküberwachung.

* Mit einem Stern markierte Links sind Affiliate-Links, für die wir unter Umständen eine Provision erhalten. Der Kaufpreis erhöht sich dadurch nicht!

Redaktion & Aktualisierung: heise Download-Team

Weiterlesen: E-Mail-Marketing: Anbieter von Newsletter-Tools im Vergleich