Passwörter wirklich sicher in der Cloud: eine mögliche Lösung

In diesem Artikel beschreibe ich eine einfache und kostenlose Lösung, um mit Passwörtern so sicher und bequem wie möglich umzugehen.

Update am 19.05.:

• Authy als Tipp bzgl. Authenticator-Apps ergänzt
• Faktenblatt des BSI zu Passwörtern verlinkt

Schnellnavigation

1. Warum gibt es diesen Artikel?
2. Allgemeines zu Passwörtern
3. Warum Online-Dienste kostenlos und bezahlt nicht die beste Lösung sind
4. Was sollte ein guter guter Passwortmanager können?
5. KeePass2 als Lösungsvorschlag mit Synchronisation & guter Usability
6. Keine Lust, diese Lösung selbst umzusetzen? Ich helfe gern!
7. Installations- und Anpassungsanleitung für mein empfohlenes Setup
   • Wichtig für die Sicherheit: die Schlüsseldatei!
   • Anbindung an Clouddienste zur Verfügbarkeit auf allen Gräten
   • Optimierung der Usability: automatisches Ausfüllen
   • Wichtige Einstellungen & Tipps
8. Falls Du Dich nicht einarbeiten willst…

Warum?

In meinen Terminen und Gesprächen mit Kollegen, Kunden und Freunden gibt es immer wieder ein Thema, das bei irritierend viele schlauen Menschen wenig Aufmerksamkeit findet: die Sicherheit der eigenen Passwörter. Ich habe dabei wenig Unterschiede bzgl. geschäftlicher oder privater Accounts wahrgenommen. Im Wesentlichen ist der Zustand beunruhigend bis katastrophal mit wenigen rühmlichen Ausnahmen. Daher schneide ich dieses Thema – wo passend und möglich – auch immer bei meinen Seminaren bzw. Coachings zur Selbstmanagementmethode Getting Things Done an.

Die Allgegenwart von Passwörtern!

Inzwischen nutzen sehr viele Menschen Online- bzw. Cloud-Dienste für fast alles. Das geht los mit Dateien, die auf Diensten wie Dropbox, Google Drive, Microsoft OneDrive, Apple iCloud oder ähnlichem gespeichert werden. Es geht weiter mit Fotos, in der Regel auch bei einem der typischen Verdächtigen, also Apple bzw. Google Fotos, Amazon, oder eben bei einem Dateidienst gespeichert sind. Am gefährlichsten ist der unsichere Umgang mit Passwörtern natürlich beim Online-Banking.
Gottseidank ist bei Banken seit 14. September 2019 die 2-Faktor-Authentifizierung gesetzlich vorgeschrieben – Danke, PSD2-Richtlinie. Seit 2007 benutzt übrigens ca. ein Drittel der Deutschen Online-Banking – aber immerhin wurde 2019 endlich die Sicherheit erhöht.

Passwörter sollten nicht zu einfach gewählt sein, also z.B. keine normalen Worte enthalten. Eine schöne Zusammenstellung zum allgemeinen Umgang mit Passwörtern und eine einfache Lösung zum Erstellen von komplexen Passwörtern findet man im Faktenblatt “Sichere Passwörter” des deutschen Bundesamts für Sicherheit in der Informationstechnik.

Bitte keine Passwörter in unverschlüsselten Word- oder Excel-Dokumenten!

Leider – kein Witz – erzählen mir immer wieder Menschen davon, dass sie ihre Passwörtern im Klartext in Textdokumenten oder Excel-Dateien speichern. Aber ich bin nicht der richtige, hier ins Detail zu gehen, das gibt es an anderer Stelle in viel besserer Form, z.B. bei der Datenwache.

Wichtiges immer durch 2-Faktor-Authentifizierung sichern!

Bevor ich meine inzwischen für mich sehr zufriedenstellende Lösung beschreibe, erst einmal der wichtigste Hinweis: JEDER wichtige Account sollte durch 2-Faktor-Authentifizierung gesichert sein.

Das ist oft einfach eine SMS, die einen Code übermittelt, der nach dem Login mit Passwort eingegeben wird. Es geht aber auch anders – via E-Mail an die im Account hinterlegte E-Mail oder Authentifizierungsapps wie Microsoft bzw. Google Authenticator. Ich nutze inzwischen Authy, eine kostenlose App, da man diese App für Android, iOS und Windows mit mehreren Geräten nutzen kann. Mehr dazu, warum ich Authy benutze, findet man in meinem Artikel zu Authy. Herunterladen kann man die Apps auf der Authy Homepage.

Nochmal: Bei JEDEM wichtigen Dienst solltest Du umgehend 2-Faktor-Authentifizierung aktivieren! Nicht weiterlesen – jetzt aktivieren!
Mehr auch hierzu bei der Datenwache!

Das systemische Problem: hacken lohnt sich dort, wo viele Passwörter liegen!

Früher habe ich aufgrund der Bequemlichkeit und guten Integration im Browser meine Passwörter auf Lastpass gespeichert. Dann hat mir mein guter alter Freund Dr. Michael Symalla, der die Datenwache betreibt, vor Jahren gesagt, dass das keine gute Idee ist – und er hatte recht!

Warum nicht einen Cloud-Dienst für Passwörter benutzten, der doch so schön einfach ist?

Das machen doch alle? Ja, und der Rest schreibt seine Passwörter in Word-Dokumente oder Excel-Dateien. Bei IT-Security ist es nicht unbedingt eine tolle Idee, sich an der Mehrheit bzw. der Bequemlichkeit zu orientieren.

Lastpass, wie auch viele andere ähnliche Passwort-Dienste sind immer wieder Opfer von Hackerangriffen. Oder es gibt gleich ein Datenleck, wie zum Beispiel bei Lastpass auch mal wieder im Herbst 2019.

Der eingebaute Denkfehler: wo viele Passwörter sind, lohnt sich das Hacken!

Lastpass ist aber nur ein Beispiel – das Problem ist hier systemisch. Warum? Lastpass, 1Password und die vielen anderen Passwort-Cloud-Dienste, sind Orte, an denen viele Menschen ihre Passwörter speichern. Und damit sind sie viel attraktivere Ziele für Hacker. Wäre es für einen Hacker interessant, mich zu hacken, um nur meine persönlichen Passwörter zu bekommen? Nur, wenn er überschätzt, wie wichtig ich bin. Aber auf einmal mehrere Tausend Paypal-Zugänge durch den Hack einer Passwort-Plattform zu bekommen? Da lohnt sich das hacken doch!

Ähnlich sieht es beim Speichern der Passwörter im Browser aus: natürlich machen die Browser-Hersteller hier alles möglichst gut – aber die Kernfunktion des Produkts ist eben das Anschauen von Internetseiten, nicht das sichern der Passwörter!

Was will man denn eigentlich von einem Passwort-Manager?

Schauen wir uns mal kurz an, was denn eigentlich die Features sind, die einen Passwort-Manager attraktiv machen. Die meisten Nutzer möchten von einem Passwort-Manager die folgenden Dinge haben, in der folgenden Reihenfolge:

1. Sicherheit: Die Passwörter sollten sicher gespeichert sein, sowohl lokal wie auch in der Cloud, sofern diese genutzt wird.
2. Plattformunabhängigkeit: Die gleiche Software-Lösung sollte für jede Plattform verfügbar sein (Web, Desktop, Mobile).
3. Synchronisierung: Auf jedem Gerät sollten zu jeder Zeit die aktuellsten Passwörter, auch für gerade erst neu registrierte Accounts, verfügbar sein.
4. Usability: Die Verwendbarkeit der Software sollte gut und einfach sein, egal auf welcher Plattform.
5. Integration: Die Software sollte mir die Möglichkeit geben, im Browser oder in Apps direkt die Passwörter eingetragen zu bekommen. Wer möchte schon die Benutzernamen und Passwörter händisch aus dem Passwort-Manager in die Anmeldedialoge kopieren?

Warum haben Dienste wie Lastpass und ähnliche Erfolg? Weil eigentlich niemand Lust hat, sich damit auseinanderzusetzen, wie man diese Punkte erreicht. Jeder möchte doch am liebsten einfach all das oben genannte haben, ohne sich mit dem Thema zu viel auseinanderzusetzen. Wenn er überhaupt etwas an seiner Lösung mit dem Word-/Excel-Dokument ändern will.

Einfach gibt’s nur geringe Sicherheit für die Passwörter!

Um möglichst viele der oben genannten Punkte zu erreichen gibt es zwei Möglichkeiten:

1. Man nimmt einen der vielen Clouddienste oder speichert seine Passwörter gleich direkt bei Google (Chrome) oder Mozilla (Firefox).
   Das ist einfach und meistens für den 2 oder mehr der Anforderungen sogar umsonst. Leider geht das aus dem oben genannten Systemfehler auf Kosten der Sicherheit der Passwörter. 🙁
2. Man setzt sich mit dem Thema detailliert auseinander, bildet sich eine Meinung, trifft Entscheidungen und macht sich die Mühe, eine individuelle Lösung aufzubauen, die alle 5 Anforderungen möglichst gut erfüllt.

Ich habe mich die letzten Jahre mit diesem Thema beschäftigt, immer wieder optimiert und überdacht, und nach einem knappen Jahr Testphase halte ich mein System für so gut, dass ich es als selbstgehostete Lösung teilen kann.

KeePass2: Eine überall verfügbare, sichere und bequeme Lösung für Passwörter

Ich habe mich schlußendlich für KeePass als meinen Passwort-Manager entschieden. KeePass ist der inoffizielle Standard der Passwort-Manager im Internet bei den meisten Menschen, die sich intensiv mit diesem Thema auseinandergesetzt haben. KeePass ist eine kostenlose Open-Source-Software, die auf allen heute relevanten Plattformen verfügbar ist und sehr viele Features hat. Für Features, die man sich zusätzlich vorstellen kann, gibt es in der Regel bereits ein Plugin.

KeePass2 erfüllt alle Kriterien…

Bevor wir in die Details meiner Umsetzung gehen, möchte ich die oben genannten 5 Kriterien ggü. den Cloud-Alternativen aufzeigen. Es ist natürlich wichtig, sich vorher bewusst zu machen, dass mein Setup deutlich aufwändiger einzurichten ist, als ein Konto bei einem dieser Dienste zu eröffnen.

1. Sicherheit: Meine Passwörter sind aktuell sicherer, als sie es bei Lastpass je sein konnten oder sein können:
   • warum sollte mich jemand versuchen zu hacken?
   • ich sichere den Zugriff auf die Passwort-Datenbank deutlich stärker als die o.g. Dienste.
2. Plattformunabhängigkeit: ich kann auf allen Systemen problemlos auf meine Passwörter zugreifen. Das beinhaltet Web, Windows, macOS, Android und iOS.
3. Synchronisierung: Meine Passwortdatenbank liegt in einer sicheren Cloud. Allerdings kann sie nur geöffnet werden, wenn man lokal gespeichert die richtige Schlüsseldatei und das richtige Passwort hat. Die Schlüsseldatei liegt zwar auch auf einer sicheren Cloud, aber auf einer anderen als die Passwortdatenbank. Auf jedem Endgerät wird eine lokale Änderung beim Schließen von KeePass in die Cloud-PW-Datenbank geschrieben. Sollten die Daten einmal auseinanderlaufen, kann einfach synchronisiert und kombiniert werden.
4. Usability: Auf Windows, Android und iOS kann ich sehr bequem auf meine Passwörter zugreifen, ohne, dass ich mich um irgendetwas kümmern muss.
5. Integration: Die Integration ist nach entsprechender Optimierung so gut bzw. besser wie bei den Cloud-Diensten. Nach dem Entsperren des jeweiligen lokalen Passwort-Managers werden die Zugangsdaten auf Webseiten bzw. in Apps eingefüllt oder eine Auswahl angeboten, wenn mehrere Accounts bestehen.

Da hat’s der Hacker schwer, an die Passwörter zu kommen…

Was ist also das Ergebnis: ich habe, was ich auch bei Lastpass hatte, allerdings nahezu unhackbar, denn um an meine Daten zu kommen, müsste ein Hacker folgendes leisten:

• der Hacker muss den Server finden, auf dem die Passwortdatenbank liegt. Es ist nicht dieser… 😉
• der Hacker muss auf den Server kommen und dort die Passwortdatei finden.
• der Hacker muss herausfinden, wo ich die zugehörige Schlüsseldatei habe. Wie oben beschrieben ist sie nicht dort, wo die Passwortdatenbank ist. Um an die Schlüsseldatei zu kommen, müsste der Hacker eines meiner Geräte hacken, oder den hochsicheren, vom oben genannten Server unterschiedlichen Server finden, auf dem die Schlüsseldatei liegt. Die Datei muss er dann auf dem gehackten Endgerät noch finden.
• der Hacker muss mein Passwort kennen oder erraten, da das auch noch zusätzlich abgefragt wird. Auf den Mobilgeräten benutze ich biometrische Sicherung per Fingerabdruck, da wird Nichts eingegeben, Keylogger sind dort also raus.

Und hier schließt sich der Kreis zu oben: falls ein Hacker das tatsächlich schafft, hat er zwar viele schöne Passwörter. Alle Accounts, die mir allerdings wirklich wehtun würden, sind zusätzlich allerdings mittels 2-Faktor-Authentifizierung abgesichert. Ohne das entsprechende Gerät, das den Zugangscode erhält, hat er also nichts gewonnen. D.h., er kommt nicht auf:

• E-Mail-Accounts
• Daten in der Cloud (Fotos, Dateien, Social Media Accounts)
• Bankkonten (Dank PSD2 ist das ja jetzt bei allen so)
• Paypal u.ä.

Anleitung für ein gutes und sicheres Management der Passwörter

Zuerst brauchen wir eine Passwort-Datenbank. Das ist am Einfachsten auf dem Desktop. Ich gehe hier erst einmal nur auf Windows ein, auf dem Mac ist es ähnlich.

Die Dateien für die sichere Verwaltung der Passwörter

KeePass herunterladen

KeePass 2 ist in fast allen Unternehmen verfügbar bzw. zugelassen, daher nutze ich, um immer das gleiche Interface zu haben, KeePass 2 auch auf dem privaten Rechner. Die Software KeePass 2 wird kontinuierlich weiterentwickelt.
Eine neuere Alternativfassung, KeePass XC ist wohl benutzerfreundlicher, ist mir aber in Konzernen noch nicht begegnet ist. Zudem erlaubt KeePass XC den direkten Zugriff auf eine Passwortdatei in der Cloud nicht, was im Widerspruch zur hier beschriebenen maximal flexiblen Lösung steht. Hier steht die entsprechende Aussage zu KeePass XC von deren Entwicklerteam.

Neue Datenbank anlegen

• Wir verwenden sowohl ein Passwort als auch eine Schlüsseldatei zur Verschlüsselung der Passwort-Datenbank. Die Schlüsseldatei erhöht die Sicherheit deutlich.
  Je nach Sicherheitsbedürfnis sollte das Passwort kürzer, länger, einfacher oder komplexer sein. 10-12 Zeichen verschiedener Arten sollten es schon sein, wenn sogenannte Brute-Force-Attacken erfolglos sein sollen.
  Die Komplexität des Passworts ist in Kombination mit einer Schlüsseldatei jedoch nicht ganz so kritisch, weil wir zusätzlich eine Schlüsseldatei nutzen, die bereits eine sehr hohe Sicherheit bietet. Das Passwort ist die Sicherheitsstufe, die greifen würde, falls die Schlüsseldatei ausgehebelt werden würde.
• Die Schlüsseldatei kann das normale, von KeePass angebotene Format sein. Dann endet die Datei auf “.key”. Man kann aber auch jede andere Datei nutzen – z.B. ein Foto. Dann sollte man sich allerdings sicher sein, dass man sie nicht aus Versehen löscht. Das ist mir persönlich zu gefährlich. Falls die hier beschriebene Lösung tatsächlich einem Hack ausgesetzt wäre, wäre es aber natürlich für den Hacker einfacher, eine “.key”-Datei zu finden.
• Datenbank speichern. Die Datenbank kann die normale Dateiendung “.kdbx” haben. Muss sie aber nicht – wenn der Hacker reinschaut, sucht er vermutlich nach dieser Endung, wie auch oben bei der “.key”-Datei. Die zusätzliche Verwendung einer anderen Dateiendung bringt bei dieser Datei keinen Sicherheitsvorteil.

Die Verfügbarkeit der Dateien über die Cloud

Nur die Passwortdatei legen wir nun in die Cloud. Dafür empfehle ich eine der folgenden Herangehensweisen:

• Speichern der Datenbank in der Cloud (für normale Menschen)
  Alle von mir hier empfohlenen Passwortmanager unterstützen Google Drive, Microsoft OneDrive und Dropbox. Sofern die Anbindung an KeePass 2 nicht über den lokalen Ordner Eures Cloud-Anbieters laufen soll, benötigt man zur Einbindung dieser Cloud-Dienste das Plugin KeeAnywhere, über das man die Datei auch direkt aus der Cloud abrufen kann.
  Dank geht bzgl. dieser Variante für Standarduser an Moritz Meissner, der mir das wertvolle Feedback gegeben hat, dass vermutlich gerade die anvisierten Leser vermutlich keinen eigenen Server haben.
  Vorsicht mit KeePass XC: KeePass XC unterstützt keinen direkten Zugriff Cloud-Dienste, mit dem Hinweis, dass die Datenbank ja von der lokalen Kopie auf dem Rechner geöffnet werden kann. Das würde ich nicht empfehlen, da durch die zeitversetzte Datei-Synchronisierung die Wahrscheinlichkeit von Synchronisationsinkonsistenzen zwischen den verschiedenen Clients steigt. Daher empfehle ich aus diesem Grund klar KeePass2.
• Speichern der Datenbank auf einem Webserver (für Nerds mit Server)
  Eine eigene Instanz von OwnCloud oder Nextcloud sind schöne Varianten. Viele andere Cloudlösungen gehen natürlich auch. Im Weiteren gehe ich davon aus, dass die Passwort-Datenbank über webdav und https verfügbar ist. Gerne gebe ich auf Rückfrage konkretere Infos.

Die Schlüsseldatei

Da wir eine Schlüsseldatei nutzen, muss diese auf jedem Endgerät, auf dem wir auf die Passwörter zugreifen wollen, vorhanden sein.

• Sichern der Schlüsseldatei und Verteilen der Datei auf alle Geräte
  Die Schlüsseldatei sollte NICHT in der Cloud liegen, bzw. wenn, dann auf einer Cloud, auf der die Passwortdatenbank definitiv NICHT liegt.
  Ich sichere die Schlüsseldatei auf einer anderen hochsicheren Cloud, auf der keine Kopie der Passwort-Datenbank liegt.
  • Desktop/Android: hier schiebe ich die Passwort- und Schlüsseldatei über eine Telegram-oder Threema-Nachricht auf das Gerät, die ich dann direkt nach dem Download wieder lösche.
  • iOS: Strongbox, die Software, die ich empfehle, ermöglicht das Hochladen der Schlüsseldatei in die Anwendung. In diesem kurzen Artikel erkläre ich, wie.

Optimierung

Installation der Software auf allen Geräten

• Windows: ich nutze KeePass2, KeePassXC soll ein angenehmeres Userinterface zu haben. KeePass2 ist allerdings in der Regel auch in Konzernen verfügbar.
• MacOS: Ich empfehle KeeWeb.
• Android: Ich bin sehr zufrieden mit Keepass2Android (Donationware). Die App kann natürlich auch per Fingerabdruck entsperrt werden.
• iOS: hier arbeite ich mit Strongbox in der kostenlosen Version. Da ich auf iOS wenig arbeite, nutze ich hier den Nur-Lesen-Modus, da ich schon von Problemen mit Dateninkonsistenzen beim Synchronisieren mit Strongbox gehört habe. Strongbox kann ebenfalls per Fingerabdruck entsperrt werden.
• Web: Keeweb kann man auch aus dem Web direkt aufrufen.

Verbessern der Usability

• Windows: Hier empfehle ich die folgende Kombination:
  KeePass-Plugin KeePassNatMsg: ermöglicht den Kontakt von Browsern mit der Datenbank, um Anmeldeformulare automatisch auszufüllen.
  Der Plugin-Ordner muss entpackt und vor einem Neustart im Ordner “C:\Program Files (x86)\KeePass Password Safe 2\Plugins” abelegt werden.
• Chrome/Brave/MS Edge (Chromium) Extension KeePassXC-Browser: diese Erweiterung kann eine Verbindung zu KeePass über das KeePassNatMsg-Plugin aufbauen, die dann einmalig akzeptiert werden muss.
• Firefox Plugin KeePassXC-Browser: analog zu Chrome/Brave.
• Warum heißt die Extension KeePassXC-Browser?
  Die entsprechende Schnittstelle, die ursprünglich von KeePass2 angeboten wurde, wurde vor einer Weile an die Schnittstelle von KeePassXC angeglichen. Daher gibt es kein entsprechende Extension mit dem Namen KeePass2 mehr.
• Android: Keepass2Android bringt bereits alles mit, um Formulare automatisch auszufüllen, sowohl in Apps als auch in Browsern. Klappt bei mir im Wesentlich super, so dass es sich nicht lohnt, die wenigen Fälle, in denen ich die Daten von Hand aus dem Programm bzw. der Benachrichtigung kopieren muss, genauer zu prüfen. S.a. die Screenshots.
• iOS: auch Strongbox, meine Empfehlung für iOS, bringt alles mit, was man braucht.

Wichtige kleinere Details, Einstellungen & Tipps

Allgemeines

• Die Master-Passwortdatei für alle Geräten sollte die in der Cloud liegende Passwortdatei sein. Ebenso sollten die Daten automatisch abgeglichen werden, um Inkonsistenzen zu vermeiden.
  Bei der Anbindung von Passwortdateien über Webdav machen das KeePass2, KeePass2Android und Strongbox (iOS).
  Sollten tatsächlich Inkonsistenzen auftreten, ermöglichen KeePass2 und KeePass2Android auch unkompliziertes Synchronisieren verschiedener Versionen der Passwortdatei.
• Auf dem Desktop habe ich mich entschieden, eine lokale Kopie der Passwort-Datenbank vorzuhalten, da man sonst ohne Internetverbindung keine Passwörter hat. Das ist blöd, wenn das WLAN-Passwort nur in der Online-Passwortdatenbank gespeichert ist. Daher wird inzwischen bei jedem Öffnen ein lokales Backup mit der Cloudversion synchronisiert.
• KeePass2 speichert auf dem Desktop gemäß der Voreinstellung Änderungen an der Datenbank nicht automatisch.
  Lösung: Alt+S nach Änderungen angewöhnen bzw. Aktivierung der entsprechenden Option zum automatischen Speichern.

Usability

• Autofill-Shortcut in allen Desktop-Anwendungen: Wenn man in KeePass2 auf Windows den relevanten Eintrag auswählt und dann Strg+V drückt, wird auf das letzte aktive Fenster gewechselt und der Username und das Passwort eingegeben. In diesem Fenster sollte der Cursor vor dem Auslösen der Tastenkombination bereits im Usernamen-Feld sein.
• KeePass2Android: mit einer kleinen Anpassung started die App direkt mit geöffneter Suche. Hier die entsprechende Anleitung.

Passwort-Setup-Session

Diese Anleitung erfordert trotz aller Mühen eine gewisse Grundsicherheit/Nerdiness im Umgang mit den genutzten Systemen erfordert. Ich helfe Dir gerne dabei, Dein System passend einzurichten. Falls Du daran Interesse hast, kannst Du hier schnell und einfach ein kurzes Telefonat zur Vorklärung mit mir buchen.