Anwaltsblog 24.05.2022 Christian Schebitz

#1 Testsieger der Passwort-Manager für Anwälte u.a.

Warum braucht man einen Passwort-Manager?

Solange es noch noch kein hardwarebasiertes, automatisches Anmelden gibt (FIDO2), müssen wir alle noch sichere Passwörter verwenden, um uns einzuloggen. Da wir idealerweise für jedes Login ein eigenes Passwort einsetzen sollten, ist so ein Tool sehr hilfreich, wir wir im Folgenden sehen werden. Schliesslich verwaltet es für uns sicher und bequem alle zu sichernden Informationen, ggf. nicht nur Passwörter, sondern auch Notizen und Dokumente. Insbesondere als Berufsträger sollten Sie alles tun, damit kein Identitätsdiebstahl oder ähnliche Kompromittierung in bei Ihnen eintreten. Schließlich sind sie als Geheimnisträger dafür verantwortlich, dass auch die Daten ihrer Mandanten sicher bleiben. Der beste Zeitpunkt einen Passwort Manager aufzusetzen und zu nutzen ist jetzt!

Sind Passwort-Manager sicher?

Unsere unten gesteten ja! Weil Sie komplexe Passwörter individuell für jede Webseite generieren. Und weil sie vom PC generiert werden, haben sie nichts mit Ihrer Person zu tun und sind damit nicht ableitbar.

Sind Passwörter per se sicher?

Sind die Passwörter beim Anbieter verschlüsselt?

Das ist wie in der Juristerei, es kommt darauf an… ob der jeweilige Anbieter ihr Passwort als Hash oder im Klartext hinterlegen. Eine Begrenzung der Passwortlänge ist ein Indiz dafür, dass es im Klartext abgelegt wird, denn ein Hash-Wert, der aus irgendeinem Passwort geniert wird, wäre stets gleich lang. Ist letzteres nicht der Fall, kann der Administrator vor Ort das Passwort auslesen.

Datenbank wird geklaut

Oder es können – wie schon oft geschehen – Hacker die Datenbank hacken und alle Daten auslesen, was bereits sehr großen und renommierten Unternehmen passiert ist.

Phishing: Sie geben den Tätern die Logindaten selbst

Eine aktuelle Methode ist es  Ihr Passwort abzufischen, indem man Ihnen per Email sehr authentisch wirkende Anmeldeseiten von Banken, Versicherungen, Webservices oder Shops  anbietet. Sobald sie sich dort “anmelden” haben die Hacker Ihre Logindaten (sog. Phishing). Und weil das so oft passiert, sollten Sie für jeden Dienst/Service ein individuelles Passwort verwenden! Um sog. “Brute-Force”-Attacken abzuwehren benötigt ein sicheres Passwort mindestens zwölf Zeichen, noch besser sechzehn!

Sind lange Passwörter ausreichend sicher?

Nein! Denn die o.g. Fälle führen dazu, dass auch sichere Passwörter in die falsche Hände geraten können.

Wie kann ich die Sicherheit zusätzlich erhöhen?

Dagegen hilft z.B eine Zwei-Faktor Authentifizierung (2FA), am besten in Verbindung mit einer Hardware, wie ihren Smartphone oder einem USB Stick. Mehr dazu in einem gesonderten Artikel im Anwaltsblog. Zusätzliche Sicherheit geben so genannte Crypto Token die zum Beispiel in Form eines USB-Sticks oder eines Smartphones oder auch ihre Apple Watch durch den Besitz einer Sache den Account zusätzlich sichern. Schließlich kann ein Hacker nur ihr Passwort stehlen aber nicht gleichzeitig ihre Hardware…

Wie erlange ich die höchste Passwort-Sicherheit?

Die derzeit sicherste Technologie nennt sich FIDO2. Die Abkürzung FIDO steht für “Fast IDentity Online”. Dabei authentifiziert man sich mit einem Sicherheitsschlüssel gegenüber einem Dienst. Der Schlüssel ist entweder ein spezieller USB Stick (s.u.) oder es wird ein Crypto Chip genutzt, der sehr wahrscheinlich bereits in ihrem Smartphone oder Tablet oder Computer verbaut wurde. Der genutzte Webdienst greift auf diesen Sicherheitsschlüssel zu und verifiziert sie als Eigentümer. Deshalb müssen Sie diesen Schlüssel vorab mit dem Account verknüpfen. Ein potentieller Datendieb könnte zwar ihre Zugangsdaten geklaut haben, sich damit aber nicht einloggen weil er nicht über den FIDO2 Schlüssel (ihre Hardware) verfügt. Die Schlüssel nicht über ist kryptografisch abgesichert und deshalb nicht kopierbar. Beispielsweise bei Microsoft können Sie sich damit bereits einloggen. Die folgenden Betriebssysteme unterstützen FIDO2: Windows 10 und 11, macOS App ab Mojave und iOS ab Version 13.3, sowie Android ab Version 7.

Hier eine Übersicht wie FIDO2 funktioniert:

So funktioniert FIDO2

Große Unternehmen die Google und Microsoft gehören bereits der FIDO-Alliance an. Deshalb läuft die Technik auch schon auf Google Smartphones und Microsoft setzt sie in Windows 10 und 11 ein. Aber auch MacOS und iOS nutzt Apple für FIDO2. Bereits im Jahr 2023 sollen die FIDO2 Schlüssel auch in die Cloud der jeweiligen Betriebssystem-Hersteller wandern. Damit können die Eigentümer die Identitätsnachweise direkt aus der Cloud an ihre Geräte verteilen. Das möglich es auch ein verlorenes Gerät über die Cloud zu aus dem Schlüsselbund zu entfernen (was sonst nicht möglich wäre, wenn man das Gerät nicht in der Hand hat). Dann kann man ganz einfach die Entsperrfunktion seines Smartphones (Fingerabdruck oder Face ID) dazu nutzen sich auf Services oder Webseiten einzuloggen. Ohne Passwort! Passwörter sind dann nicht mehr nötig. Die geplante Ende zu Ende Verschlüsselung der Daten von und zur Cloud soll dafür Sorge tragen, dass auch die Administratoren der Cloud Betreiber keinen Zugriff auf die Schlüssel haben.

Bis dahin sollten Sie die notwendige Sicherheit mit einer zulässigen Hardware gewährleisten. Solche FIDO2 USB-Sticks können Sie z.B. bei den folgenden Herstellern erwerben:

Welches ist mein wichtigstes Passwort?

Wenn man ein Passwort vergessen hat, kann man meist ein neues generieren und sich zusenden lassen. Es wird dann an ihre Email geschickt und das alte Passwort zurückgesetzt. Deshalb ist Ihr Email-Account der sensibelste Punkt. Dort benötigen Sie ein besonders sicheres und langes Passwort. Denn wer über Ihre Emails verfügen kann, sendet sich einfach die Logins dorthin und verfügt damit über den Zugang zu vielen Ihrer Webseiten und Apps!

Wie funktioniert ein Passwort-Manager?

Ein Passwort-Manager (PM) gibt Ihre Zugangsdaten (Credentials) im Anmeldeformular bei Online-Portalen automatisch ein (Optional). Natürlich kann man sich auch selbst einloggen und die Passwörter aus dem PM kopieren. Aber das wäre unnötig umständlich und zudem wären Ihre Logindaten dann in ihrer “Zwischenablage” so lange gespeichert, bis sie etwas neues darin ablegen.

Der PM ist wie eine digitale Passwort-Sammlung. Sie wir mit nur einem Master-Passwort gesichert, welches einem Generalschlüssel entspricht.

Wo speichert ein Passwortmanager meine sensiblen Daten?

Die bequemste Lösung ist die Ablage der verschlüsselten Datei in einer Cloud, denn damit können Sie über alle Geräte hinweg synchronisiert auf Ihre Logins zugreifen. Einige Anbieter betreiben dafür ihre eigenen Server. Wenn Sie diese automatische Synchronisation wünschen, kommen Sie nicht um die Cloud herum. Das ist jedoch kein Problem, denn eine professionell gemanagte Cloud ist auf jeden Fall sicherer als jeder Rechner und jedes Device in Ihrer Kanzlei oder gar zu Hause! Das gilt übrigens auch für alle anderen Daten, die sie in Ihrer Kanzlei speichern. Durch die Verschlüsselung der Passwort-Datenbank vor dem übertragen ist diese Lösung sicher.

Sollten Sie beharrlich anders vorgehen wollen, so können Sie mit “KeePass” die Daten bei sich lokal speichern. Müssen dann aber immer manuell die Datei auf jedes Gerät spielen, wenn Sie ein neues Kennwort eingegeben haben. Es wir dann aber nicht lange dauern und es gibt Differenzen, denn man legt ja von allen Geräten aus neue Logins an. Irgendwann weiß man nicht mehr, welche Datei die aktuelle ist. Und dann verliert man Passwörter. Deshalb erscheint mir diese Lösung nicht praktikabel. Zudem ist KeePass veraltet und unbequem.

Warum kann ich nicht meine Passwörter einfach im Browser speichern?

Das können Sie zusätzlich tun, so wie ich das auch nutze. Es ist übrigens sicherer als man denkt. Schliesslich tippt man dann die Logins nicht mehr ein, sie werden als nicht über die Tastatur übertragen. Das schliesst einen Weg des abfischens aus.
Allerdings hilft Ihnen das nur, wenn Sie überall den gleichen Browser verwenden. Und es hilft auch nur beim Einloggen auf Webseiten, nicht in Apps. Zudem können Sie damit keine weiteren Zugänge speichern (Safe, Kreditkartendaten,…). Und sie machen sich abhängig von einem Hersteller.

Für welchen Anwalt lohnt sich ein Passwort-Manager?

Ein Passwort-Manager ist ein “must have” für jeden Anwalt der sich

  • auf diversen Plattformen anmeldet
  • der sich nicht für jedes Login individuelle, komplexe Passwörter merken kann
  • der bisher stets das gleiche Passwort nutzt

Die Ersteinrichtung geht fast automatisch von statten, denn immer, wenn Sie sich einloggen, meldet sich Ihr PM und fragt Sie, ob er tätig werden soll. Aber bis sie alle Passwörter gespeichert haben, dauert es natürlich, geht aber, Schritt für Schritt, so nebenbei voran.

Stiftung Warentest: Welcher Passwort-Manager ist gut?

14 Passwort-Manager-Programme wurden von der Stiftung Warentest, 25 weitere von der Zeitschrift “ct” (05/21) getestet. Alle PM liessen sich auf mehreren Geräten, wie z.B. Computern, Handys und Tablets nutzen. Es gibt sie auch für verschiedene Betriebssysteme wie Windows, Apple, Linux). Diese und weitere Tests habe ich im Folgenden ausgewertet.

Folgende Kriterien flossen in meine u.g. Emfpehlungen mit ein:
  • Sicherheitsfunktionen
  • Konzept
  • Handhabung in der Praxis
  • Funktionsumfang
  • Datenschutz
  • Nutzungsbedingungen und AGB

Im Folgenden empfehle ich nur noch noch die drei Programme, welche die folgenden Kriterien erfüllen (weil ich sie für RAe für unabdingbar halte):

  • Passwortgenerator
  • Add Ons für die Browser Chrome, Edge, Safari
  • Nutzbar auf Windows und macOS
  • WebApp
  • Cloudintegration möglich (sichere und übergreifende Speicherung)
  • Zahlungsdaten, Identitäten und Notizen speicherbar
  • Darknet-Prüfung auf potentiell kompromittierte Accounts
  • Passwort teilen (ggf. nötig für Mandanten oder Assistenten)
  • Zwei Faktor Authentifizierung
  • Apps für Android und iOS
  • Hoher Funtionsumfang
  • Sehr guter Bedienkomfort

Die besten Passwort Manager sind diese:

Dieser Passwort-manager Vergleich soll Ihnen die Entscheidung für einen passenden erleichtern:

#1 Testsieger der Passwort-Manager für Anwälte u.a. - rechtsanwalt.com
1Password gilt als komfortabel, sicher und es gibt eine Dauerlizenz Dieses Programm nutze ich selbst und kann es durchweg empfehlen! Es ist das einzige der Testsiegerprogramme, welches auch im “Privacy -Check” die volle Punktzahl erhält, denn es sendet keine Tracking oder Analysedaten.

#1 Testsieger der Passwort-Manager für Anwälte u.a. - rechtsanwalt.com
Der Dashlane passwort-manager glänzt mit guter Konfigurierbarkeit, großem Funktionsumfang.

Logo Bitwarden
Bittwarden hat ein klares und übersichtliches Layout. Im Premium Modus verfügt es auch über alle o.g. Kriterien. Man könnte dafür sogar einen eigenen Synchronisationsserver betreiben, sollte man der Herstellereigenen Cloud nicht trauen. Dafür muss man aber ein Techie sein.

Alle anderen PM lassen eines der o.g. Kriterien vermissen, weshalb ich Ihnen die Mühe ersparen möchte alle weiteren 23 in Augenschein zu nehmen.

Gibt es alternative Passwortspeicher, die offline und ohne Cloud auskommen?

Wer partout nicht möchte, dass Passwörter auf dem Smartphone oder in der Cloud landen, kann eine NFC-Passwortkarte von PIN-Safe nutzen. “NFC” steht für die Near Field Communication Funktion vieler aktueller Smartphones. Diese kann Daten über die Rückseite des Handys per Funk austauschen. Da diese nur wenige cm weit reicht, kann es nicht von außen “mitgelesen” werden.

In diese Karten pflegt man über eine App die zu sichernden Daten ein. Diese werden dann ausschliesslich (und durch die “Ct” nachweislich bestätigt) auf der Karte verschlüsselt (256 Bit AES) abgelegt. Man kommt an die Daten nur mit dem zugehörigen, entsperrten Smartphone, der App und der Karten PIN (max. 10 Ziffern) für die App, sowie mit der Karte heran.  Und so sieht die App aus:

#1 Testsieger der Passwort-Manager für Anwälte u.a. - rechtsanwalt.com#1 Testsieger der Passwort-Manager für Anwälte u.a. - rechtsanwalt.com

Eine zweite Karte erhalten Sie dazu, sie dient als Backup. Es werden dabei wirklich KEINE Daten auf dem Smartphone oder gar in der Cloud abgelegt.  Das bedingt allerdings auch, dass man nur sehr wenige, rudimentäre Daten speichern kann, da so eine Karte nur ca. 10-20 sichere Logins speichern kann.  Wenn aber Sicherheit Vorrang hat, ist die PIN-Safe eine Alternative.

Hier können Sie bei Amazon mehr über die PIN-Safe Karte erfahren und sie direkt erwerben:

#1 Testsieger der Passwort-Manager für Anwälte u.a. - rechtsanwalt.com#1 Testsieger der Passwort-Manager für Anwälte u.a. - rechtsanwalt.com

Folgendes sollten Sie bei der Nutzung solcher Karten bedenken:

  • Geht das verbundene Smartphone kaputt oder verloren, haben Sie keinen Zugriff mehr auf die Karte, weil diese nur ein ein Smartphone gekoppelt wird. Die Seriennummer (IMEI) des Handys dient nämlich als Lizenzschlüssel und (nur) der Aktivierungscode wird online von der App überprüft. Bewahren Sie deshalb die Logins in Papierform oder als PDF auf einem USB Stick zuhause an einem sicheren Ort auf, um im Verlustfall wieder auf diese zurückgreifen zu können.
  • Bewahren Sie die Karte stets in der beiliegenden Hülle auf, weil sie dann vor dem auslesen durch Dritte geschützt ist.

Fazit zur PIN-Safe:

Die PIN-Safe Karte ersetzt den Zettel im Geldbeutel, ist sicher und preiswert, bietet aber nicht den Funktionsumfang von den anderen, auf dieser Seite beschriebenen, Passwortmanagern. Sie können eine PIN-Safe hier erwerben.

Kostenpflichtiger oder kostenloser Passwort-Manager?

Wenn Sie bei jedem einloggen nur 30 sec. sparen, dann können Sie sich ausrechnen, wie schnell sich ein bequemer PM rechnet. Kostenlose passwort manager sind zu kompliziert und unhandlich. Zudem werden Sie Jahre mit dem Programm leben. Da lohnt es sich schon auf ein renommiertes Produkt zu setzen, welches weiterentwickelt wird. So etwas geht nicht kostenlos. Genauso wenig wie kostenlose Rechtsberatung.
Noch wichtiger: Sie wollen auf jedem Device den gleichen PM mit synchronen Daten haben – das geht nur mit den Pro Versionen zuverlässig. Also investieren sie ca. 60 Euro im Jahres-Abo und nehmen Sie einen guten Passwort-Manager.

Grundsätzlich gibt es auch sichere kostenlose Passwort Manager. Allerdings sind sie relativ kompliziert zu händeln und das übergreifende speichern in der Cloud und die parallele Nutzbarkeit auf diversen Geräten ist meist stark eingeschränkt oder sehr kompliziert. Deswegen empfehle mir diese nicht für Profis.

Keine Passwörter mehr vergessen und zurücksetzen. Holen Sie sich Dashlane. KOSTENLOS. 

Wie prüfe ich, ob mein Passwort gehacked wurde?

Überprüfen Sie das, in dem Sie auf haveibeenpwned.com nur ihre Emailadressen eingeben. Sie erhalten dann automatisch an Ihre Emailadresse Nachricht, wenn und für welche Webseite das Passwort gehacked wurde

Was, wenn ich mein Master-Passwort vergesse?

Das MÜSSEN Sie ausschliessen! Wenn Sie es verlieren oder vergessen, kommen Sie nie mehr an die Daten heran. Also: notfalls Aufschreiben und (auch für die Erben) sicher im Safe hinterlegen. Z.B. bei den Notfallunterlagen, die Sie hoffentlich angelegt haben. Aber das ist wieder ein anderes Thema 😉

Wie werden meine Logins noch sicherer?

Nutzen Sie, wo immer es geht, die sog. “Zwei-Faktor-Authentifizierung“. Dazu laden Sie sich einfach kostenlose Apps auf Ihr Smartphone, welche Ihnen einen zweiten Wert aktuell berechnen, der nur für wenige Sekunden gültig ist. Diesen geben Sie dann zusätzlich zu den Logindaten ein. Da dieser Wert von Ihrem Smartphone kommt, kann ein Dritter mit Ihren Logindaten nichts anfangen. Er scheitert an dieser generierten Zahl. Diese Apps heißen z.B. “Authy” oder auch Google Authenticator.  Auch Microsoft bietet einen an.

Erreiche ich mit einem Passwortmanager absolute Sicherheit?

Solange es Passwörter gibt, existiert auch keine 100% Sicherheit. Ich bin allerdings schon seit 1984 online unterwegs, habe schon BTX-Banking Mitte der 80er gemacht. Seit 1995 bin ich Internetunternehmer. Noch nie wurde ich gehackt. Wenn man die o.g. Punkte beherzigt, wird es für Hacker extrem aufwändig. Die Sicherheit ist damit größer, als dass Ihr Auto gestohlen oder Ihre Wohnung aufgebrochen wird.

Weiterführende Links zu FIDO und IT-Kanzleisicherheit:

Lesen sie mehr über  sichere Kanzlei-IT.
Mehr darüber wie FIDO funktioniert.

Wenn Sie wissen wollen, ob Ihre Kanzlei oder Ihre Emails bereits kompromittiert wurden, so können Sie diesen kostenlosen Service nutzen: have i been pwned?

Wenn Sie regelmäßig auf dem aktuellen Stand bleiben wollen, dann abonnieren Sie doch einfach unsere Anwaltsnews:

[activecampaign form=1]

#1 Testsieger der Passwort-Manager für Anwälte u.a. - rechtsanwalt.com

Kostengünstige Rechtsberatung durch Fachanwälte

  • Verbindliche Auskunft vom Rechtsanwalt
  • Festpreis - garantiert
  • innerhalb von 24 Stunden

Beratung durch Anwalt am Telefon

Antwort auf konkrete Fragestellung.
Spezialisierter Anwalt ruft Sie zügig an.

Zur Auswahl der Anwaltshotline 15 min. zum Festpreis ab 29€