Leute, wir müssen über Bitwarden reden. Das ist ein Passwort-Manager, der es euch möglich macht, eure Passwörter sicher aufzubewahren und auch zu organisieren. Ich erzähle euch ja hin und wieder davon, dass ich Passwort-Manager für unverzichtbar halte. Und ich bleibe auch dabei, selbst wenn andere meinen, dass sie nichts zu verbergen hätten. Aber da erzähle ich ja nichts neues. Jetzt müssen wir uns mal darüber unterhalten, was es zum automatischen Ausfüllen zu sagen gibt. Denn da ist wieder mal einiges im Argen.
Was zur Hölle ist Bitwarden?
Ich weiß ja, dass ich einen hohen Anteil an Lesern habe, die wissen, wovon ich da immer erzähle. Aber es gibt eben auch Laien, die eben andere Themen im Mittelpunkt haben. Denen muss ich ja auch mal was erzählen können. Jedenfalls ist Bitwarden ein Passwort-Manager, eine Kennwort-Verwaltung. Die gibt es mit Cloud-Anbindung und als selbst gehosteter Dienst. Ich kann damit die Passwörter, die ich so nutze, speichern, organisieren und sichern und all das.
Seit der Komplett-Katastrophe bei LastPass sind viele Nutzer dahin umgestiegen. Und je mehr Nutzer irgendwas nutzen, desto mehr rückt das dann in den Fokus. Nun habe ich läuten gehört, dass Bitwarden auch bloß nicht das Wahre sein soll. Aber warum? Das Ding bietet mir alles, was ich so brauche. Und es ist handhabbar. Ich kann Passwörter via Bitwarden zwischen meinen Geräten synchronisieren, so lang ich das Master-Passwort für meinen Account habe.
Es gibt jede Menge Leute, die dann abfällig die Nase rümpfen und sagen: Nur lokal ist ideal. Die kommen mit Dingen wie KeePass um die Ecke. Aber das hat sich nun mal wesentlich störrischer. Und da stellen wir uns mal Laien vor: Die nutzen dann – weil das für sie einfach praktikabler ist – weiterhin das Passwort „Gott123“ für alle Zugänge. Dann doch lieber was, was sich einfach implementieren lässt. Dann nutzt es auch die Tante oder der Opa. Aber das ist halt nur meine Meinung.
Autofill: Was zur Hölle?
Jetzt kam mir ein Artikel unter die Augen, in dem erzählt wird, dass die Autofill-Funktion von Bitwarden eine Gefahr sei. Denn es ist wohl möglich, dass durch einen gezielten Missbrauch von iFrames (Das sind alle möglichen Einbettungen) Angreifer in den Besitz von Zugangsdaten kommen können. Das Problem ist die Erweiterung für den jeweils verwendeten Browser. Diese erkennt die Domain, von der die Webseite kommt, und bietet Zugangsdaten an, wenn ich dort welche habe.
Bitwarden hat diese Funktion standardmäßig deaktiviert. Aber wenn ich mich an der Browser-Erweiterung anmelde, soll diese wohl auch iFrames auf der jeweiligen Seite ausfüllen, selbst wenn diese gar nicht zur Domain gehören. Bitwarden weist darauf hin, dass die Funktion zwar im Allgemeinen sicher sei, aber dennoch von Angreifern ausgenutzt werden kann. Das könnt ihr hier nachlesen. Aber dennoch wird es der Bequemlichkeit häufig verwendet.
Der Anbieter ist sich also des Problems bewusst. Was zumindest Subdomains betrifft (Die Seite ist „domain.com“, die Subdomain dann „drunter.domain.com“), will Bitwarden nachbessern. Allerdings kann ich das schon verstehen, dass man im Hinblick auf die Benutzerfreundlichkeit nicht alles wieder zunageln will. Ich denke mir, dass man vielleicht die Hinweise auf die Problematik prominenter in der Browser-Erweiterung anzeigen wird. Aber sonst?
Ist das nun ein Risiko?
Es. Gibt. Keine. Absolute. Sicherheit. Wie soll die auch gehen? Dann müssen wir die Computer und Smartphones ausschalten und uns auf handschriftlich befüllte Zettel zur Kommunikation konzentrieren. Oder wir machen das anders und bringen uns selbst dazu, auf Datensparsamkeit zu achten und zu überlegen, was wir alles so brauchen. Und ich glaube, am Ende brauchen wir so etwas wie Autofill nicht. Mir geht es doch nur darum, dass ich von überall her auf meine Passwörter zugreifen kann.
Aber diese Erweiterung ist wie jede andere Erweiterung für jede beliebige Software auf der ganzen Welt: Jede Erweiterung birgt ein gewisses Risiko. Da macht Bitwarden keinerlei Unterschied. Ich muss mir halt überlegen, ob ich mich nicht vielleicht an Bitwarden anmelde und mir manuell meine Anmeldedaten herauskopiere, wenn ich sie brauche. Ja, es ist ein wenig umständlicher. Aber das wäre meiner Ansicht nach ein gut gangbarer Weg.
Jedenfalls müssen wir nicht gleich wieder „clickschlampesk“ von „Gefahren“ und derartigem erzählen, wenn es um Tools wie Bitwarden geht. Denn sie sind nun einmal essentiell wichtig, damit wir in der heutigen Zeit Internetdienste nutzen können. Ob uns das nun gefällt oder nicht. Denn das Internet ist keine Lagerfeuerromantik mehr, sondern der größte Kriegsschauplatz der Welt. Da brauchen wir solche Dinge wie Passwort-Manager. Darum ist es wichtig, dass man weiter aufklärt.
Sicher besteht immer ein gewisses Rest-Risiko. Aber wo ist das denn bitteschön nicht der Fall? In meinen Augen ist alles, was mit IT zu tun hat, angreifbar. Dessen muss man sich immer bewusst sein. Wir können nur die Probleme so klein wie möglich halten, aber eben auch so unpraktisch wie nötig. Denn sonst nutzt das Zeug am Ende niemand. Aber ich kann falsch liegen. Wer weiß das schon, ich kenne mich ja nicht aus.
Bitwarden kenne ich zwar nicht, aber ich nutze den Passwort-Manager vom Browser. Er ist auch schön praktisch und gut.
Lorenzo