Datenschutz Verstehen – Passwort-Manger
Kurze Einleitung:
Eine wichtige organisatorische Maßnahme im Bereich des Datenschutzes ist es, sichere Passwörter zu verwenden. So banal diese Maßnahme zunächst klingen mag, ist sie ein sehr wichtiger Bestandteil der Zugriffsbeschränkung zu personenbezogenen Daten von unbefugten Dritten. Hierbei fällt es den Mitarbeitern oft nicht leicht sich die komplexen Passwörter zu merken, weshalb triviale Passwörter verwendet werden. Hinzu kommt, dass häufig für mehrere Seiten oder Anwendungen die selben Passwörter verwendet werden, was im Falle einer sog. “Datenpanne” durch beispielsweise Phishing weitreichende Konsequenzen und Sanktionen für die Verantwortlichen haben kann. Eine (datenschutzrechtlich) sichere und praxisorientierte Lösung bieten Passwort-Manager, weshalb wir Ihnen diese im folgenden Beitrag näher vorstellen möchten.
Was ist ein Passwort Manager?
Ein Passwort-Manager, auch Kennwort-Manager oder Passwort-Safe genannt, speichert Passwörter und Benutzernamen als Zugangskennung für den jeweiligen Nutzer verschiedener Websites und Anwendungen. Die Zugangsdaten werden in verschlüsselten Datenbanken gespeichert, wobei der Abruf oftmals sowohl online als auch offline möglich ist. Der große Vorteil dieses Passwort-Managers ist, dass man sich die zahlreichen Passwörter nicht notieren oder selber merken muss. Somit werden beispielsweise Zettel mit dem Passwort unter der Tastatur vermieden, welche unbefugten Dritten einen schnellen und einfachen Zugang zu dem Nutzerkonto gewähren können. Auch wird einem häufigen Vergessen des komplexen Passwortes vorgebeugt. Oft ist innerhalb des Passwort-Managers auch ein Passwort-Generator enthalten. Das heißt, es muss sich kein komplexes Passwort regelmäßig durch den Nutzer ausgedacht werden, sondern der Passwort-Manager generiert automatisch ein Passwort, das sehr hohen Sicherheitsstandards entspricht (oftmals mehr als 20 Zeichen). Für den Passwort-Manager wird lediglich ein Masterpasswort benötigt, mit welchem der Nutzer dann Zugang zu allen gespeicherten Passwörtern erhält. Somit muss sich der Nutzer nur das Masterpasswort merken. Besonders sichere Passwort-Manager ermöglichen den Zugang über eine Zwei-Faktor-Authentifizierung, also z.B. die zusätzliche Verifikation des Nutzers über eine SMS an eine hinterlegte Telefonnummer. Über diesen zweiten Faktor wird der bestmögliche Zugangsschutz ermöglicht.
Arten von Passwort-Managern
Für die Nutzung eines Passwort-Managers gibt es viele verschiedene Möglichkeiten und vor allem Anbieter. Es sollte demnach sorgfältig definiert werden, was von der Nutzungsart und den Funktionen am besten in den Alltag bzw. in das Unternehmen passt. Deshalb möchten wir Ihnen im Folgenden die unterschiedlichen Arten von Passwort-Managern und ihre Vor- und Nachteile vorstellen.
Cloud basierter Manager
Es gibt zum Beispiel die cloud-basierten Manager wie LastPass, Dashlane oder Encryptr. Diese zeichnen sich durch ihre einfache und bequeme Bedienung aus. Die Passwörter sind auf allen Geräten abrufbar, egal ob Handy, Laptop, Tablet. Das ist ein klarer Vorteil einer cloud-basierten Anwendung. Es sollte jedoch darauf geachtet werden, dass der dahinter stehende Clouddienst keinen Zugriff auf die Daten hat. Dies erfolgt durch eine zusätzliche Verschlüsselung der Daten durch den Passwort-Manager gegenüber dem Clouddienst. Die Nutzung läuft oft über Browser-Plugins, das heißt im jeweiligen Browser erkennt das Plug-in des Browsers automatisch ein eingegebenes Passwort und speichert dieses dann auf Ihren Befehl hin im Passwort-Manager ein.
Lokal installierte Systeme
Ebenfalls bietet sich die Möglichkeit, ein lokal installiertes System zu verwenden. Zugangsdaten bleiben so lokal im Rechner gespeichert, was im Vergleich zu Clouddiensten nochmal einen erhöhten Sicherheitsstandard bietet. Es erfolgt demnach auch kein automatisches Synchronisieren auf andere Geräte. Oft besteht jedoch auch bei lokal installierten Systemen die Möglichkeit, diese mit Clouddiensten zu synchronisieren. Diese Art des Passwort-Managers ist von Vorteil, wenn auf wenigen Geräten gearbeitet wird, da der Komfort eines cloud-basierten Managers, dann nicht unbedingt benötigt wird, man aber einen erhöhten Sicherheitsstandard erreicht. Die Verschlüsselung der Daten erfolgt hierbei über SSH-Keys oder lokale Zugänge. Es sollte hierbei jedoch zusätzlich ein Masterpasswort erstellt werden. Beachten Sie bitte, dass es sich bei lokaler Verarbeitung solcher sensiblen Daten auf Endgeräten anbietet, eine Verschlüsselung des Speichermediums vorzunehmen (z.B. Bitlocker). So schützen Sie sich vor einer Offenlegung der Daten bei Verlust oder Diebstahl der Endgeräte.
Passwort Generatoren
Passwort Generatoren sind ebenfalls eine Art Passwort-Manager. Diese speichern zwar selbst keine Passwörter, sie regenerieren jedoch die Zugangsdaten aus bekannten Informationen immer wieder neu. Dabei wird eine Kombination aus Metadaten (etwa Zugangsdaten oder URL des Dienstes) sowie ein Kennwort erzeugt. Das Programm kann nach Bedarf immer wieder das gleiche Passwort erzeugen. Hierdurch wird ein hoher Schutz vor Hackerangriffen ermöglicht, da keine lokale Speicherung der Passwörter stattfindet.
Vorteile und Nachteile eines Passwort-Managers
Wie bereits angedeutet, gibt es bei der Entscheidung für (oder gegen) einen Passwort-Manager Vor- und Nachteile zu berücksichtigen. Die Vorteile sind im Folgenden:
- die Hilfe bei der Erstellung sicherer Passwörter
- es muss sich nur ein Passwort gemerkt werden (Masterpasswort)
- die Verwaltung von allen Passwörtern gleichzeitig ist möglich
- es ist eine Synchronisierung mit einem Clouddienst möglich
- es wird vor gefährdeten Webseiten und Phishing Attacken gewarnt.
Nachteile eines Passwort-Managers können wie folgt beschrieben werden:
- Probleme bei Verlust des Masterpassworts
- es können alle Passwörter auf einmal gestohlen werden, falls ein Hackerangriff erfolgreich ist
- ein hohes Maß an Vertrauen in den Clouddienst ist notwendig, da diese oft Zugriff auf die Daten haben.
Bei der Wahl eines Passwort-Managers sind die aufgeführten Vor- und Nachteile zu berücksichtigen. Ebenfalls ist eine Differenzierung nach Abstufung des Sicherheitsstandards anhand der oben beschriebenen Arten des Passwort-Managers und der verschiedenen Anbieter durchzuführen. Ob Sie letztendlich einen Passwort-Manager privat oder im Rahmen Ihres Unternehmens verwenden möchten, hängt demnach stark von der Art ihrer Tätigkeit und ihrer persönlichen Präferenz bzw. einer entsprechenden Risikoabwägung ab.
Wie sicher sind Passwort-Manager?
Haben Sie sich dafür entschieden, einen Passwort-Manager zu verwenden, stellt sich die Frage nach der Sicherheit eines Passwort-Managers. Die meisten Passwort-Manager sind kostenpflichtig, dafür sind diese allerdings auch sicherer als die kostenlosen Manager. Von kostenlosen Browser Managern, wie z. B. Firefox, Safari, Chrome und Edge ist deshalb eher abzuraten, da sie oft Ziel von Hackerangriffen sind. Bei den kostenpflichtigen Anwendungen wird üblich ein Advanced Encryption Standard (AES) eingesetzt, welches das Entschlüsseln für Hacker sehr schwierig macht. Das Masterpasswort wird meist nicht in der Datenbank gespeichert und ist daher schwierig zu hacken bzw. einen Zusammenhang für Hacker herzustellen. Im Grundsatz gilt daher, je sicherer das Masterpasswort, desto sicherer der Passwort-Manager. Es wird zusätzlich oft eine Zwei-Faktor-Authentifizierung verwendet für noch mehr Sicherheit.
Sichersten Passwort-Manager im Vergleich
Für verschiedene Unternehmen und Personen können unterschiedliche Anbieter von Passwort-Managern von Vorteil sein. Es muss daher individuell entschieden werden, welches am besten geeignet ist. Es gibt noch viele weitere Anbieter, wir haben Ihnen hier jedoch die sichersten zum Vergleich zusammengefasst.
1Password
Der Anbieter 1Password ist ein sehr sicherer Passwort-Manager. Er zeichnet sich durch eine einfache Bedienung und eine gute Ausstattung aus. Allerdings ist kein Password Sharing im Standard Tarif möglich. Es besteht die Möglichkeit ein recht einfaches Masterpasswort zu wählen, da ein zusätzlicher Schlüssel notwendig ist, um neue Geräte anzubinden. Die Einrichtung einer Zwei-Faktor-Authentifizierung ist möglich, sowie eine Synchronisierung über Clouddienste. Es werden verschiedene Dienste für Privatpersonen und Unternehmen angeboten, auf der Kostenseite liegt der Standard Tarif bei 2,50€ pro Monat, der Familien Tarif bei 4,30€ pro Monat.
LastPass Premium
LastPass Premium ist ebenfalls eine sehr sichere Lösung für das Passwort-Management und ermöglicht zudem eine leichte Bedienung. Password Sharing ist bei LassPass Premium möglich. Es muss für die Nutzung ein sicheres Masterpasswort gewählt werden. Die Synchronisierung von Clouddiensten ist hingegen nicht möglich. Privatpersonen zahlen 2,90€ pro Monat, der Familien Tarif liegt bei 3,90€ pro Monat.
NordPass
Eine weitere Möglichkeit besteht über NordPass. Dieser Anbieter hat sehr gute Verschlüsselungen, ist demnach auch sehr sicher und bietet wenig Angriffsfläche für Hacker. Die Einrichtung einer Zwei-Faktor-Authentifizierung ist möglich. NordPass ist als kostenpflichtige Version, als Version für Unternehmen oder kostenlose Version erhältlich. Eine weitere Möglichkeit ist NordPass als Browsererweiterung. Eine Premium Mitgliedschaft beträgt 2,19€ pro Monat, der Familien Tarif liegt bei 4,39€ pro Monat.
Dashlane
Der Passwort-Manager Dashlane ist als Browsererweiterung, App oder Desktop-Programm verfügbar. Das Programm ist sehr benutzerfreundlich, eine Synchronisierung ist mit allen Geräten möglich, egal ob Apple oder Android. Von Vorteil ist ebenfalls, dass Dashlane selber keinen Zugriff auf die Kundendaten hat. Ebenfalls integriert ist ein Passwort Changer. Von Dashlane ist eine kostenlose und eine premium Version verfügbar. Die Premium Version liegt bei 5,49€ pro Monat.
Passwort-Manager im Unternehmen
In Unternehmen sollten Passwortrichtlinien bindend für alle Mitarbeiter vereinbart werden. Passwörter für gemeinsame Accounts sollten nur verschlüsselt verschickt werden. Es sollten keinerlei Passwortlisten geteilt werden. Ein interner oder externer Datenschutzbeauftragter sollte ein entsprechendes Sicherheitskonzept erstellen. Ein Passwort-Manager kann bei der Einhaltung der DSGVO-Konformität hilfreich sein. Er garantiert sichere und abwechslungsreiche Passwörter, anstatt dass die Gefahr besteht, das selbe Passwort mehrfach zu benutzen. Insbesondere wenn eine Zwei-Faktor-Authentifizierung verwendet wird, ist der Sicherheitsstandard sehr hoch. Ein weiterer Pluspunkt ist eine erhebliche Zeitersparnis im alltäglichen Arbeitsleben durch die automatische Passwortverwaltung.
Gerne unterstützen Sie unsere Experten bei der Gestaltung und Implementierung einer Passwort- oder IT-Richtlinie in Ihrem Unternehmen.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.