1Password und die Risiken der Cloud

Der insbesondere bei Apple-Nutzerinnen und -Nutzern populäre Passwort-Manager 1Password speicherte die abgelegten Passwörter bislang lokal auf dem Gerät. Nun hat der Hersteller dies auf eine Cloud-basierte Speicherung umgestellt. In der IT-Sicherheits-Community sorgt das für Kritik. Denn eine Speicherung in der Cloud gilt als unsicherer, da sich so weniger kontrollieren lässt, was mit den Daten geschieht. Auch die unterschiedliche Gesetzeslage in verschiedenen Ländern könnte ein Problem darstellen.

1Password-Nutzer werden zum Umstieg gedrängt

Der Passwort-Manager 1Password ist äußerst beliebt. Insbesondere die Apple-Nutzergemeinde schätzt das Produkt für macOS und iOS. Aber auch auf Windows und Android kommt 1Password zum Einsatz und erfreut sich einiger Beliebtheit. Vor Kurzem trafen die Entwickler vom Unternehmen Agile Bits allerdings eine kontroverse Entscheidung: Sie begannen, die Speicherung der archivierten Passwörter vom lokalen Gerät in die Cloud zu verlagern. Nutzerinnen und Nutzer wurden gedrängt, auf die neue Variante – bei der der Cloud-Speicher im Abo-System bezahlt wird – umzusteigen. Die alte Einzelplatz-Version existiert zwar noch, wird aber nicht mehr beworben und ist schwierig zu bekommen. Dies sollen Kunden zum Umstieg motivieren.

Gefahr für sensible Daten in der Cloud

In der IT-Sicherheits-Gemeinde sorgt die Entscheidung von Agile Bits für Kritik. Diese beruht darauf, dass bei einer Cloud-Speicherung der Datenschutz nicht mehr in den Händen der Benutzerin oder des Benutzers liegt. Sind die Passwörter auf dem eigenen Gerät gespeichert, kann die Besitzerin oder der Besitzer selbst für Sicherheit sorgen. Bei entsprechend sicherheitsbewussten Nutzerinnen und Nutzern könnte dies beispielsweise durch eine Verschlüsselung des Benutzer-Verzeichnisses geschehen.

Liegen die Daten dagegen in der Cloud, müssen sich die Nutzerinnen und Nutzer auf die Verschlüsselung des Anbieters verlassen. Ist diese fehlerhaft, sind die Daten nur unzureichend geschützt, ohne dass die Nutzerinnen und Nutzer dies ändern können. Durch die zentralisierte und über das Netzwerk aufrufbare Speicherung der Daten werden diese zudem zu einem attraktiven Ziel für Online-Kriminelle. Angreiferinnen und Angreifer können hier mit einem einzigen Coup hunderttausende von Benutzerkonten samt Passwörtern erbeuten – und haben das in der Vergangenheit bei 1Passwords Konkurrenten auch schon getan. So wurde beispielsweise der Dienst Lastpass schon Opfer eines derartigen Angriffs.

Ein weiteres Problem ist die je nach Land unterschiedliche Gesetzeslage. Agile Bits ist ein kanadisches Unternehmen und somit weniger von – oftmals fragwürdigen – behördlichen Zugriffen betroffen als Unternehmen mit Firmensitz in den USA. Dennoch ist es beispielsweise für deutsche Nutzerinnen und Nutzer wahrscheinlich besser, sich auf die vergleichsweise strengen deutschen Datenschutz-Gesetze berufen zu können. Sind die Daten auf einem privaten Gerät gespeichert, ist das der Fall. Bei einer Speicherung in der Cloud ist oftmals entweder der Firmensitz oder der Server-Standort, nicht der Wohnort oder die Staatsangehörigkeit der Nutzerin oder des Nutzers, relevant. So sind die sensiblen Daten womöglich nicht nur technisch, sondern auch juristisch in der Cloud schwächer geschützt.

Im Sinne der Kundinnen und Kunden

Mit seiner Entscheidung, die Datenspeicherung in der Cloud zu forcieren, hat Agile Bits keine Entscheidung im Sinne seiner Kundinnen und Kunden getroffen. Mögliche Vorteile beim Komfort und der Sicherheit der Daten vor versehentlichem Verlust werden mehr als aufgewogen durch mögliche schwere Einbußen bei Privatsphäre und Datensicherheit. Es bleibt zu hoffen, dass das Unternehmen diese Tatsache angesichts der öffentlichen Kritik einsieht und die Wahl seinen Kundinnen und Kunden überlässt.

Laut Heise hat Entwickler Agile Bits bereits zumindest teilweise eingelenkt und will die nächste Version wieder mit einer Option ohne Cloud-Zwang anbieten wolle.

Dieser Artikel erschien zuerst auf Netzpiloten.


Image (adapted) „Cloud“ by rawpixel (CC0 Public Domain)


Annika Kremer

schreibt regelmäßig über Netzpolitik und Netzaktivismus. Sie interessiert sich nicht nur für die Technik als solche, sondern vor allem dafür, wie diese genutzt wird und wie sie sich auf die Gesellschaft auswirkt.

More Posts - Website - Twitter - Facebook - Google Plus