18. Oktober 2024, 13:23 Uhr | Lesezeit: 3 Minuten
Das Bundesamt für Sicherheit (BSI) hat im Rahmen des Projektes „Codeanalyse von Open Source Software“ (CAOS 3.0) zwei beliebte Passwortmanager näher unter die Lupe genommen und einige Mängel entdeckt.
Passwortmanager gibt es mittlerweile zuhauf. Ihr Ziel ist es, die Passwörter der Nutzer zu schützen und sie an einem Ort zu bündeln. Das BSI hat die Gratis-Passwortmanager „KeePass“ und „Vaultwarden“ untersucht und dabei zwei Sicherheitslücken bei letzterem entdeckt, die als „hoch“ eingestuft wurden.
Codeanalyse für sicherere Programme
Seit 2021 analysiert und überprüft das BSI regelmäßig im Rahmen des „CAOS“-Projekts verschiedene Open-Source-Software. Dabei geht es unter anderem darum, Schwachstellen im Quellcode zu identifizieren und zu beheben. Zudem werden die Programme auf die sichere Übertragung von Formulardaten hin überprüft. Aktuell wurden die kostenlosen Passwortmanager „KeePass“ und „Vaultwarden“ auf Mängel untersucht. Das BSI führte die Analysen gemeinsam mit einem IT-Security-Unternehmen durch.
Lesen Sie auch: Die sichersten Passwort-Manager für Smartphone und Browser
Ein Gratis-Passwortmanager mit großen Sicherheitslücken
Bei beiden untersuchten Passwortmanagern konnte das BSI Sicherheitslücken entdecken, allerdings waren diese bei „Vaultwarden“ deutlich größer und zwei wurden sogar als „hoch“ eingestuft. Die Analysen betrafen die Version 1.30.3. Das BSI hat im Rahmen eines Responsible-Disclosure-Verfahrens den betroffenen Entwicklern die Lücken mitgeteilt, die wiederum mit einem Bugfix darauf reagiert haben. Das heißt: Mit einem Update des Passwortmanagers kann man die Sicherheitslücken wieder beheben.
Eine der schweren Sicherheitslücken betrifft das „Offboarding“, also das Entfernen von Mitgliedern aus einer Organisation, wie zum Beispiel einer Firma oder Behörde. „Vaultwarden“ bietet hier keinen klaren Prozess an. Das bedeutet, dass ein Mitarbeiter, der eigentlich keinen Zugriff mehr auf die Daten haben sollte, weiterhin den Schlüssel zum Entschlüsseln dieser Daten behalten kann.
Eine weitere problematische Schwachstelle betrifft die Notfallzugriffe: Hier wird nicht überprüft, ob der Nutzer, der Änderungen vornimmt, auch die Berechtigung dazu hat. Ein Angreifer könnte dadurch Zugriff auf ein Konto mit höheren Rechten erhalten oder die Wartezeit, bis ein Zugriff erlaubt ist, verkürzen. Des Weiteren wurden folgende Sicherheitslücken als „mittel“ eingestuft:
- Unautorisierter Zugriff auf verschlüsselte Daten
- HTML-Injection möglich
Sicherheitslücke Experten warnen vor Sicherheitslücke in Twitter-Software für iOS-Apps
Bug im Passwortmanager Passwörter von 16 Millionen Chrome-Nutzern verschwunden! Google entschuldigt sich
BSI warnt Viele Gesundheits-Apps sind oft unsicher
Weniger Schwachstellen bei KeePass
Beim anderen untersuchten Gratis-Passwortmanager hingegen gab es nur wenige Schwachstellen bzw. solche, die als „niedrig“ eingestuft wurden. Diese lauten wie folgt:
- Unsicheres globales Auto-Type-Feature
- Fehlerhafte Zertifikatsüberprüfung
KeePass bietet eine Funktion, die automatisch Benutzernamen und Passwörter auf einer Website eingibt, wenn der Titel der Website mit dem Titel des entsprechenden Eintrags in KeePass übereinstimmt. Dies kann durch die Tastenkombination Strg+Alt+A ausgelöst werden. Allerdings besteht die Gefahr, dass bösartige Websites diese Funktion missbrauchen könnten, um unerlaubt Passwörter aus anderen Einträgen zu stehlen.
In Bezug auf die fehlerhafte Zertifikatsüberprüfung erklärte das BSI, dass KeePass beim Datenimport über spamex.com keine Zertifikate überprüft. Das bedeutet, dass ein Angreifer theoretisch einen sogenannten Man-in-the-Middle-Angriff durchführen könnte. Da fehlerhafte Zertifikate akzeptiert werden, könnte der Angreifer den Datenverkehr abfangen und manipulieren, ohne dass es bemerkt wird.