Im Praxis-Test: Zentrale Passwort-Verwaltung mit passpack

Zentrale Passwortverwaltung löst viele Probleme im Alltag. Foto von Joseph Novaak unter CC BY 2.0.

Zentrale Passwortverwaltung löst viele Probleme im Alltag.
Foto von Joseph Novaak unter CC BY 2.0.

Eine Bildungsagentur steigt aus, Teil III: Passwörter

Passwörter – jeden Tag hundertfach in Gebrauch, lästig, unpraktisch – und häufig mit schlechtem Gewissen verknüpft, wissen wir doch alle, dass die Post-Its am Monitor nicht die beste Lösung sind. Wir stellen eine Lösung vor, die viele Probleme löst und den Alltag mit Passwörtern erleichtert und damit sogar Dekaden sicherer ist, als die gängigen Lösungen.

Doch erstmal die Frage: Passt dieses Thema zur Überschrift „Eine Bildungsagentur steigt aus“ mit Blick auf die Veränderungen nach Snowden. Reicht es, gute Passwörter zu haben, wenn die NSA meine Aktivitäten im Netz beobachten will. Die kurze Antwort: Wenn die NSA es gezielt auf mich abgesehen hat, reicht vermutlich keine Maßnahme, die wir Krypto-Laien anstellen können.

Aber wenn es darum geht, nicht permanent massenhaft zufällig überwacht zu werden, dann können wir durch einen sensiblen Umgang mit Passwörtern unsere Sicherheit signifikant erhöhen – übrigens auch gegen viele andere Probleme im Alltag, z.B. Heartbleed – die NSA nutzte diese Schwachstelle auch schon lange gezielt aus.

Die Anforderungen

„Eine Bildungsagentur steigt aus“

eine Artikelreihe zu freien Alternativen zu gängigen Internetdiensten

Video „Eine Bildungsagentur steigt aus“ von Blanche Fabri, Tessa Moje und Jöran Muuß-Merholz unter CC BY 3.0 DE.

weitere Artikel aus dieser Reihe

Wir sind ein Team, das bundesweit verteilt zusammen arbeitet. Dabei gibt es die verschiedensten Konstellationen an Zusammenarbeit und deswegen die verschiedensten Anforderungen an Zugriff auf zentrale und dezentrale Dienste. Dies müssen wir mit geringen Ressourcen administrieren, da wir keine (externen) Techniker beschäftigen – wir möchten alles selbst verstehen und können, erst sehr spezielle Themen (z.B. Serversicherheit) werden extern vergeben, alle anderen Ressourcen und Know-How bauen wir im Team auf.

Die bekannte Ausgangssituation in Teams: es gibt entweder ein Standard-Passwort, wenn es gut läuft, über die Jahre mehrere – und auch die PraktikantInnen der letzten 5 Jahre kennen diese alle noch auswendig. Oder es gibt eine Passwortliste – digital im gemeinsamen Verzeichnis als Word-Dokument oder Tabelle – oder analog im Schreibtisch des Vorgesetzten. Manchmal gibt es sogar schon individuelle Passwort-Speicher wie 1password, Keepass und Co. – nicht schlecht, um die persönlichen Passwörter zu verwalten, die “Tresore” sollten hier möglichst kleinteilig angelegt werden (wenn jeder auf alles zugreifen kann, ist die Wahrscheinlichkeit, das alles kompromitiert wird, sehr hoch). Leider muss den Herstellern vollständig vertraut werden, die Angebote sind nicht open-source. Professionelle Audits legen jedoch nahe, das die aktuellen Versionen als sicher gelten können. Zudem müssen cloud-Speicher wie dropbox etc. eingebunden werden, um auf die “Tresore” gemeinsam zugreifen zu können.

Unsere Anforderungen:

  • open-source
  • zentral administrierbar
  • Rechte-Management
  • hohe Sicherheitsstandards
  • auf dem eigenen Server installierbar

Die Lösung (?)

Heartbleed ging durchs Netz – und hat mindestens die Technik-Versierteren erschüttert. Ein zwei Jahre altes Sicherheitsloch in einer der wichtigsten und weit verbreitetsten Sicherheitsvorkehrungen im Netz macht viele Diskussionen auf. Um die Qualität(sroutinen) von open-source-Projekten, um Finanzierung von open-source und um den eigenen Umgang mit Passwörtern.

Mit diesem Anforderungskatalog sind wir losgezogen und bei passpack.com gelandet. Passpack ist ein kommerzieller Anbieter mit folgendem Konzept: Die Software ist open-source, das Hosting der hochsicherheitsrelevanten Services kostenpflichtig. Schnell sind wir von der Idee, das ganze selbst hosten zu können, abgekommen. Hier vertrauen wir einem professionellen Anbieter mehr als unseren Fähigkeiten, auf dem eigenen Server das ganze selbst sicher halten zu können. Die Software ist open-source, so kann der Kern des Angebots überprüft und einer Kontrolle unterzogen werden. Der Anbieter selbst kann nicht auf die Daten zugreifen, ja nicht mal das eigene Passwort neu generieren, wie man es gewohnt ist („Passwort vergessen, bitte Neues zuschicken“), einmal das Kernpasswort vergessen – und alles ist weg! Das ist der Preis, den man dafür zahlt, das auch der Anbieter nicht auf die eigenen Passwörter zugreifen kann.

Wir haben einen zentralen, bezahlten Account, in dem mehrere hundert Passwörter liegen. Jede/r TeamerIn legt sich zusätzlich einen kostenlosen Account an und verbindet sich innerhalb der Web-App mit dem Hauptbenutzer. Nun kann dieser, nach Gruppen einsortiert, die Passwörter mit den TeamerInnen teilen, welche diese/r jeweils braucht.

Sie sagen: „Das klingt nach sehr viel Arbeit!“ Damit haben sie völlig Recht. Gewohnte Abläufe zu verändern bedeutet stets auch viel Arbeit und Antrieb. Technisch gesehen kann man sich zu jedem Thema recht schnell einlesen bzw. beauftragt wie gewohnt die eigene IT, alternative Strukturen umzusetzen. Vielmehr sind es dann die vielen Folgen, die sich daraus ergeben – alle Geräte müssen neu konfiguriert werden – mit Laptop, ggf. Desktop-Rechner, Smartphone und Tablet sind das ja schon eine ganze Reihe – pro Mitarbeiter/in. Nicht alles funktioniert gleich, Mitarbeiter/innen müssen ggf. neu geschult werden, Routinen neu besprochen werden. Der Umstieg sollte sehr gut geplant werden: Kernfaktoren sind: Zeitliche Kapazitäten (und Wohlwollen) im Team, gute Backup- und Übergangskonzepte, damit kein Datenverlust entsteht.
Sind diese Übergangsschwierigkeiten überstanden, stellt sich sehr schnell eine Erkenntnis ein: Manches ist ein bisschen anders, aber kaum etwas ist wirklich schlechter. Dafür stellt sich die Gewissheit ein, auf eigenen, sicheren, dezentralen Strukturen zu kommunizieren, frei von staatlichen und kommerziellen Interessen. Wir empfehlen, die Umstellung Schritt für Schritt und zum jeweils geeigneten Zeitpunkt (im Zweifelsfall jetzt 😉 ) anzugehen!

Das hat viele Vorteile:

  • Wir arbeiten generell nur mit einzigartigen Passwörten, die alle sehr lang sind (je nach verwendeter Kryptografie werden Passwortlängen von mindestens 14 Stellen, möglichst komplex (also Sonderzeichen, Zahlen, Klein- und Großbuchstaben), empfohlen – wir arbeiten mit über 20 Stellen, Angriffe dauern so z.B. bei AES (einer der wenigen als wirklich sicher geltenden Verschlüsselungsalgorithmen) mehrere Monate bis Jahre mit sehr großer Rechenleistung).
  • Die Sicherheit ist dem persönlichen Schutzbedürfnis und der der Organisation anpassbar – mindestens ein dreistufiges Anmeldeverfahren (Benutzername/Passwort, optische Bestätigung mit persönlicher Begrüßung plus weiteres Passwort), dazu kann noch ein Hardware-Dongle kommen, ein USB-Stick, der den Passwort-Tresor öffnet.
  • Wird einmal ein Rechner eines Teamers infiziert, so müssen wir nur die Passwörter ändern, auf die die TeamerIn Zugriff hatte.
  • Es gibt einen zentralen Ort und ein abgestimmtes Verfahren, wie mit Passwörtern umgegangen wird (statt zu wissen, dass man es eigentlich nicht ganz richtig macht und deswegen stets um das Thema herumschifft und per unverschlüsselter Mail Passwörter durch die Gegend schickt, Notizzettel damit beschreibt und Ex-MitarbeiterInnen auf Jahre Zugang zu zentralen Diensten überlässt).
  • Auch mit externen PartnerInnen kann sicher über Passwörter kommuniziert werden – innerhalb des System mit zweistufigem Anmeldeverfahren.

Praxiserfahrungen

In der Praxis bedeutet die Umstellung erst einmal Arbeit. Der Dienst muss eingerichtet werden – und jedes Passwort und jeder (Web-)Dienst eingepflegt werden. Bei uns dauerte die Umstellungsphase mehrere Wochen, bis wir tatsächlich alle Passwörter dort abgelegt hatten. Das hatte mit der Entscheidung zu tun, nicht in einer Aktion alles machen zu wollen – sondern organisch, jedes mal beim Auftreten eines fehlenden Passworts: eintragen in passpack, neues, sicheres Passwort erzeugen, im Dienst ändern und dann entsprechend den TeamerInnen zuweisen.

Praxistipp:
In passpack kann mit Gruppen gearbeitet werden, die wir entsprechend unserer Organisationseinheiten angelegt haben – so muss nicht jeder Person einzeln jedes Passwort zugewiesen werden, sondern immer nur der Gruppe – wer den Einsatzbereich wechselt, kann so auch einfach in eine neue Gruppe zugewiesen werden

Bei der Anwendung ist passpack auch zunächst eine kleine Umstellung: Statt jedesmal Standard-Passwörter einzutippen klickt man auf einen Button im Browser – die Passwörter werden ausgefüllt und eingeloggt, das ist sehr komfortabel.

Nur mobil gibt es einige Nachteile: Es gibt keine Apps und durch die Sicherheitskonzepte auf Tablets und Smartphones auch nicht die Möglichkeit, dass sich passpack in jeder App einschaltet und die Passwörter einträgt. So muss also häufig aus der passpack-Web-App Benutzername und Passwort manuell kopiert werden und in die entsprechenden Apps eingetragen werden. Das ist ein Preis, den wir – unzufrieden, aber dennoch überzeugt – zu zahlen bereit sind.

Unser Zwischenfazit

Nach einer Zeit der Umstellung sind wir sehr, sehr zufrieden mit der Lösung – wir haben klare Abläufe und ein gutes Gefühl, was unsere Sicherheit insgesamt angeht – immerhin betreffen die Passwörter fast alle unternehmenssensiblen Bereiche. Wir haben die Sicherheit um ein Vielfaches erhöht – und selbst der Komfort ist im Gesamten gestiegen. Die Ausnahme bildet hier der mobile Bereich – wobei auch bislang die Frage war, wie mobil auf sensible Daten zugegriffen werden kann, wenn es nicht ein Klartext-Dokument in der dropbox oder ähnliches sein sollte..

Klar ist bei dieser Lösung: Einem Anbieter muss vertraut werden – nicht seiner Software, denn die ist open-source. Auch müssen die Passwörter nicht anvertraut werden, denn diese bekommt der Anbieter nie zu sehen. (Auch wenn dies so wirkt, denn die Passwörter werden ja im Browser angezeigt: Die Passwörter werden lokal beim User dekodiert und enkodiert, der Anbieter selbst sieht nur die verschlüsselten Daten!) Das Konzept verspricht perfekte Sicherheit, die kein Vertrauen zum Anbieter voraus setzt – spätestens seit heartbleed wissen wir jedoch: Das, was die Software verspricht, muss auch perfekt umgesetzt sein. Dieses Vertrauen in den Anbieter und die Community, die den Code überwacht, muss mitgebracht werden.

Und Sie?

Welche Lösungen setzen Sie ein? Sind sie zufrieden damit?
Welche Alternativen und andere Konzepte gibt es?


Creative Commons Lizenzvertrag Inhalte auf pb21.de stehen i.d.R. unter freier Lizenz (Informationen zur Weiterverwendung).
Der Artikel (Text) auf dieser Seite steht unter der CC BY 3.0 DE Lizenz. Der Name des Autors soll wie folgt genannt werden: Daniel Seitz für pb21.de.
Urheberrechtliche Angaben zu Bildern / Grafiken finden sich direkt bei den Abbildungen.

Daniel Seitz lebt in Berlin, hat Mediale Pfade gegründet und brennt für eine freie, politisierte Gesellschaft, die ihre Verantwortung wahrnimmt. Als Medienpädagoge ist er überzeugt, dass Medienbildung einen wichtigen gesellschaftlichen Anteil zu politischer Teilhabe, Selbstentfaltung und Kreativität leisten kann.

Kategorien: Artikel, Dienste & Werkzeuge, Sonstiges Schlagworte: , , , , , , , , , , , , , , , ,