Nur etwa jede:r vierte Deutsche nutzt laut einer Umfrage von Yougov und Statista einen Passwortmanager. Knapp die Hälfte der Befragten merken sich ihre Passwörter demnach lieber als sie von einem Tool verwalten zu lassen.
Sicherheitslücken in Passwortmanagern
Eine Untersuchung des BSI könnte die Skepsis jetzt eher noch steigern. Denn bei den kostenlosen Open-Source-Passwortmanager Keepass und Vaultwarden fanden die Expert:innen einige Sicherheitslücken. Zwei davon erhielten die Einstufung „hoch“, wie das BSI mitteilte.
Bei Keypass identifizierte das BSI derweil lediglich Schwachstellen mit einem als „niedrig“ eingestuften Gefahrenpotenzial sowie Beobachtungen, die nur als Information an die Entwickler:innen weitergereicht wurden. Bei Keypass fiel den Sicherheitsexpert:innen etwa das globale Auto-Type-Feature als unsicher auf.
Dieses erlaubt es, automatisch Benutzernamen und Kennwort eines beliebigen Eintrags in eine Webseite einzugeben – wenn diese den Titel des Keepass-Eintrags an einer beliebigen Stelle enthält. Laut BSI „könnte das Feature von bösartigen Webseiten dazu missbraucht werden, Passwörter anderer Einträge abzugreifen“.
Zwei als „hoch“ eingestufte Schwachstellen
Eine größere Anzahl von Sicherheitslücken fand das BSI bei Vaultwarden, dem zweiten untersuchten Open-Source-Passwortmanager. Von insgesamt zwölf entdeckten Schwachstellen wurden zwei als „mittel“ und zwei als „hoch“ – aber wiederum keine als „kritisch“ – eingestuft.
Als potenziell hoch gefährlich wurde etwa angesehen, dass bei der Änderung der Metadaten eines eingerichteten Notfall-Zugriffs die entsprechenden Berechtigungen nicht überprüft wurden. Dadurch könnte ein unbefugter Zugriff möglich sein.
Fehlender Offboarding-Prozess
Zudem beanstandeten die Expert:innen einen fehlenden Offboarding-Prozess beim Löschen von Nutzer:innenkonten. Der für den Datenschutz notwendige Masterschlüssel werde nicht getauscht, so die Kritik. Dadurch hätten ehemalige Nutzer:innen zum Beispiel weiterhin den kryptografischen Schlüssel zu internen Daten ihrer Ex-Firma.
Die Untersuchung fand im Rahmen eines Projekts zur Codeanalyse von Open-Source-Software statt, das das BSI im Jahr 2021 mit der MGM Security Partners GmbH gestartet hat. Ziel ist es, durch Schwachstellenanalyse die Sicherheit der Anwendungen zu erhöhen.
Schwachstellen analysiert und geschlossen
Die bei Keepass und Vaultwarden gefunden Schwachstellen und Mängel hat das BSI im Rahmen eines Responsible-Disclosure-Verfahrens den betroffenen Entwickler:innen mitgeteilt. Diese haben laut Behördenangaben die Schwachstellen analysiert und reagiert. Die Lücken sind offenbar schon geschlossen worden.