:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sensible Informationen sicher schützen Passwort Manager für mehr Sicherheit
Sichere Passwörter zu erstellen ist schwer, sie sich zu merken noch schwerer. Passwort Manager schaffen hier Abhilfe. Sie speichern Zugangsdaten verschlüsselt ab und integrieren sich auf Wunsch in Browser oder andere Programme. Security-Insider stellt passende Programme vor und bewertet die in den Browsern integrierten Funktionen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
In den letzten Jahren häuften sich spektakuläre Angriffe bekannt, bei denen die Kriminellen teilweise mehrere Millionen Nutzernamen und Passwörter abgreifen konnten. Nachdem kurz darauf weitere Konten der gleichen Nutzer geknackt wurden, erhielt ein altes Problem neue Aufmerksamkeit: Die Mehrfachnutzung von Zugangsdaten. Hat ein Nutzer einmal eine vermeintlich gute Kombination aus Nutzername und Passwort, setzt er diese immer wieder ein. Die Angreifer machen sich diese Sorglosigkeit zu Nutze und probieren die abgefangenen Passwörter automatisiert gegen Webdienste wie etwa Googlemail, Paypal oder eBay aus.
Diese Attacke zeigt eine fundamentales Problem: Starke Passwörter sind schwierig zu erstellen, hat man einmal eins gefunden, so will man es nicht für jeden Dienst neu ändern. Die Tipps zu sicheren Passwörtern werden immer umfangreicher, allein das BSI behandelt diese Problematik in mehreren Dokumenten, einmal für Firmen, einmal für Endanwender.
Eine elegante Lösung ist der Einsatz eines Passwort Managers. Diese Programme sichern nicht nur die Zugangsdaten in einer verschlüsselten Umgebung, sie helfen meist auch beim Erstellen sicherer Logins. Wer sich zum Einsatz dieser Programme entscheidet, dem stehen im Grunde zwei Möglichkeiten offen - die Speicherung auf dem PC oder die Nutzung eines Cloud-Dienstes.
Online-Passwortverwaltung mit LastPass
LastPass wirbt mit dem Slogan „Das letzte Passwort, das Sie sich merken müssen“. Das fasste den Dienst ziemlich gut zusammen. Sobald der Nutzer seinen Account angelegt (und mit einem möglichst starken Passwort versehen) hat, wird im Browser das LastPass-Addon installiert. Der Dienst kann bereits auf dem System gespeicherte Passwörter importieren, unterstützt werden die diversen Browser sowie andere Programme wie RoboForm, 1Password oder KeePass.
Der Dienst integriert sich in allen unterstützten Browsern in einer separaten Leiste oder als Icon neben der Adressleiste. Erkennt LastPass eine Seite, für die Zugangsdaten hinterlegt sind, schlägt die Applikation vor, diese automatisch einzufügen. Alternativ kann man sich die Zugangsdaten anzeigen lassen oder sie in die Zwischenablage kopieren. Meldet man sich bei einem neuen Dienst an, bietet LastPass einen Passwort-Generator. Dieser ist enorm umfangreich und erstellt beliebig lange Passwörter. Der Trick dabei: Sie werden automatisch nach LastPass übernommen, im Grunde müssen Nutzer also nur auf „Generieren“ drücken und können anschließend LastPass alles weiter übernehmen lassen.
Neben Passwörtern bietet LastPass auch die Möglichkeit, Notizen im verschlüsselten Bereich abzulegen. In der aktuellsten Version kann man hier auch die in Windows gespeicherten WLAN-Passwörter importieren. Praktisch ist, dass LastPass neben dem Master-Passwort auch andere Sicherheitsfunktionen zum Anmelden unterstützt. Android-Besitzer können die App Google Authenticator zur Sicherung des Zugriffs nutzen, wer einen Finger-Print-Scanner zur Verfügung hat, der kann diesen auch zur Freigabe des Tresors nutzen.
Der Cloud-Ansatz bringt aber verschiedene Vor- und Nachteile mit. Positiv ist, dass der Dienst auf jedem System verfügbar und synchronisiert die Informationen zwischen verschiedenen Browsern und unterschiedlichen Systemen. Allerdings muss man natürlich dem Anbieter und seinen Zusagen zur Sicherheit vertrauen - LastPass ist Closed-Source, es gibt also keine Möglichkeit, die Software zu überprüfen.
LastPass ist mit Windows, Linux und Mac OS kompatibel. Die Plugins für den IE, Firefox, Chrome oder Opera sind kostenlos. Wer die Applikation allerdings auf Smartphones mit iOS, Blackberry oder Android nutzen möchte, der muss ein Premiumkonto abschließen, dieses kostet zum Testzeitpunkt zwölf US-Dollar pro Jahr.
KeePass: Offline und Open Source
KeePass verfolgt eine andere Strategie als LastPass. Statt die Informationen in einem Online-Dienst abzulegen, werden alle Zugangsdaten einer lokalen verschlüsselten Datenbank abgelegt. KeePass unterstützt beliebig viele Datenbanken. Jede wird wahlweise mit einem Masterpasswort verschlüsselt oder ist mit einer Schlüsseldatei oder dem Nutzerkonto von Windows gekoppelt. Die Software unterteilt alle Zugangsdaten in sechs verschiedene Gruppen: Allgemein, Windows, Netzwerk, Internet, eMail und Homebanking. Alle diese Gruppen lassen sich umbenennen, wer mehr benötigt, kann neue hinzufügen. Die Software ist grundsätzlich auf Englisch, mit der passenden Sprachdatei lässt sie sich aber auf Deutsch übersetzen.
KeePass nutzt eine umfangreiche Plugin-Architektur, um zusätzliche Funktionen zu ermöglichen. Wer die Software etwa in Browser wie IE oder Firefox integrieren möchte, der kann die entsprechenden Erweiterungen herunterladen. Die Übersichtsseite bietet noch Lösungen für weitere, mehr exotische Einsatzszenarien. So kann KeePass die gespeicherten Daten etwa als QRCode darstellen oder in verschiedene Formate exportieren. Interessant ist auch das Tool-Menü. KeePass erstellt nicht nur einzelne Passwörter, sondern auf Wunsch ganze Listen. Wer Online-Banking nutzt, kann die TANs importieren, der verstärkte Einsatz von mTANs oder Chip-TANs macht diese Funktion aber hoffentlich bald überflüssig.
Ein Nachteil der lokalen Installation ist, dass sich die Daten nicht ohne weiteres zwischen verschiedenen Systemen abgleichen lassen. Allerdings kann man dieses Problem umgehen - solange man seine Datenbank Anbietern wie Dropbox anvertrauen möchte. Kopiert man die Datenbank in den Abgleichordner eines solchen Cloud-Anbieters, ist sie in allen angeschlossenen Systemen verfügbar.
Sticky Password: Kommerziell unterstützt und lokal installiert
Eine Alternative zu KeePass ist die Anwendung Sticky Password. Sie ist eine kommerzielle Applikation, die ähnlich wie LastPass eine kostenlose und eine Pro-Version bietet. Die Gratis-Version kann allerdings maximal 15 verschiedene Konten verwalten. Sticky Password integriert sich neben den Schaltflächen oben rechts im Browser. Ein Klick darauf blendet das Menü von Sticky Password ein und gibt Zugriff auf die verschiedenen Funktionen.
Interessant an Sticky Password ist, dass die Applikation nicht nur verschiedene Browser unterstützt. Das Programm kann zusätzlich auch Passwörter von Tools wie Trillian, iTunes, Filezilla oder DropBox verwalten. Auch hier ist ein Passwortgenerator integriert, ebenso ist wie die Möglichkeit, Notizen im verschlüsselten Bereich des Programms abzulegen.
Die Software kann auf mehrere Arten entsperrt werden: Entweder gibt man das zu Beginn festgelegte Masterpasswort an, nutzt einen USB-Speicherstick zur Freigabe oder koppelt ein bestimmtes Bluetooth-Gerät mit dem PC. Sobald sich dieses in Reichweite befindet, wird die Software entkoppelt.
Neben der fest installierten Version bieten die Macher Sticky Password auch als portable Version an. Wer das Programm allerdings auf einem Smartphone verwenden möchte, der ist aktuell auf das iPhone angewiesen. Die Pro-Version der Anwendung kostet zum Testzeitpunkt 23,95 Euro.
Integrierte Sicherheit - die Verwaltungssysteme der Browser
Neben den dedizierten Passwort-Programmen bietet mittlerweile jeder aktuelle Browser eine integrierte Verwaltung für Passwörter. Das mag auf den ersten Blick praktisch genug wirken, allerdings sind diese Systeme oftmals gegenüber den dedizierten Programmen beschränkt.
Mit Ausnahme von Firefox bieten sind die gespeicherten Daten größtenteils ungeschützt, Bei Chrome haben die Entwickler den Schutz durch ein Master Passwort mit der Begründung abgelehnt, dass ein Auslesen der gespeicherten Passwörter nur lokal möglich sei. Nachdem zu diesem Zeitpunkt der Rechner ohnehin bereits kompromittiert sei, würde ein Master Passwort dann auch nichts mehr helfen. Die passenden Tools um die Informationen auszulesen finden sich kostenlos im Web, ein guter Startpunkt sind etwa die Freeware-Programme von Nirsoft. Wer Firefox nutzt, sollte in jedem Fall das Master Passwort aktivieren, um die Daten zumindest rudimentär zu schützen.
Interessant ist aber, dass die Browser-Hersteller die Mehrfachnutzung scheinbar angehen wollen. Google beispielsweise plant laut diesem Blogpost einen eigenen Passwortgenerator, der direkt im Browser neue Eingabedaten erstellen kann.
Fazit
Passwort Manager erfordern anfangs die Umstellung des Nutzers. Statt die Daten direkt im Browser verfügbar zu haben, muss man sich damit abfinden, dass wichtige Informationen in Dritt-Applikationen oder sogar auf den Servern externer Anbieter gesichert sind. Bereits nach kurzer Zeit gewöhnt man sich an die neuen Dienste und dann wird das Leben deutlich einfacher. Wer künftig neue Konten erstellt, der muss sich nicht mehr neue Passwörter überlegen, sondern lässt sich einfach beliebig lange und starke Daten erstellen.
Allerdings sollte man nicht vergessen, dass man selbst mit diesen Systemen nicht hundertprozentig geschützt ist. Ein schwaches Master-Passwort ist ebenso gefährlich wie ein auf dem System installierter Keylogger oder eine noch nicht entdeckte Schwachstelle im jeweiligen Programm.
(ID:32382790)
:quality(80)/p7i.vogel.de/wcms/0a/cb/0acb930ffeada0264d349826d6aec40d/0104313658.jpeg "FIDO sind offene und lizenzfreie Standards zur sicheren und komfortablen Authentifizierung, zum Beispiel für passwortlose Zwei-Faktor-Authentifizierung mit Public-Key-Kryptographie. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/e1/78/e178d402462a7d88d95167ef187bed61/0111049656.jpeg "Für die Sicherheit ihrer Benutzerdaten haben Unternehmen die Wahl: Single Sign-on (SSO) oder Passwort-Manager – beide Lösungen haben spezifische Vor- und Nachteile. (Bild: THAWEERAT - stock.adobe.com)")