Normalerweise ignoriere ich Geschichten wie diese ja. Schlau ist das vermutlich nicht, aber mein Urvertrauen (meine Bequemlichkeit) ist meist größer als mein Sicherheitsbedürfnis. Dieses Mal aber scheint alles ein bisschen größer und wichtiger und gefährlicher. Der Bug Heartbleed ist aus, unsere Passwörter zu knacken - und zwar so ziemlich alle. Denn tendenziell betrifft die nun entdeckte Sicherheitslücke alle OpenSSL-Verschlüsselungen im Netz, immerhin eine halbe Million Webseiten - darunter Yahoo, Facebook und Gmail (wie das funktioniert, zeigt diese schöne Grafik).

Jede Seite, die mit dem eigentlich sicher geglaubten "https" beginnt, könnte also geknackt und sensible Daten geklaut werden. Das Schönste: Die Lücke besteht schon seit zwei Jahren und ist erst jetzt entdeckt worden.  

Entsprechend groß ist die Aufregung. "Auf der Gruselskala bis 10 ist es die 11", "Ist das der GAU im Internet?", "Millionen Web-Nutzer gefährdet". Das sind nur drei der wenig beruhigenden Schlagzeilen der letzten 24 Stunden. Wem Anonymität und Privatsphäre besonders wichtig seien, rieten die Macher des Tor-Netzwerks hinterher, sollte dem Netz vielleicht ein paar Tage fern bleiben. Und selbst die New York Times rief ihre Leser umgehend auf: Passwörter ändern! (Welche wirklich geändert werden müssen, steht hier.) 

Wenn das mal so einfach wäre. Kurz zu meiner Ausgangssituation. Irgendwann 2002 habe ich mir ein Passwort mittlerer Stärke und Kompliziertheit ausgedacht, zusammengewürfelt aus Song-Titeln und bedeutenden Zahlen. Bei jedem neuen Account habe ich das Passwort wiederverwendet, schließlich war so wenigstens sichergestellt, dass ich mich beim nächsten Mal auch daran erinnere. Einzelne Passwörter habe ich nur widerwillig und leicht abgeändert, wenn mich 1. eine Seite dazu in regelmäßigen Abständen zwang, die Standard-Kombination 2. nicht akzeptiert wurde oder ich 3. aus persönlichen Gründen die Erinnerung an eine bestimmte Zeit zusammen mit dem bestimmten Passwort auslöschen wollte. Über die Jahre sind so rund 90 Logins zusammengekommen, von denen die Mehrheit mein "Master-Passwort" verwendet. Und wenn Adressen, Konto- und Kreditkarten als sensibel gelten, dann sind wahrscheinlich 88 davon Webseiten, bei denen ich dringend aufrüsten sollte.

Dass das nicht Sicherheit auf NSA-Niveau bedeutet, war mir klar, aber bislang meist egal. Denn irgendwie vorsorgen erschien viel zu aufwendig. Selbst die Browser-Hersteller hielten es lange nicht für nötig, einen zu verschiedenen Logins zu ermutigen. Inzwischen haben Firefox, Safari und Chrome zwar Passwort-Gedächtnisse, aber selbst die funktionieren und synchronisieren nur Browser- und/oder Computergebunden.

Screenshot vom Passwort-Manager Keepass © Keepass

Doch Heartbleed lässt auch mein Herz etwas stocken. Ich beschließe, mir den Vormittag freizuschaufeln und das Problem ein für alle Mal anzugehen: Neue Logins sollen her. Und damit ich mir die nicht merken muss, brauche ich Hilfe. Eine Kollegin erzählt mir von KeePass, einem kostenlosen Passwort-Manager, der sich die Logins für mich merken und beim nächsten Besuch eingeben wird. Ihr Vater schwöre seit Jahrzehnten darauf. Klingt ideal.

Das Problem: Seit eben jenen Jahrzehnten scheint sich an der Benutzeroberfläche nichts mehr getan zu haben. Als ich nach mehreren Installationsversuchen und genauso vielen Abstürzen endlich drin bin, fühle ich mich in längst vergangene Windows-Zeiten zurückversetzt. Wenn ich ein bisschen programmieren könnte, sähe so wohl mein erstes Projekt aus: Jedes einzelne Passwort muss ich für jeden einzelnen Account von Hand eingeben. Die "Auto-Fill"-Funktion, die mir das einloggen in Zukunft abnehmen soll, bekomme ich gar nicht zum Laufen. Mir bleibt nur, die Kombinationen mühsam hinüberzukopieren. Meine Geduld endet nach wenigen Minuten und ich schmeiße das Programm vom Rechner (auch das gelingt erst im dritten Versuch).  

Dashlane merkt sich nicht nur Passwörter

Ich versuche es mit Dashlane. Programme wie LastPass und 1Password funktionieren ähnlich, aber von Dashlane war selbst der damalige New-York-Times-Tech-Schreiber David Pogue begeistert. Dashlane merkt sich nicht nur sämtliche Logins, sondern nebenbei auch Adressen, Kreditkarteninformationen und Ausweisnummern. Kurz: Wann immer es im Internet etwas auszufüllen gibt, ist Dashlane zur Stelle. Alles, was man sich merken muss, ist ein Master-Passwort, das den Zugriff auf alle weiteren Passwörter ermöglicht. Dashlane füllt Anmeldeformulare mit nur einem Klick aus und warnt, wenn ein Account gehackt wurde (wie zuverlässig, musste ich zum Glück offenbar bislang nicht testen). Muss ich mich von unterwegs auf einer Seite anmelden, kann ich die Login-Daten aus der iPhone-App kopieren und einsetzen. Plötzlich scheint mein Leben so viel besser. 

Das Beste: Dashlane ist gratis, zumindest erstmal. Das unterscheidet es zum Beispiel von 1Password, bei dem zum Start schlappe 49 Dollar für die Mac-Variante, 18 Dollar fürs iPad und nochmal 14 für die iPhone-App fällig werden. Das Schutzbedürfnis hält sich da in Grenzen.

Mein neues Hochsicherheitssystem bekommt erste Lücken

Passwort-Manager Dashlane

Dashlane hingegen landet nach wenigen Sekunden kostenlos auf meinem Laptop, dem iPhone, dem iPad und dem Büro-Rechner. Wer mehr als ein Gerät verwendet, kommt allerdings um die Premium-Version für knapp 30 Dollar im Jahr kaum herum. Sonst muss jedes Mal, wenn ein Passwort geändert wird, jeder Account mühsam aktualisiert werden. Ich entscheide mich, das Abo abzuschließen, in der Hoffnung, dass irgendwer eine gute Gratis-Lösung erfindet, bis ich es verlängern muss. 

So gerüstet, mache ich mich ans Werk. Als erstes ändere ich den Zugang zu Facebook. Vor ein paar Monaten habe ich einen tollen Trick gelesen, wie man hochsichere Passwörter generiert, die man sich auch noch merken kann: Einfach einen Satz ausdenken, Anfangsbuchstaben der Wörter aneinanderreihen, fertig. Problem: Gerade will mir partout kein Satz einfallen, der mir wichtig genug erscheint. Ich überlasse die Kreativität Dashlane, das mir mit einem Klick ein sicheres Passwort zaubert. 

Nächstes Problem: Facebook hat mich soeben aus allen iPhone- und iPad-Anwendungen ausgeloggt, auch der Spotify-Zugang sowie fast alle anderen Apps, bei denen ich mich aus Bequemlichkeit mit Facebook angemeldet habe, sind plötzlich dicht. Ausgerechnet jetzt lässt mich die Sync-Funktion meines Premium-Zugangs im Stich: Im Programm findet sich nur mein altes Passwort. Da das neue automatisch generiert wurde, kenne ich es natürlich nicht. Leichte Panik macht sich breit.

Fazit: Passwort-Manager meinen es gut

Ich atme durch, gebe Dashlane ein bisschen Zeit, und kümmere mich in der Zwischenzeit um Gmail. Geht ja ganz schnell, altes Passwort eingeben, neues generieren, fertig. Von wegen. Dashlane warnt: Diese Email-Adresse sei mit meinem Dashlane-Account verknüpft, da sei es doch besser, ich denke mir selbst eins aus, dass ich mir auch merken könne. Also gut, ich gehe in mich, suche nach einem Satz und generiere mein Passwort. Dieses Mal gebe ich es vorsichtshalber per Hand bei Dashlane ein.

Hier bekommt mein neues Hochsicherheitssystem erste Lücken. Bei Dropbox gebe ich, weil mich die Geduld verlässt und ich mein neues Gmail-Kennwort mag, dasselbe ein. Und weil Dashlane mir mein Facebook-Passwort immer noch nicht mitgeteilt hat, will ich das neue Lieblings-Kennwort auch dort verwenden - und logge mich aus Versehen aus. Einloggen geht nicht, Passwort kenne ich schließlich nicht. Ich muss mir einen Code aufs Handy schicken lassen, erst dann kann ich mich einloggen und mein Passwort ändern.

Ich bin erschöpft. Nach Facebook, Gmail und Dropbox gebe ich für heute auf. Fazit: Passwort-Manager meinen es gut, und machen Passwörter ein bisschen weniger schlimm. Ich hoffe trotzdem, dass sich bis zur nächsten Sicherheitslücke irgendwer irgendein schlaueres System einfallen lässt.

Erschienen auf boldeconomy.com