Article in nlNederlands Article in enEnglish Article in deDeutsch Article in frFrançais Article in esEspañol Article in ptPortuguês

Deutsche Studie: Google kann Ihre Passworttresore einsehen

Author:
Veröffentlicht:
Category: Technologie
Sprache: Deutsch
Artikel bewerten:
0
0

Eine deutsche Cybersicherheitsstudie zeigt Sicherheitslücken im Passwortmanager von Google Chrome auf. Fünf Alternativen sind sicher, aber Experten betonen, dass Passwortmanager für die Online-Sicherheit unverzichtbar bleiben.

google-passworttresore-studie

Deutsche Cybersicherheitsbehörde deckt Schwachstellen in Passwortmanagern auf

Eine umfassende Studie des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) hat alarmierende Sicherheitslücken in beliebten Passwortmanagern aufgedeckt, wobei der Passwortmanager von Google Chrome zu den unzureichend geschützten Tools gehört. Die Untersuchung, die in Zusammenarbeit mit dem FZI Forschungszentrum Informatik durchgeführt wurde, untersuchte zehn Passwortmanager und stellte fest, dass drei davon – darunter Google Chrome Password Manager, mSecure und PassSecurium – ihren Anbietern theoretisch Zugriff auf gespeicherte Passwörter gewähren.

Die Google Chrome-Schwachstelle

Für Google Chrome-Nutzer entsteht das Risiko, wenn die Passwortsynchronisierung aktiviert ist, ohne einen separaten Passwortsatz festzulegen. 'Wenn Nutzer ihre Passwörter synchronisieren, ohne diese zusätzliche Passphrase zu verwenden, kann Google theoretisch Zugriff auf ihren Passworttresor erhalten,' erklärt Cybersicherheitsexperte Dr. Markus Schmidt. Das BSI rät Chrome-Nutzern ausdrücklich, zu ihren Passwortmanager-Einstellungen zu gehen und die Passwortphrase-Option für eine zusätzliche Verschlüsselungsebene zu aktivieren.

Die Studie ergab, dass Google auf Passwörter zugreifen kann, weil der Synchronisationsprozess verschlüsselte Daten auf den Servern von Google speichert, aber ohne die zusätzliche Passphrase bleibt der Verschlüsselungsschlüssel für Google zugänglich. 'Dies ist nicht unbedingt böswillige Absicht von Google, aber es schafft eine potenzielle Schwachstelle, die ausgenutzt werden könnte,' bemerkt Sicherheitsforscherin Elena Rodriguez.

Fünf sichere Alternativen

Positiv zu vermerken ist, dass das BSI fünf Passwortmanager identifizierte, die robuste Sicherheit bieten: 1Password, Avira Password Manager, Keepass2Android, KeePassXC und Mozilla Firefox Password Manager (bei Verwendung mit einem Masterpasswort). Diese Tools implementieren korrekte Ende-zu-Ende-Verschlüsselung, die sogar Dienstanbietern den Zugriff auf Nutzerdaten verwehrt.

'1Password hat konsequent starke Sicherheitspraktiken mit seiner Zero-Knowledge-Architektur demonstriert,' sagt Cybersicherheitsberater Michael Chen. 'Die Masterpasswörter der Nutzer verlassen niemals ihre Geräte, und alle Verschlüsselung erfolgt lokal, bevor Daten ihre Server erreichen.'

Breitere Sicherheitsbedenken

Die BSI-Studie enthüllte zusätzliche besorgniserregende Befunde neben dem Anbieterzugriff. Nur vier der zehn untersuchten Passwortmanager implementierten kryptografische Algorithmen gemäß dem deutschen BSI TR-02102-1 Sicherheitsstandard. Darüber hinaus versagten acht von zehn darin, Daten korrekt neu zu verschlüsseln, wenn Nutzer ihr Masterpasswort änderten, wodurch alte Verschlüsselungsschlüssel möglicherweise weiterhin angreifbar bleiben.

'Das Neuverschlüsselungsproblem ist besonders beunruhigend, weil es bedeutet, dass selbst wenn Sie Ihr Masterpasswort ändern, zuvor gespeicherte Daten möglicherweise mit alten Schlüsseln zugänglich bleiben,' warnt Dr. Schmidt.

Warum Passwortmanager unverzichtbar bleiben

Trotz dieser Erkenntnisse sind sich das BSI und Cybersicherheitsexperten einig, dass die Verwendung von Passwortmanagern viel sicherer ist, als sie nicht zu verwenden. 'Die Alternative – Passwortwiederverwendung oder schwache Passwörter – stellt ein viel größeres Sicherheitsrisiko dar als jede Schwachstelle in diesen Tools,' betont Rodriguez. Phishing-Angriffe und Credential-Stuffing-Angriffe, die wiederverwendete Passwörter ausnutzen, sind laut aktuellen Studien für mehr als 80% der Datenschutzverletzungen verantwortlich.

Der BSI-Bericht stellt ausdrücklich fest: 'Nutzer sollten nicht davon abgehalten werden, Passwortmanager zu verwenden. Die Sicherheitsvorteile wiegen die Risiken erheblich auf, insbesondere im Vergleich zur Passwortwiederverwendung.'

Empfehlungen für Nutzer

Für aktuelle Google Chrome Passwortmanager-Nutzer empfiehlt das BSI, sofort die Synchronisations-Passphrase-Funktion zu aktivieren. Für diejenigen, die Alternativen in Betracht ziehen, empfehlen Sicherheitsexperten 1Password, Bitwarden oder Keeper als besonders sichere Optionen. Alle drei bieten starke Verschlüsselung, regelmäßige Sicherheitsaudits und transparente Datenschutzrichtlinien.

'Die wichtigste Lektion ist, dass Nutzer Passwortmanager mit nachgewiesenen Sicherheitsergebnissen wählen und alle verfügbaren Sicherheitsfunktionen aktivieren sollten,' schließt Chen. 'Und verwenden Sie immer eindeutige, starke Passwörter für jedes Konto – das ist der grundlegende Schutz, den Passwortmanager bieten.'

Da die digitale Sicherheit immer kritischer wird, dient diese deutsche Studie als wichtige Erinnerung daran, dass selbst vertrauenswürdige Tools die richtige Konfiguration und kontinuierliche Bewertung für maximalen Schutz erfordern.

Das könnte ihnen auch gefallen