Wohl jeder, der in einem Team arbeitet, kennt das Problem: Wo lagert man Passwörter zu den zahllosen Diensten, damit jedes Teammitglied darauf zugreifen kann? Und wie sollen diesePasswörter sicher verschickt werden, wenn es darum geht, Teams zu dirigieren, die nicht an einem gemeinsamen Ort arbeiten? Das Problem beginnt in aller Regel schon bei banalsten Dingen: Wer gemeinsam ein Twitter-Konto pflegt, einen Blog betreibt, eine Firmen-Dropbox unterhält oder für die interne Planung und Abspreche auf Google-Dienste zurückgreift – immer gibt es das leidige Problem des Passwortversands und der Speicherung. Klar: Sie könnten einfach eine Mail mit den Zugangsdaten verschicken.
Das allerdings ist genau das Problem: Mails sind in Sachen Sicherheit vergleichbar mit Postkarten! Denn jeder Server-Admin, über dessen Server die E-Mail beim weltweiten Versand läuft, könnte lesen, was in der Nachricht steht. Natürlich könnte man die Mails verschlüsseln – das sorgt aber in vielen Fällen für einen deutlich erhöhten Aufwand für die Einrichtung, weshalb wir uns in einem dritten Teil dieser Serie befassen werden. Bis dahin wollen wir Ihnen Alternativen zeigen, die sich einfach bedienen lassen – und trotzdem sicher sind.
Situation: Jedes Team-Mitglied muss auf einen Passwort-Pool zugreifen
In jeder Redaktion oder PR-Agentur, in jedem Online-Marketing-Team und jedem Unternehmer ist das der Fall: Mitarbeiter kommen und gehen und alle benötigen schnell Zugriff auf die Passwörter zu den einzelnen Firmen-Konten. Oder externe Mitarbeiter sollen den Twitter-Account pflegen. So oder so empfiehlt es sich, alle Passwörter irgendwo zu sammeln. Das Problem daran: Wie sorgt man dafür, dass kein Dritter auf die Daten zugreifen kann?
Da die Mail- und Dateiverschlüsselung in aller Regel gewisse technische Kenntnisse voraussetzen, fallen diese in vielen Fällen weg. Ebenfalls nicht zu gebrauchen sind all die Desktop-Passwortmanager wie LastPass, KeyPass oder 1Password: Diese sind in aller Regel nur für den Einzelnutzer-Betrieb ausgelegt, beim Einsatz mit Teams ergeben sich nicht unerhebliche Sicherheitsprobleme. Zumal sie fast immer die Installation einer Software voraussetzen, was nicht immer mit allen Betriebssystemen oder Computern möglich ist.
Die Risiken von Online-Passwort-Speichern
Stattdessen muss eine Lösung her, auf die alle Mitarbeiter ohne großen technischen Aufwand zugreifen können und die am besten nichts kostet. Eine Lösung, bei der weder die Gefahr besteht, dass etwas verloren geht, noch dass Dritte sich Zutritt verschaffen. Dummerweise scheinen Einfachheit und Sicherheit in vielen Fällen Widersprüche zu sein, das stimmt jedoch nicht zwangsläufig: Die wohl einfachste Lösung wäre vermutlich eineTextdatei in einem verschlüsselten Disk-Image auf dem Server oder in der Dropbox, etwa mit dem Tool Boxcryptor.
Das Problem dabei: Schnell ist etwas gelöscht oder geändert, zudem ist die Freigabe nicht immer unproblematisch. Beim Einsatz von Cloud-Diensten kommt noch das Problem hinzu, dass diese zumeist in den USA arbeiten – mit allen durch den Patriot Act und seine Folgen induzierten Problemen für die Datensicherheit.
Und dann ist da noch das Problem, dass es viele Lösungen gibt, die auf dem Mac arbeiten, aber nicht unter Windows – oder umgekehrt. Wie stellen Sie dann sicher, dass Ihre Mitarbeiter von überall und mit jedem Betriebssystem auf den Passwort-Pool zugreifen können?
Die Sache mit dem Master-Passwort
Hinzu kommt ein weiterer Umstand: Es gibt natürlich für jede Form von Passwort-Safe auch ein „Master-Passwort“. Das muss natürlich auch irgendwie sicher übertragen werden. Zwar könnte man es einfach per Mail oder Brief verschicken – sicher ist das aber auch nicht wirklich, zumal es im Fall eines klassischen Briefs oder gar Einschreibens natürlich auch umständlich ist.
Die Übermittlung selbst verschiebt das Gesamtproblem bei jeder Art des Passwort-Speichers einfach nur eine Stufe nach hinten: Die Sicherheit eines Passwort-Safes nimmt rapide ab, wenn man die Kontrolle darüber verliert, wer darauf zugreifen kann. Dadurch ergibt sich neben der Passwort-Lagerung ein zweites Problem: Wie kann ein Passwort sicher und ohne den Einsatz von Dritt-Dienstleistern an ein Teammitglied übermittelt werden – auch wenn es nur das Zugriffspasswort zum Passwort-Lager ist?
Sicherer Passwort-Versand: Die selbst vernichtende Nachricht
Zum Glück gibt es hier bereits eine ausgesprochen smarte Lösung im Web, die Sie vielleicht aus Geheimagenten-Thrillern kennen: Selbstvernichtende Nachrichten. Und das geht so: Sie schreiben das „Master-Passwort“ in ein Textfeld im Browser und erzeugen einen Link, den Sie per E-Mail oder besser: einem Messenger wie iMessage, Telegram oder Whatsapp verschicken können.
Dieser Link lässt sich nur einmal anklicken, anschließend funktioniert er nicht mehr. Lösungen dieser Art gibt es gratis im Netz, Read2Burn ist zum Beispiel ein solcher Service. Dummerweise liegt dieser Service natürlich auf einem anderen Server, dem Sie im Zweifel vertrauen müssen. Read2Burn verwendet zwar SSL, um die Übertragung zwischen Webserver und Browser abzusichern – grundsätzlich könnte aber jemand auf der Read2Burn-Website mitlesen.
Von daher empfiehlt es sich, einen solchen Service auf dem eigenen Webspace zu installieren. Möglich ist das mit dem Open-Source-Projekt ZeroBin: Vom Funktionsprinzip her identisch zu Read2Burn, können Sie mit der kleinen Webanwendung selbst vernichtende Nachrichten als Links verschicken.
Die Installation auf dem eigenen Webspace ist denkbar einfach: Laden Sie die App von GitHub herunter, entpacken Sie das ZIP und laden Sie es auf Ihren Webspace. Anschließend können Sie das Verzeichnis direkt im Browser anwählen oder, besser für Mitarbeiter, eine Subdomain darauf legen: ZeroBin ist ohne weitere Einrichtung sofort erreichbar und gibt Links zu den dort eingepflegten Passwörtern heraus. Diese Links kann man, anders als bei Read2Burn, auch mit einem Verfallsdatum versehen.
Der Vorteil dieser Variante liegt auf der Hand: ZeroBin ist so konzeptioniert, dass nichts auf dem Server gespeichert wird. Und da die Software zusätzlich auf Ihrem eigenen Server liegt, kann natürlich auch kein Dritter die Daten abgreifen. Die Verschlüsselung erfolgt direkt im Browser per AES256, ist also ebenfalls sicher. Der Zugang zum Passwort-Safe kann also sicher übermittelt werden.
Praktischer Passwort-Safe für Teams: Encryptr
Natürlich benötigen Sie im Zweifel auch noch einen Passwort-Safe, auf den das Team zugreifen kann. Eine einfache Lösung ist der Online-Passwort-Manager Encryptr von SpiderOak. SpiderOak setzt schon als Cloud-Dienst auf Zero-Knowledge: Inhalte werden zwar beim Anbieter abgelegt, allerdings geht das nur mit der zugehörigen Client-Software.
Die wiederum verschlüsselt die Inhalte anhand des Passworts so, dass der Cloud-Dienstleister nicht auf die Daten zugreifen kann – ergo sind die Passwörter erst einmal sicher. Das setzt natürlich voraus, dass man SpiderOaks vollmundigen Marketing-Versprechen Glauben schenken will. Entscheiden Sie sich für den Einsatz von Encryptr, ist die Bedienung denkbar einfach: Sie legen mit der passenden App für Mac, iOS, Android, Windows oder Linux einen Passwort-Safe an und pflegen hier Ihre Zugangsdaten und Passwörter ein.
Soll ein Mitarbeiter Zugriff auf den Safe erhalten, müssen Sie ihm nur mit einem Tool wie ZeroBin die Zugangsdaten zu dem Passwort-Safe übermitteln. Allerdings gibt es ein Sicherheitsproblem: Der Service ist nicht für Teams ausgelegt und jeder, der Zugriff auf das Zugangspasswort hat, kann dieses auch ändern. Dadurch besteht natürlich die Gefahr, dass jemand das Master-Passwort ändert, ob aus Schusseligkeit oder böser Absicht.
So oder so wären die Passwörter dann weg. Da Encryptr keine Exportfunktion oder ähnliches besitzt, müssen die Passwörter also noch einmal gepflegt werden, idealerweise auf dem Rechner des Administrators in einem sicheren Disk-Image oder ähnlichem, was natürlich zusätzlichen Aufwand bedeutet. Was in größeren Teams also her muss, ist ein Passwort-Manager mit Web-Zugriff, Nutzerverwaltung und Zugriffsrechten.
Besser: Self-Hosted-Passwortmanager auf eigenem Webspace verwenden
Genau das bieten Open-Source-Lösungen wie RatticDB und TeamPass: Statt sich auf fremde Server und Dienstleister verlassen zu müssen oder jederzeit Angst darum zu haben, dass eine Passwort-Lösung eines Tages nicht mehr weiterentwickelt wird, können Sie auch einfach auf einem beliebigen Apache-Webserver mit MySQL – und das kann sogar ein Inhouse-Raspberry-Pi oder ein alter Mac in Ihrem Office sein – eine eigene Passwort-Datenbank für Ihre Mitarbeiter aufsetzen, die mit jedem Webbrowser funktioniert und dementsprechend einfach zu handhaben ist. Denn einen Webbrowser gibt es natürlich auf jedem System, egal ob iOS, MacOS, Android, Linux oder Windows.
Beide Lösungen sind für den genannten Zweck ausreichend; TeamPass ist allerdings eine Spur besser geeignet, weil es eine integrierte Verschlüsselung mitbringt, die die Passwörter mit einem AES-256-Schlüssel in der Datenbank ablegt. Zudem gibt es eine ausgesprochen sinnvolle Rollenverteilung: Der Administrator kann genau definieren, welcher Nutzer welches Passwort verwenden darf. Dazu werden die Passwörter in Gruppen aufgeteilt.
Gleichzeitig kann bei Bedarf ein Passwort für einen Nutzer freigeschaltet werden und die Nutzer selbst können, sofern sie dazu berechtigt sind, auch selber Passwörter einpflegen. Auf diese Weise können Sie genau steuern, welcher User welches Passwort verwenden darf – eine deutliche Erleichterung gegenüber allen anderen Lösungen.
Und weil die Software auf dem eigenen Server läuft, haben Sie auch die Kontrolle darüber, dass die Daten bleiben, wo sie sind. Ach ja: Eine Backup-Funktion besitzt TeamPass auch, allerdings ist es natürlich immer sinnvoller, regelmäßige Backups des gesamten Servers anzulegen. Wichtig ist natürlich auch, dass der Webserver SSL/HTTPS unterstützt. Nur so kann unterwegs sichergestellt werden, dass niemand zwischen Browser und Server Daten abgreift.
Wenn es eine Nummer kleiner sein darf: KeeWeb
Zuguterletzt noch eine praktische Passwort-Safe-Lösung, wenn Sie einfach online auf eine bereits vorhandene KeePass-Datenbank zugreifen wollen: Die Web-App KeeWeb erlaubt Ihnen, diese online zu verwenden. Dabei wird nichts auf dem Server hoch- oder heruntergeladen: KeeWeb ist einfach ein Web-Interface, mit dessen Hilfe Sie online zum Beispiel auf eine in der Dropbox oder Google Drive gelagerte KeePass-Passwortsafe zugreifen können.
Falls Ihnen der Zugang über die Website nicht koscher erscheint, gibt es übrigens auch die Möglichkeit, die Web-App direkt in der Dropbox zu installieren: Dazu müssen Sie nur die Index.html des zugehörigen GitHub-Projektsladen und in einen öffentlich zugänglichen Ordner in der Dropbox legen. Kopieren Sie den Link zu dieser Index-Datei in den Browser, um die App zu verwenden. Damit Sie auch von anderen Rechnern aus auf Ihr KeePass-Verzeichnis zugreifen können, sollten Sie die „lange“ Dropbox-URL zudem kürzen, etwa mit einem Linkkürzer wie Googles Goo.gl.
Keine Sorge: Die KeePass-Datenbank ist ja ohnehin per Passwort geschützt – wenn sie sie im Web öffentlich zugänglich machen, sollten Sie allerdings dafür sorgen, dass dieses Passwort allen Anforderungen an die Passwort-Sicherheit entspricht.
Fazit: Gewusst, wie
Insgesamt ist das Problem der Passwort-Sicherheit, -Lagerung und -Übermittlung in Teams oder Arbeitsgruppen nach wie vor kritisch. Zwar gibt es kommerzielle Dienste, die maximale Sicherheit versprechen – etwas Passwordsafe oder Team Password Manager. Die allerdings haben gegenüber RatticDB oder TeamPass vor allem darin den Vorteil, dass sie einen geringen Wartungs- und Lernaufwand besitzen und eine gesicherte Verbindung mit den Anwendern herstellen.
Das Hauptproblem der Passwort-Übermittlung bleibt allerdings bei allen Lösungen, gleich welchen Anbieters, bestehen: Selbst wenn nur ein Zugangspasswort übermittelt wird, besteht hier die Gefahr, dass jemand darauf zugreift – und sich auf diese Weise die Datenbank unter den Nagel reißt. Dagegen gibt es leider – außer der lästigen E-Mail-Verschlüsselung – nur einen Weg: Konto-Passwörter und Benutzernamen sollten immer in getrennten Mails oder ZeroBins übermittelt werden, nie zusammen. Zudem sollte der Empfänger anschließend sofort das Passwort ändern. Nur so kann vollständige Sicherheit gewährleistet werden.
Zuguterletzt noch ein Hinweis: Das Lagern von Passwort-Speichern im Netz – völlig egal, ob es sich dabei um Bezahldienste wie Passwordsafe, ein selbst gehostetes Passwort-System wie TeamPass oder eine in der Dropbox gespeicherte KeePass-Datenbank handelt – ist immer mit erhöhten Risiken verbunden. Und so bleibt die Passwort-Lagerung und Übermittlung für Teams nach wie vor eine der Anwendungen, die entweder komfortabel oder sicher sein kann. Beides zusammen ist nur sehr schwer zu realisieren.