Der Passwort- und Dokumenten-Manager S-Trust der Sparkassen wird in Kürze Geschichte sein. Zum 31. März 2026 endet das Angebot. Es hat nicht die erhoffte Marktdurchdringung erreicht.

Das kündigen die Sparkassen jetzt auf der S-Trust-Webseite an. Zu den Hintergründen findet man etwa bei der Sparkasse Hannover etwas mehr Informationen: „Trotz aller gemeinsamen Anstrengungen konnte sich S-Trust in einem stark umkämpften Markt mit internationalen Wettbewerbern nicht dauerhaft durchsetzen. Ein wirtschaftlich tragfähiger Weiterbetrieb ist leider nicht möglich.“

S-Trust-Nutzerinnen und -Nutzer müssen aktiv werden

Wer das Angebot nutzt, könne zum Anbieter der originalen Software wechseln – SecureSafe des schweizerischen Unternehmens DSwiss AG. „Nutzende können ihre Daten über eine von DSwiss bereitgestellte technische Transfermöglichkeit zu SecureSafe übertragen, sofern sie sich eigenständig für diesen Dienst entscheiden“, erklärt die Sparkasse. Dafür seien Nutzerinnen und Nutzer verantwortlich, das Angebot stehe ausschließlich bei DSwiss selbst zur Verfügung. Die Hannoveraner Sparkasse liefert in ihrer oben verlinkten Ankündigung die Anleitung zum Wechsel gleich mit.

Wer auf gänzlich andere Anbieter wechseln möchte, findet ebenfalls Hilfestellung dafür. Das ist möglicherweise eine gute Idee: Bei der Prüfung von Passwort-Managern durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Dezember vergangenen Jahres kam die IT-Sicherheitsbehörde zu dem Ergebnis, dass der Hersteller theoretisch auf die Daten zugreifen könne, da bei SecureSafe lediglich serverseitig ver- und entschlüsselt wird. Laut BSI muss man dem Hersteller daher vertrauen, dass die „kompensatorischen Maßnahmen“ effektiv derartige Zugriffe unterbinden. Hinter dem S-Trust Password Manager verbirgt sich die SecureSafe-App, lediglich mit Sparkassen-Logo versehen, sodass das auch beim Sparkassen-Abkömmling gilt.

Dokumente in Sicherheit bringen

Verknüpfungen mit dem elektronischen Postfach der Sparkassen müssen Nutzer auflösen und zuvor etwaige bei S-Trust gelagerte Dokumente ins Postfach zurückverschieben. Auch andere mit der Dokumentenverwaltung aufbewahrte Dokumente sollten Nutzerinnen und Nutzer woanders speichern, um den Zugriff nicht zu verlieren.

An S-Trust nehmen etwa 80 Prozent der Sparkassen teil. Darunter auch die großen wie Haspa oder die Berliner Sparkasse.

(dmk)

Angreifer können an einer Lücke in IBM Db2 Big SQL ansetzen. Eine dagegen abgesicherte Version steht zum Download bereit.

Kritische Schwachstelle

Laut der Beschreibung der Lücke in einer Warnmeldung können Angreifer im Zuge einer HTTP-Parameter-Pollution-Attacke (HPP) Systeme über präparierte Anfragen attackieren. Die Auswirkungen solcher Attacken variieren. Oft sind unberechtigte Datenzugriffe möglich.

Derzeit gibt es keine Hinweise darauf, dass Angreifer die „kritische“ Lücke (CVE-2025-7783) ausnutzen. Admins sollten sicherstellen, dass die gepatchte Ausgabe IBM Db2 Big SQL 8.2.1 oder IBM Cloud Pak for Data 5.2.1 installiert ist.

(des)

Wer seine Festplatte oder SSD verschlüsselt, darf eigentlich davon ausgehen, dass nur er diese auch wieder entschlüsseln kann. Bei der Verschlüsselungstechnologie BitLocker von Microsoft scheint dies aber nicht unbedingt der Fall zu sein, weil das Unternehmen den Schlüssel in der Home-Edition von Windows automatisch im Online-Account des Nutzers abspeichert. Das schützt davor, den Schlüssel zu vergessen, gewährt aber auch Microsoft Zugriff darauf. Je nach Konfiguration betrifft dies auch Kunden der Enterprise- und Education-Varianten von Windows.

Laut dem Unternehmen erreichen Microsoft pro Jahr 20 Anfragen von Ermittlungsbehörden, die BitLocker-Schlüssel haben wollen. Einer Recherche des US-Nachrichtenmagazins Forbes zufolge hat der Konzern aus Redmond im letzten Jahr Wiederherstellungsschlüssel an das FBI übergeben. Hierbei handelt es sich um die erste bekannte Herausgabe. Hintergrund sind strafrechtliche Ermittlungen zum Diebstahl von Geldern im Rahmen eines Covid-Arbeitslosenhilfeprogramms auf der Insel Guam.

Sicherung im Online-Account: Bequem, aber nicht sicher

Gegenüber Forbes sagte Microsoft-Sprecher Charles Chamberlayne: „Die Schlüsselwiederherstellung bietet zwar Komfort, birgt jedoch auch das Risiko eines unerwünschten Zugriffs. Microsoft ist daher der Ansicht, dass die Kunden am besten entscheiden können, wie sie ihre Schlüssel verwalten möchten.“ Ob Kunden wissen, dass sie sich diesem Risiko aussetzen, ist allerdings fraglich. Bedenkt man jedoch, dass Microsoft es in den letzten Jahren immer schwieriger machte, einen Windows-PC überhaupt noch ohne Online-Account nutzen zu können, so dürfte die Anzahl an im Online-Konto hinterlegter Wiederherstellungsschlüssel relativ hoch sein.

Jennifer Granick, Beraterin für Überwachung und Cybersicherheit bei der American Civil Liberties Union, wies Forbes gegenüber darauf hin, dass diese Daten für viele Regierungen von hohem Interesse sein dürften. Dem Law Enforcement Request Report nach, den Microsoft zweimal im Jahr veröffentlicht, erreichten den Konzern zwischen Juli und Dezember 2024 auch 5296 Anfragen aus Deutschland im Rahmen von Ermittlungen zu Straftaten. Insgesamt ging es dabei um 9835 Konten beziehungsweise Benutzer. Nicht jede Anfrage resultiert automatisch in einer Herausgabe von Daten.

Wie Anwender sich schützen können

Nutzer können den Schlüssel aus ihrem Online-Account löschen. An dieser Stelle sei aber eindringlich darauf hingewiesen, dass die Verwaltung des Schlüssels ab diesem Moment vollständig in der Verantwortung des Anwenders liegt. Der Schlüssel sollte keinesfalls nur auf dem damit gesicherten Gerät hinterlegt werden. Denn wenn es einer Wiederherstellung bedarf, ist ein Zugriff auf die auf dem Gerät gespeicherten Daten nicht möglich. Als Speicherort bietet sich stattdessen beispielsweise ein Passwort-Manager auf einem anderen Gerät an. Nach dem aktiven Entfernen des Schlüssels aus dem Online-Account ist dieser theoretisch noch bis zu 30 Tage in Systemen von Microsoft zu finden.

Wer lieber auf Open-Source-Tools wie Veracrypt setzt oder die Verschlüsselung aus einem anderen Grund entfernen möchte, für den gibt es – je nach Windows-Version – zwei Wege, BitLocker zu deaktivieren. Der erste führt über die klassische Systemsteuerung. Diese erreicht man beispielsweise über das Suchfeld des Startmenüs. Danach müssen die Punkte „System und Sicherheit“ sowie „Geräteverschlüsselung“ aufgerufen werden. Im Abschnitt „Betriebssystemlaufwerk“ sollte sich nun neben „Windows (C:)“ der Knopf „BitLocker deaktivieren“ finden.

Ist dies nicht der Fall, so lässt sich BitLocker auch über das moderne Einstellungsmenü deaktivieren. Dieses lässt sich ebenfalls wieder über das Suchfeld unter „Einstellungen“ im Startmenü aufrufen. Dort wählt man „Datenschutz und Sicherheit“ und dann „Geräteverschlüsselung“ aus. Im folgenden Fenster findet sich dann der gleichnamige Eintrag mit einem Kontrollkästchen daneben. Ein Abschalten ohne alternative Absicherung ist aber nicht zu empfehlen. Die Daten sind dann, zum Beispiel im Falle eines Verlustes oder Diebstahls des Geräts, sehr leicht zugänglich.

(nie)