2221718

Passwörter am Mac verschlüsselt speichern und übertragen

03.10.2016 | 08:01 Uhr |

Es ist ein Problem, das sich jedem Einzelnutzer und jeder kleinen Projektgruppe stellt, sobald es darum geht, ein Blog oder eine News-Seite zu betreiben: Wo soll man all die Passwörter für Konten, Social Media, Mail-Konten und Zusatz-Apps speichern? Und zwar so, dass alle Team-Mitglieder darauf zugreifen können?

Wohl jeder, der in einem Team arbeitet, kennt das Problem: Wo lagert man Passwörter zu den zahllosen Diensten, damit jedes Teammitglied darauf zugreifen kann? Und wie sollen diese Passwörter sicher verschickt werden, wenn es darum geht, Teams zu dirigieren, die nicht an einem gemeinsamen Ort arbeiten? Das Problem beginnt in aller Regel schon bei banalsten Dingen: Wer gemeinsam ein Twitter-Konto pflegt, einen Blog betreibt, eine Firmen-Dropbox unterhält oder für die interne Planung und Abspreche auf Google-Dienste zurückgreift – immer gibt es das leidige Problem des Passwortversands und der Speicherung. Klar: Sie könnten einfach eine Mail mit den Zugangsdaten verschicken.

Lesen Sie hier den ersten Teil der Serie: Verschlüsselung - Dateien vom Mac sicher versenden

Das allerdings ist genau das Problem: Mails sind in Sachen Sicherheit vergleichbar mit Postkarten! Denn jeder Server-Admin, über dessen Server die E-Mail beim weltweiten Versand läuft, könnte lesen, was in der Nachricht steht. Natürlich könnte man die Mails verschlüsseln – das sorgt aber in vielen Fällen für einen deutlich erhöhten Aufwand für die Einrichtung, weshalb wir uns in einem dritten Teil dieser Serie befassen werden. Bis dahin wollen wir Ihnen Alternativen zeigen, die sich einfach bedienen lassen – und trotzdem sicher sind.

Situation: Jedes Team-Mitglied muss auf einen Passwort-Pool zugreifen

In jeder Redaktion oder PR-Agentur, in jedem Online-Marketing-Team und jedem Unternehmer ist das der Fall: Mitarbeiter kommen und gehen und alle benötigen schnell Zugriff auf die Passwörter zu den einzelnen Firmen-Konten. Oder externe Mitarbeiter sollen den Twitter-Account pflegen. So oder so empfiehlt es sich, alle Passwörter irgendwo zu sammeln. Das Problem daran: Wie sorgt man dafür, dass kein Dritter auf die Daten zugreifen kann? Da die Mail- und Dateiverschlüsselung in aller Regel gewisse technische Kenntnisse voraussetzen, fallen diese in vielen Fällen weg. Ebenfalls nicht zu gebrauchen sind all die Desktop-Passwortmanager wie LastPass , KeyPass oder 1Password : Diese sind in aller Regel nur für den Einzelnutzer-Betrieb ausgelegt, beim Einsatz mit Teams ergeben sich nicht unerhebliche Sicherheitsprobleme. Zumal sie fast immer die Installation einer Software voraussetzen, was nicht immer mit allen Betriebssystemen oder Computern möglich ist.

Die Risiken von Online-Passwort-Speichern

Stattdessen muss eine Lösung her, auf die alle Mitarbeiter ohne großen technischen Aufwand zugreifen können und die am besten nichts kostet. Eine Lösung, bei der weder die Gefahr besteht, dass etwas verloren geht, noch dass Dritte sich Zutritt verschaffen. Dummerweise scheinen Einfachheit und Sicherheit in vielen Fällen Widersprüche zu sein, das stimmt jedoch nicht zwangsläufig: Die wohl einfachste Lösung wäre vermutlich eine Textdatei in einem verschlüsselten Disk-Image auf dem Server oder in der Dropbox, etwa mit dem Tool Boxcryptor . Das Problem dabei: Schnell ist etwas gelöscht oder geändert, zudem ist die Freigabe nicht immer unproblematisch. Beim Einsatz von Cloud-Diensten kommt noch das Problem hinzu, dass diese zumeist in den USA arbeiten – mit allen durch den Patriot Act und seine Folgen induzierten Problemen für die Datensicherheit.

Und dann ist da noch das Problem, dass es viele Lösungen gibt, die auf dem Mac arbeiten, aber nicht unter Windows – oder umgekehrt. Wie stellen Sie dann sicher, dass Ihre Mitarbeiter von überall und mit jedem Betriebssystem auf den Passwort-Pool zugreifen können?

Die Sache mit dem Master-Passwort

Hinzu kommt ein weiterer Umstand: Es gibt natürlich für jede Form von Passwort-Safe auch ein „Master-Passwort“. Das muss natürlich auch irgendwie sicher übertragen werden. Zwar könnte man es einfach per Mail oder Brief verschicken – sicher ist das aber auch nicht wirklich, zumal es im Fall eines klassischen Briefs oder gar Einschreibens natürlich auch umständlich ist. Die Übermittlung selbst verschiebt das Gesamtproblem bei jeder Art des Passwort-Speichers einfach nur eine Stufe nach hinten: Die Sicherheit eines Passwort-Safes nimmt rapide ab, wenn man die Kontrolle darüber verliert, wer darauf zugreifen kann. Dadurch ergibt sich neben der Passwort-Lagerung ein zweites Problem: Wie kann ein Passwort sicher und ohne den Einsatz von Dritt-Dienstleistern an ein Teammitglied übermittelt werden – auch wenn es nur das Zugriffspasswort zum Passwort-Lager ist?

Sicherer Passwort-Versand: Die selbst vernichtende Nachricht

Zum Glück gibt es hier bereits eine ausgesprochen smarte Lösung im Web, die Sie vielleicht aus Geheimagenten-Thrillern kennen: Selbstvernichtende Nachrichten. Und das geht so: Sie schreiben das „Master-Passwort“ in ein Textfeld im Browser und erzeugen einen Link, den Sie per E-Mail oder besser: einem Messenger wie iMessage, Telegram oder Whatsapp verschicken können. Dieser Link lässt sich nur einmal anklicken, anschließend funktioniert er nicht mehr. Lösungen dieser Art gibt es gratis im Netz, Read2Burn ist zum Beispiel ein solcher Service. Dummerweise liegt dieser Service natürlich auf einem anderen Server, dem Sie im Zweifel vertrauen müssen. Read2Burn verwendet zwar SSL, um die Übertragung zwischen Webserver und Browser abzusichern – grundsätzlich könnte aber jemand auf der Read2Burn-Website mitlesen.

Mit dem Service Read2Burn können Passwörter relativ risikofrei übermittelt werden
Vergrößern Mit dem Service Read2Burn können Passwörter relativ risikofrei übermittelt werden

Von daher empfiehlt es sich, einen solchen Service auf dem eigenen Webspace  zu installieren. Möglich ist das mit dem Open-Source-Projekt ZeroBin : Vom Funktionsprinzip her identisch zu Read2Burn, können Sie mit der kleinen Webanwendung selbst vernichtende Nachrichten als Links verschicken.

Wer auf Nummer sicher gehen will,...
Vergrößern Wer auf Nummer sicher gehen will,...

Die Installation auf dem eigenen Webspace ist denkbar einfach: Laden Sie die App von GitHub herunter, entpacken Sie das ZIP und laden Sie es auf Ihren Webspace. Anschließend können Sie das Verzeichnis direkt im Browser anwählen oder, besser für Mitarbeiter, eine Subdomain darauf legen: ZeroBin ist ohne weitere Einrichtung sofort erreichbar und gibt Links zu den dort eingepflegten Passwörtern heraus. Diese Links kann man, anders als bei Read2Burn, auch mit einem Verfallsdatum versehen.

... greift zu ZeroBin auf dem eigenen Server
Vergrößern ... greift zu ZeroBin auf dem eigenen Server

Der Vorteil dieser Variante liegt auf der Hand: ZeroBin ist so konzeptioniert, dass nichts auf dem Server gespeichert wird. Und da die Software zusätzlich auf Ihrem eigenen Server liegt, kann natürlich auch kein Dritter die Daten abgreifen. Die Verschlüsselung erfolgt direkt im Browser per AES256, ist also ebenfalls sicher. Der Zugang zum Passwort-Safe kann also sicher übermittelt werden.

Praktischer Passwort-Safe für Teams: Encryptr

Natürlich benötigen Sie im Zweifel auch noch einen Passwort-Safe, auf den das Team zugreifen kann. Eine einfache Lösung ist der Online-Passwort-Manager Encryptr von SpiderOak . SpiderOak setzt schon als Cloud-Dienst auf Zero-Knowledge: Inhalte werden zwar beim Anbieter abgelegt, allerdings geht das nur mit der zugehörigen Client-Software.

Die Web-Anwendung Encryptr…
Vergrößern Die Web-Anwendung Encryptr…

Die wiederum verschlüsselt die Inhalte anhand des Passworts so, dass der Cloud-Dienstleister nicht auf die Daten zugreifen kann – ergo sind die Passwörter erst einmal sicher. Das setzt natürlich voraus, dass man SpiderOaks vollmundigen Marketing-Versprechen Glauben schenken will. Entscheiden Sie sich für den Einsatz von Encryptr, ist die Bedienung denkbar einfach: Sie legen mit der passenden App für Mac, iOS, Android, Windows oder Linux einen Passwort-Safe an und pflegen hier Ihre Zugangsdaten und Passwörter ein.

… ist ein Passwort-Safe im Netz
Vergrößern … ist ein Passwort-Safe im Netz

Soll ein Mitarbeiter Zugriff auf den Safe erhalten, müssen Sie ihm nur mit einem Tool wie ZeroBin die Zugangsdaten zu dem Passwort-Safe übermitteln. Allerdings gibt es ein Sicherheitsproblem: Der Service ist nicht für Teams ausgelegt und jeder, der Zugriff auf das Zugangspasswort hat, kann dieses auch ändern. Dadurch besteht natürlich die Gefahr, dass jemand das Master-Passwort ändert, ob aus Schusseligkeit oder böser Absicht.

Der Anbieter verspricht maximalen Komfort bei optimaler Sicherheit
Vergrößern Der Anbieter verspricht maximalen Komfort bei optimaler Sicherheit

So oder so wären die Passwörter dann weg. Da Encryptr keine Exportfunktion oder ähnliches besitzt, müssen die Passwörter also noch einmal gepflegt werden, idealerweise auf dem Rechner des Administrators in einem sicheren Disk-Image oder ähnlichem, was natürlich zusätzlichen Aufwand bedeutet. Was in größeren Teams also her muss, ist ein Passwort-Manager mit Web-Zugriff, Nutzerverwaltung und Zugriffsrechten.

Allerdings ist das Risiko bei Encryptr wie bei allen Vergleichbaren Lösungen das Master-Passwort
Vergrößern Allerdings ist das Risiko bei Encryptr wie bei allen Vergleichbaren Lösungen das Master-Passwort

  Besser: Self-Hosted-Passwortmanager auf eigenem Webspace verwenden

Genau das bieten Open-Source-Lösungen wie RatticDB und TeamPass : Statt sich auf fremde Server und Dienstleister verlassen zu müssen oder jederzeit Angst darum zu haben, dass eine Passwort-Lösung eines Tages nicht mehr weiterentwickelt wird, können Sie auch einfach auf einem beliebigen Apache-Webserver mit MySQL – und das kann sogar ein Inhouse-Raspberry-Pi oder ein alter Mac in Ihrem Office sein – eine eigene Passwort-Datenbank für Ihre Mitarbeiter aufsetzen, die mit jedem Webbrowser funktioniert und dementsprechend einfach zu handhaben ist. Denn einen Webbrowser gibt es natürlich auf jedem System, egal ob iOS, MacOS, Android, Linux oder Windows.

Der Passwort-Safe TeamPass kann auf jedem LAMP- oder MAMP-Server aufgesetzt werden und besitzt eine eigene Verschlüsselung
Vergrößern Der Passwort-Safe TeamPass kann auf jedem LAMP- oder MAMP-Server aufgesetzt werden und besitzt eine eigene Verschlüsselung

Beide Lösungen sind für den genannten Zweck ausreichend; TeamPass ist allerdings eine Spur besser geeignet, weil es eine integrierte Verschlüsselung mitbringt, die die Passwörter mit einem AES-256-Schlüssel in der Datenbank ablegt. Zudem gibt es eine ausgesprochen sinnvolle Rollenverteilung: Der Administrator kann genau definieren, welcher Nutzer welches Passwort verwenden darf. Dazu werden die Passwörter in Gruppen aufgeteilt.

Passwörter können eingepflegt und von Usern je nach Berechtigung eingesehen werden. Die Lösung ist kostenlos und schnell installiert, der Administrationsaufwand ist jedoch nicht zu unterschätzen
Vergrößern Passwörter können eingepflegt und von Usern je nach Berechtigung eingesehen werden. Die Lösung ist kostenlos und schnell installiert, der Administrationsaufwand ist jedoch nicht zu unterschätzen

Gleichzeitig kann bei Bedarf ein Passwort für einen Nutzer freigeschaltet werden und die Nutzer selbst können, sofern sie dazu berechtigt sind, auch selber Passwörter einpflegen. Auf diese Weise können Sie genau steuern, welcher User welches Passwort verwenden darf – eine deutliche Erleichterung gegenüber allen anderen Lösungen. Und weil die Software auf dem eigenen Server läuft, haben Sie auch die Kontrolle darüber, dass die Daten bleiben, wo sie sind. Ach ja: Eine Backup-Funktion besitzt TeamPass auch, allerdings ist es natürlich immer sinnvoller, regelmäßige Backups des gesamten Servers anzulegen. Wichtig ist natürlich auch, dass der Webserver SSL/HTTPS unterstützt. Nur so kann unterwegs sichergestellt werden, dass niemand zwischen Browser und Server Daten abgreift.

Wenn’s eine Nummer kleiner sein darf: KeeWeb

Zuguterletzt noch eine praktische Passwort-Safe-Lösung, wenn Sie einfach online auf eine bereits vorhandene KeePass-Datenbank zugreifen wollen: Die Web-App KeeWeb erlaubt Ihnen, diese online zu verwenden. Dabei wird nichts auf dem Server hoch- oder heruntergeladen: KeeWeb ist einfach ein Web-Interface, mit dessen Hilfe Sie online zum Beispiel auf eine in der Dropbox oder Google Drive gelagerte KeePass-Passwortsafe zugreifen können.

Für kleinere Teams oder Einzelanwender kann sich auch der Einsatz von KeeWeb lohnen
Vergrößern Für kleinere Teams oder Einzelanwender kann sich auch der Einsatz von KeeWeb lohnen

Falls Ihnen der Zugang über die Website nicht koscher erscheint, gibt es übrigens auch die Möglichkeit, die Web-App direkt in der Dropbox zu installieren: Dazu müssen Sie nur die Index.html des zugehörigen GitHub-Projekts laden und in einen öffentlich zugänglichen Ordner in der Dropbox legen. Kopieren Sie den Link zu dieser Index-Datei in den Browser, um die App zu verwenden. Damit Sie auch von anderen Rechnern aus auf Ihr KeePass-Verzeichnis zugreifen können, sollten Sie die „lange“ Dropbox-URL zudem kürzen, etwa mit einem Linkkürzer wie Googles Goo.gl .

Die Web-App greift auf eine reguläre KeePass-Datenbank zu und stellt diese online, etwa in der Dropbox, zur Verfügung
Vergrößern Die Web-App greift auf eine reguläre KeePass-Datenbank zu und stellt diese online, etwa in der Dropbox, zur Verfügung

Keine Sorge: Die KeePass-Datenbank ist ja ohnehin per Passwort geschützt – wenn sie sie im Web öffentlich zugänglich machen, sollten Sie allerdings dafür sorgen, dass dieses Passwort allen Anforderungen an die Passwort-Sicherheit entspricht.

Fazit: Gewusst, wie

Insgesamt ist das Problem der Passwort-Sicherheit, -Lagerung und -Übermittlung in Teams oder Arbeitsgruppen nach wie vor kritisch. Zwar gibt es kommerzielle Dienste, die maximale Sicherheit versprechen – etwas Passwordsafe   oder Team Password Manager . Die allerdings haben gegenüber RatticDB oder TeamPass vor allem darin den Vorteil, dass sie einen geringen Wartungs- und Lernaufwand besitzen und eine gesicherte Verbindung mit den Anwendern herstellen. Das Hauptproblem der Passwort-Übermittlung bleibt allerdings bei allen Lösungen, gleich welchen Anbieters, bestehen: Selbst wenn nur ein Zugangspasswort übermittelt wird, besteht hier die Gefahr, dass jemand darauf zugreift – und sich auf diese Weise die Datenbank unter den Nagel reißt. Dagegen gibt es leider – außer der lästigen E-Mail-Verschlüsselung – nur einen Weg: Konto-Passwörter und Benutzernamen sollten immer in getrennten Mails oder ZeroBins übermittelt werden, nie zusammen. Zudem sollte der Empfänger anschließend sofort das Passwort ändern. Nur so kann vollständige Sicherheit gewährleistet werden.

Zuguterletzt noch ein Hinweis: Das Lagern von Passwort-Speichern im Netz – völlig egal, ob es sich dabei um Bezahldienste wie Passwordsafe, ein selbst gehostetes Passwort-System wie TeamPass oder eine in der Dropbox gespeicherte KeePass-Datenbank handelt – ist immer mit erhöhten Risiken verbunden. Und so bleibt die Passwort-Lagerung und Übermittlung für Teams nach wie vor eine der Anwendungen, die entweder komfortabel oder sicher sein kann. Beides zusammen ist nur sehr schwer zu realisieren.

0 Kommentare zu diesem Artikel
2221718