Wie empfehlenswert sind Passwortmanager?
Ob bei der Anmeldung am Computer oder im Praxisverwaltungssystem (PVS), bei der Nutzung von Smart-Karten (SMC-B) oder Kreditkarten: Passwörter und PINs sind in Zahnarztpraxen an vielen Stellen notwendig. Passwortmanager können dabei helfen, starke Passwörter zu setzen, sie sicher im Team zu teilen und so die IT-Sicherheitsrichtlinien in der Praxis effizient umzusetzen.
In diesem Zusammenhang betont das Bundesamt für Sicherheit in der Informationstechnik (BSI): „Aufgrund der Sensibilität der in Passwortmanagern gespeicherten Daten bestehen hohe Anforderungen an deren IT-Sicherheit.“ Gemeinsam mit dem FZI Forschungszentrum Informatik haben Expertinnen und Experten des BSI deshalb die IT-Sicherheitseigenschaften von zehn Angeboten untersucht.
Diese Produkte wurden getestet: 1Password, Avira Password Manager, mSecure Password Manager, PassSecurium, KeePass2Android, KeePassXC, S-Trust Password Manager, SecureSafe Password Manager, Google Chrome Password Manager, Mozilla Firefox Password Manager.
Alle Passwortmanager haben Schwächen, ...
BSI und FZI kommen zu dem Ergebnis, dass – „wie bei jeder anderen Software“ – auch bei einzelnen Passwortmanagern Verbesserungsbedarf besteht. So zeigten die Tests, dass drei der zehn untersuchten Produkte Passwörter in einer Weise speicherten, die Herstellern theoretisch den Zugriff auf sie ermöglicht. Dies erhöhe prinzipiell die Angriffsfläche auf Seiten des Herstellers, was ergänzende kompensatorische Maßnahmen erforderlich mache. Nutzenden bleibe nichts Anderes übrig, als diesen zusätzlich ergriffenen Maßnahmen zu vertrauen.
Auch das hat die Analyse offengelegt: Bei cloud-basierter Speicherung der Daten im Passwortmanager sollten Verbraucherinnen und Verbraucher sich über den Ort der Speicherung und dessen Schutzniveau beim Hersteller informieren. Dazu empfehlen die beiden Organisationen, einen Blick auf die Website des Herstellers, in die AGBs zur Nutzung des Produktes oder in die Datenschutzhinweise zu werfen.
...doch ihr Nutzen überwiegt
Trotz der Defizite sollten Verbraucherinnen und Verbraucher nicht auf Passwortmanager verzichten, betonen BSI und FZI: „Aus unserer Sicht überwiegt der Nutzen bei weitem. Passwörter wiederzuverwenden oder schwache Passwörter zu nutzen, kann zu erhöhten Phishing-Anfälligkeiten führen, sodass die Risiken, keine Passwortmanager zu nutzen, deutlich größer sind als die Implementierungsmängel einzelner Produkte.“
Das komplette Gutachten „IT-Sicherheit auf dem digitalen Verbrauchermarkt: Fokus Passwortmanager“ und alle Empfehlungen des BSI finden Sie hier.
