1Password und die Risiken der Cloud

Der insbesondere bei Apple-Nutzerinnen und -Nutzern populäre Passwort-Manager 1Password speicherte die abgelegten Passwörter bislang lokal auf dem Gerät. Nun wurde auf eine Cloud-basierte Speicherung umgestellt. In der IT-Sicherheits-Community sorgt das für Kritik: eine Speicherung in der Cloud wird als weniger sicher angesehen, da Nutzerinnen und Nutzer nicht kontrollieren können, was mit ihren Daten geschieht. Auch die unterschiedliche Gesetzeslage in verschiedenen Ländern könnte ein Problem darstellen.

1Password-Nutzer werden zum Umstieg gedrängt

Der Passwort-Manager 1Password ist äußerst beliebt. Insbesondere die Apple-Nutzergemeinde schätzt das Produkt für Mac OS X und iOS. Aber auch auf Windows und Android kommt 1Password zum Einsatz und erfreut sich einiger Beliebtheit. Vor Kurzem trafen die Entwickler vom Unternehmen Agile Bits allerdings eine kontroverse Entscheidung: Sie begannen, die Speicherung der archivierten Passwörter vom lokalen Gerät in die Cloud zu verlagern. Nutzerinnen und Nutzer wurden gedrängt, auf die neue Variante – bei der der Cloud-Speicher im Abo-System bezahlt wird – umzusteigen. Die alte Einzelplatz-Version existiert zwar noch, wird aber nicht mehr beworben und ist schwierig zu bekommen. So sollen Kunden zum Umstieg gedrängt werden.

Gefahr für sensible Daten in der Cloud

In der IT-Sicherheits-Gemeinde sorgt die Entscheidung von Agile Bits für Kritik. Diese beruht vor allem darauf, dass im Falle einer Cloud-Speicherung die Absicherung der Daten nicht mehr in den Händen der Benutzerin oder des Benutzers liegt. Werden die Passwörter auf dem eigenen PC, Laptop oder Smartphone gespeichert, kann die Besitzerin oder der Besitzer selbst für deren Absicherung sorgen. Bei entsprechend sicherheitsbewussten Nutzerinnen und Nutzern könnte dies beispielsweise durch eine Verschlüsselung des Benutzer-Verzeichnisses geschehen. Werden die Daten dagegen in der Cloud abgelegt, müssen sich die Nutzerinnen und Nutzer auf die Verschlüsselung des Anbieters verlassen. Weist diese einen Fehler auf, sind die Daten nur unzureichend geschützt, ohne dass die Nutzerinnen und Nutzer daran etwas ändern können. Durch die zentralisierte und über das Netzwerk aufrufbare Speicherung der Daten werden diese zudem zu einem attraktiven Ziel für Online-Kriminelle. Angreiferinnen und Angreifer können hier mit einem einzigen Coup hunderttausende von Benutzerkonten samt Passwörtern erbeuten – und haben das in der Vergangenheit bei 1Passwords Konkurrenten auch schon getan. So wurde beispielsweise der Dienst Lastpass schon Opfer eines derartigen Angriffs.

Ein weiteres Problem ist die je nach Land unterschiedliche Gesetzeslage. Agile Bits ist ein kanadisches Unternehmen und somit weniger von – oftmals fragwürdigen – behördlichen Zugriffen betroffen als Unternehmen mit Firmensitz in den USA. Dennoch ist es beispielsweise für deutsche Nutzerinnen und Nutzer wahrscheinlich besser, sich auf die vergleichsweise strengen deutschen Datenschutz-Gesetze berufen zu können. Werden die Daten auf einem privaten Gerät gespeichert, ist das der Fall. Bei einer Speicherung in der Cloud ist oftmals entweder der Firmensitz oder der Server-Standort, nicht der Wohnort oder die Staatsangehörigkeit der Nutzerin oder des Nutzers, relevant. So sind die sensiblen Daten womöglich nicht nur technisch, sondern auch juristisch in der Cloud schwächer geschützt.

Im Sinne der Kundinnen und Kunden

Mit seiner Entscheidung, die Datenspeicherung in der Cloud zu forcieren, hat Agile Bits keine Entscheidung im Sinne seiner Kundinnen und Kunden getroffen. Mögliche Vorteile beim Komfort und der Sicherheit der Daten vor versehentlichem Verlust werden mehr als aufgewogen durch mögliche schwere Einbußen bei Privatsphäre und Datensicherheit. Es bleibt zu hoffen, dass das Unternehmen diese Tatsache angesichts der öffentlichen Kritik einsieht und die Wahl seinen Kundinnen und Kunden überlässt.


Image (adapted) „Cloud“ by rawpixel (CC0 Public Domain)


Schlagwörter: , , , , , , , , , , ,
Annika Kremer

Annika Kremer

schreibt regelmäßig über Netzpolitik und Netzaktivismus. Sie interessiert sich nicht nur für die Technik als solche, sondern vor allem dafür, wie diese genutzt wird und wie sie sich auf die Gesellschaft auswirkt.

More Posts - Website - Twitter - Facebook - Google Plus