Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einige Passwort-Manager untersucht und dabei zumindest Verbesserungsbedarf festgestellt. So ermöglichen einige der getesteten Programme theoretisch möglicherweise den Herstellern, auf die gespeicherten Passwörter zuzugreifen. Das ist jedoch kein Grund, auf den Einsatz von Passwort-Managern zu verzichten, betont die oberste IT-Sicherheitsbehörde des Landes.

Für die Untersuchung hat das BSI zehn Passwort-Manger ausgesucht, die gewisse Kriterien erfüllen: Sie müssen für die populärsten Betriebssysteme verfügbar sein, also Windows, macOS, Android und iOS. Zudem müssen die Anwendungen über sichere Vetriebskanäle verfügbar sein – Verbraucher sollten sie auch nur darüber beziehen, ergänzt die Behörde. Aus den 24 mit dieser Filterung in der Vorauswahl gelandeten Passwort-Managern landeten zwei der in den weitverbreitesten Webbrowsern integrierten im Testfeld, der Chrome-Passwort-Manager und der Mozilla-Firefox-Passwort-Manager. Aus den übrigen hat das BSI eine Zufallsauswahl getroffen: 1Password, Avira Password Manager, mSecure – Password Manager, PassSecurium, S-Trust Passwort-Manager und SecureSafe Password-Manager. Zusätzlich kamen stellvertretend für die App-Klasse der KeePass-Abkömmlinge KeePassXC und KeePass2Android in die Testaufstellung.

Bewertung des BSI

Im Dokument finden sich die Einschätzungen zu den Passwort-Managern konkret ab Seite 23. In 1Password hat das BSI keine Designfehler entdeckt. Der Avira-Passwort-Manager nutzt nicht überprüfbare kryptografische Algorithmen, was von Verbrauchern Vertrauen verlangt; die biometrische Authentifizierung sollten Nutzer deaktivieren und das Masterpasswort zusätzlich an einem sicheren Ort aufbewahren. Beim Chrome-Passwort-Manager bemängelt das BSI potenziellen Datenzugriff durch den Hersteller, sofern keine Passphrase von Nutzern gesetzt wurde; die On-Device-Verschlüsselung lasse theoretisch Zugriff bei aktiver Benutzung zu. Nicht alle Felder werden verschlüsselt, etwa Nutzernamen liegen im Klartext vor.

Bei Keepass2Android hat das BSI keine Bedenken angemeldet, lediglich ein Backup sollten Nutzerinnen und Nutzer selbst anlegen. Die Einordnung von KeePassXC sieht nahezu identisch aus, das BSI rät jedoch dazu, einen Zeitraum einzustellen, nach dem die App sich selbst gegen Zugriff sperrt. Der Mozilla Firefox Passwort Manager kann laut BSI bedenkenlos genutzt werden, sofern die Einstellung „Hauptpasswort setzen“ aktiviert wurde. Die Synchronisation mit dem Mozilla-Konto sollten Interessierte aktivieren oder alternativ selbst für eine Sicherung sorgen. Beim mSecure Password Manager könnte der Hersteller theoretisch auf die Daten zugreifen, auch sonst ist das BSI wenig angetan von der Reaktion des Herstellers: „Insgesamt erfüllt das Konzept nicht die üblichen Erwartungen an Passwortmanager. Weitere Eigenschaften stützen diese Sicherheitsbedenken“; wer mit dem Gedanken spielt, die Software zu nutzen, sollte prüfen, ob „dem Hersteller ohne objektive Grundlage das notwendige Vertrauen“ entgegenzubringen sei. Im Klartext: Finger weg davon.

Deutlicher wird das BSI bei PassSecurium: „Die Tatsache, dass der Hersteller jederzeit auf gespeicherte Passwörter von Nutzenden zugreifen kann, ist mit grundsätzlichen Sicherheitsanforderungen an Passwort-Manager unvereinbar“, erklärt die Behörde. Von der Nutzung der Free/Standard-Apps 1.1.63 (Android) und 2.1.2 (iOS) raten die Beamten bis zur Verteilung des Master-Upgrades auf Version 3.x sogar konkret ab. Beim SecureSafe Password-Manager kann der Hersteller theoretisch auf die Daten zugreifen, da lediglich serverseitig ver- und entschlüsselt wird. Laut BSI muss man dem Hersteller daher vertrauen, dass die „kompensatorischen Maßnahmen“ effektiv derartige Zugriffe unterbinden. Hinter S-Trust Password Manager verbirgt sich die SecureSafe-App, sodass das hierfür Gesagte auch beim Sparkassen-Abkömmling gilt. Die Sparkassen werden den Betrieb davon zum 31. März 2026 einstellen.

Von dem Einsatz der letzten vier Produkte rät das BSI demnach eher ab. Die anderen Passwort-Manager haben keine derartig gravierenden Schwachstellen, wegen derer das BSI von der Nutzung abraten würde. Das BSI gibt in der Untersuchung noch die Hinweise, dass Verbraucher möglichst die Zwei-Faktor-Authentifizierung (2FA) nutzen sollten – idealerweise mit Hardware-Token und mit Einmal-Passwörtern (Time-Based One-Time Passwords, TOTP). Auf SMS-OTP sollten Nutzer hingegen verzichten, da diese etwa für SIM-Swapping anfällig seien.

Ende 2024 hatte das BSI bereits Passwort-Manager untersucht. Damals ging es um Code-Analysen von Open-Source-Anwendungen. Dabei stießen sie auf Schwachstellen, deren Risiko die Behörde als „hoch“ eingestuft hatte.

(dmk)

Der Flipper One soll vielseitiger werden als sein Vorgänger mit der Versionsnummer Null. Nun hat Erfinder Pavel Zhovner auf seinem Telegram-Kanal erneut Bilder veröffentlicht, die ein voll bestücktes Gerät zeigen – allerdings nur als 3D-Rendering. Es verrät einige Details zur Ausstattung, verpixelt aber den SoC und andere Komponenten.

Dass der Flipper One potenter als der Flipper Zero wird, hatte Zhovner bereits mehrfach bestätigt – das Gerät soll ein linuxbasierter Kleincomputer werden und Zhovner plant eine eigene Distribution. Und ein kürzlich veröffentlichtes Foto der Geräterückseite offenbarte bereits interessante Details. Jetzt gab es für Nutzer des russischsprachigen Kanals „Zhovner Hub“ neue Details zu entdecken.

Zwei gestapelte PCBs

Das neue Gerät wird offenbar aus zwei miteinander verbundenen PCBs bestehen. Die untere Platine beherbergt das ARM-SoC, die vom Vorgänger bekannten, jedoch nicht zu dessen Pinout kompatiblen GPIO-Pins, einen M.2-Steckplatz und große Teile der Peripherie.

Auf den grob aufgelösten Renderbildern lassen sich folgende Bauteile bereits gut erkennen:

• eine Buchse vom Typ USB-A,
• zweimal USB-C
• ein HDMI-Anschluss, mutmaßlich Mini-HDMI,
• 2×10 Pins GPIO (der Flipper Zero hat 18 Pins in einer Reihe),
• zwei Ethernet-Buchsen,
• ein M.2-Steckplatz für zwei verschiedene Modullängen,
• ein Slot für Micro-SD-Karten und
• ein SIM-Kartensteckplatz.

Der im Gehäuseprototyp sichtbare Antennenanschluss ist lediglich angedeutet: An seiner Stelle findet sich auf dem PCB ein Steckkontakt, der wohl für die SMA-Buchse am Gehäuse vorgesehen ist.

Auf der zweiten Platine findet sich das (im Screenshot durch Zhovner gepixelte) Display in bekannter Retro-Anmutung mit orangefarbenem Hintergrund. Links daneben hat der Entwickler ein kapazitives Touchpad untergebracht und ganz rechts scheint noch Platz für eine Klinkenbuchse – womöglich für Kopfhörer oder ein externes Mikrofon. Auch die vier Kontroll-LEDs für LAN1, LAN2, W-LAN und Internetzugriff und insgesamt 13 Taster für Bedienknöpfe lassen sich erspähen.

Geheimnisvolle Chips

Doch was verbirgt sich noch in den 3D-Grafiken? Was lugt da unter dem M.2-Steckkärtchen hervor? Und was hat es mit den verpixelten Chips auf sich? Der größte der vier ICs dürfte wohl der SoC sein – wahrscheinlich deutlich potenter als der STM32WB55RG auf dem Flipper Zero, der einen Cortex-M4-Kern mit 64 MHz Taktfrequenz als Application-Prozessor mitbringt –, die Funktion der drei anderen ist unklar. Auch der Pfostenstecker mit zwölf Pins an der Unterseite wird bei den bekannten Prototypen nicht nach außen geführt.

Wann der Flipper One erscheint, ist noch unbekannt, auch der Preis ist weiter ein Geheimnis. Der Flipper Zero ist derweil für knapp 230 Euro erhältlich, Erweiterungen für WLAN und Bewegungssteuerung schlagen mit gut vierzig sowie knapp sechzig Euro zu Buche.

(cku)

Am 10. Dezember beginnt das Social-Media-Verbot in Australien. Menschen unter 16 Jahren dürfen Plattformen wie TikTok, Instagram und YouTube nicht mehr nutzen. Hunderttausende Jugendliche verlieren Schätzungen zufolge ihre Accounts. Die australische Regierung hofft damit, junge Menschen vor den Gefahren des Internet zu bewahren.

Der australische Social-Media-Bann ist vor allem Symbolpolitik, und nur aus dieser Perspektive ist er ein Erfolg. Denn weltweit schauen jetzt Konzerne, Politik und Medien nach Australien. Vermutlich klopfen sich die Verantwortlichen allein deshalb schon auf die Schultern. Regierungen anderer Länder könnten sich das australische Modell sogar zum Vorbild nehmen. Hoffentlich tun sie das nicht.

Denn die australische Regierung erweckt nur den Eindruck von Handlungsfähigkeit. Es scheint nur so, als könnte sie harte Kante gegen Tech-Konzerne zeigen, die andere Regulierungsversuche oftmals geschickt umschiffen. In Wahrheit ist den betroffenen Jugendlichen mit dem Social-Media-Bann nicht geholfen. Ihre Bedürfnisse und Probleme spielen keine Rolle; die Regulierung verfehlt ihr Ziel.

Schon wer Social Media mit Alkohol oder Tabak vergleicht, hat das Problem nicht verstanden. Es geht nicht um nachweislich schädliche Substanzen, sondern um vielfältige, digitale Räume. In solchen digitalen Räumen suchen Jugendliche Spaß und soziale Kontakte, Aufklärung und Vorbilder. Das australische Social-Media-Verbot versperrt Jugendlichen lediglich den offiziellen Zugang zu einer Auswahl dieser Räume.

Was junge Menschen statt plumper Sperren brauchen, sind sichere, digitale Räume. Sie brauchen Kompetenzen, um sich zunehmend eigenständig in diesen digitalen Räumen zu bewegen. Und sie brauchen Vertrauenspersonen, die Zeit haben, sie einfühlsam zu begleiten.

Was Kinder im Netz erleben, und was Politik daraus lernen kann

Die Konsequenz des australischen Verbots: Junge Menschen werden ihren Bedürfnissen nach Spaß und Gemeinschaft, ihrer Neugier und ihrem Durst nach neuen Erfahrungen anderswo im Netz weiter nachgehen. Viele werden auf weniger bekannte Websites ausweichen. Und auf Dienste, die nicht vom Verbot betroffen sind, etwa Spiele und Messenger wie WhatsApp. Gerade WhatsApp ist für viele Kinder und Jugendliche selbst ein soziales Netzwerk und Schauplatz für Mobbing. Andere Jugendliche wiederum dürften die Altersschranken mithilfe von VPN-Software oder anderen Tricks digitaler Selbstverteidigung einfach überwinden.

Mutige Netzpolitik sieht anders aus

Das Social-Media-Verbot in Australien führt sogar zu noch mehr Kontrollverlust. Zuvor hatten Regulierungsbehörden klare Ansprechpersonen bei den großen Konzernen. Wenn auch widerspenstig haben sie zunehmend Maßnahmen für mehr Jugendschutz umgesetzt. Künftig müssen sich Plattformen wie TikTok und Instagram nicht einmal mehr darum bemühen, sichere Räume für australische Jugendliche unter 16 Jahren zu schaffen. Weil unter 16-Jährige dort offiziell nicht mehr sein dürfen.

Der Social-Media-Bann in Australien ist nicht mutig oder radikal, er ist eine Scheinlösung. Mutige Netzpolitik würde widerspenstige Tech-Konzerne unter Androhung hoher Geldbußen in die Verantwortung nehmen und sich nicht davor scheuen, das vor Gericht auszufechten. Weg mit manipulativen Designs; weg mit auf Sogwirkung optimierten Feeds, die jüngere und ältere Menschen stundenlang an den Bildschirm fesseln. Her mit sicheren Voreinstellungen, die verhindern, dass Fremde mit krimineller Energie Kontakt zu Minderjährigen anbahnen können. Her mit fair bezahlten und gut ausgestatteten Moderationsteams, die Meldungen von Nutzer*innen sorgfältig bearbeiten.

Das und mehr liefert Australien nicht. Stattdessen lässt der Staat die Jugendlichen mit ihren Problemen und Bedürfnissen allein. Das macht den 10. Dezember zu einem dunklen Tag für Jugendliche in Australien – und auch für Erwachsene.

Denn Millionen Menschen müssen in Australien künftig für ihre digitale Teilhabe den Ausweis zücken, um die Altersschranken zu überwinden. Massenhaft werden dabei sensible Daten bei teils zweifelhaften Drittanbietern landen. Nach diesem Schatz dürften sich sowohl Polizeibehörden als auch Online-Kriminelle schon jetzt die Finger lecken.