In der digitalen Welt kommt nicht selten vor, dass Passwörter mit Freunden, Kollegen oder Geschäftspartnern geteilt werden müssen. Aber wie kann das sicher vonstatten gehen? Im Folgenden listen wir einige gängige Option auf, inklusive einer groben Einordnung zu deren Sicherheut.
1. Per E-Mail
Das Teilen von Passwörtern per E-Mail kann sicher sein, aber nur unter bestimmten Bedingungen. Wenn du eine Ende-zu-Ende-Verschlüsselung wie PGP oder S/MIME verwendest, ist diese Methode sicher. Allerdings nutzen im Jahr 2018 nur etwa 20 % aller versendeten E-Mails diese Art der Verschlüsselung – vermutlich nicht zuletzt, weil die Einrichtung relativ aufwändig und oftmals technisch affinen Nutzern vorbehalten ist. Das bedeutet, dass die meisten E-Mails unverschlüsselt versendet werden und somit ein leichtes Ziel für Hacker sind.
Genau genommen findet die Übertragung zwar üblicherweise verschlüsselt statt, auf dem Zielserver (z.B. GMail o.ä.) landet die Mail dann aber wieder in Klartext. Das BSI erklärt den Unterschied zwischen Ende-zu-Ende Verschlüsselung und Transportverschlüsselung auf diesen Seiten sehr verständlich. Außerdem wird hier erklärt, wie sich E-Mail Verschlüsselung einrichten lässt.
In jedem Fall solltest du die E-Mails nach dem Versand bzw. der Inempfangnahme direkt wieder löschen, um das Risiko eines Zugriffs durch Unbefugte zu minimieren – egal ob verschlüsselt oder nicht.
2. Per Telefonat
Ein persönliches Telefonat kann unter Umständen sicher sein, birgt jedoch einige Risiken. Die Crux hierbei ist, sicherzustellen, dass der Gesprächspartner auch wirklich der beabsichtigte Empfänger ist. In Zeiten generativer KI ist selbst die Wiedererkennung einer Stimme hier keine absolute Garantie dafür, dass du mit der "echten" Person sprichst. Zudem sind Telefonate in Deutschland typischerweise unverschlüsselt (sogar auf dem Transportweg), was bedeutet, dass theoretisch jemand (z.B. der Netzbetreiber) mithören könnte. Mit VoIP gibt es zwar Wege, zumindest Transportverschlüsselung zu aktivieren (sh. z.B. dieser Artikel), Standard ist das aber nicht. Auch diese Methode ist also nicht ganz optimal.
3. Per Instant Messenger
Instant Messenger wie WhatsApp bieten in den meisten Fällen standardmäßig Ende-zu-Ende-Verschlüsselung, was sie grundsätzlich zu einer sicheren Option macht. Allerdings gibt es einige Dinge zu beachten. Bei Closed-Source-Messengern wie WhatsApp, wo die Verschlüsselung nicht unabhängig überprüft werden kann, gehört ein gewisses Maß an Vertrauen in den Betreiber (z.B. Meta) und deren Ehrlichkeit dazu. Verschlüsselte, Open-Source-Messenger wie Matrix oder Signal gelten als sehr sicher. WhatsApp, iMessage und andere sind wenigstens theoretisch verschlüsselt, während Messenger wie Telegram ohne standardmäßige Verschlüsselung vermieden werden sollten.
Auf dieser Seite (englisch) werden die gängigen Messaging Plattformen ausführlich im Hinblick auf Features, Sicherheit & Privatsphäre und diverse weitere Aspekte vergleichen. Das Thema würde aber problemlos Inhalt für einen oder mehrere eigene Blog Posts hergeben.
Vom Sicherheitsaspekt ganz abgesehen ist die Kommunikation per Messenger – zumindest im Falle von "Fremden", z.B. Geschäftspartnern – aber oftmals auch einfach nicht praktikabel. Wer hat seine Kunden schon bei WhatsApp?
4. Über Password-Sharing Plattformen
Öffentliche Plattformen wie privatebin.info oder heylogin.me (EU-hosted) ermöglichen das sichere Teilen von Passwörtern, indem das Passwort bereits im Browser verschlüsselt und dann auf einen Server hochgeladen wird. Du sendest einen Link an den Empfänger, der oft nur einmalig geöffnet werden kann, bevor der Eintrag sich selbst löscht. Wenn der Empfänger einen gelöschten Eintrag erhält, ist das also ein Hinweis darauf sein, dass das Passwort möglicherweise unterwegs kompromittiert wurde.
Aber ganz wichtig: nicht alle solche Plattformen (z.B. onetimesecret.com) machen tatsächlich Client-seitige Verschlüsselung. Einige laden das Passwort in Klartext hoch, was die ganze Sache wieder extrem unsicher macht, da der Betreiber des Services einfach mitlesen kann.
5. Mit Vaultwarden Send
Vaultwarden Send ist eine der sichersten Optionen zum Teilen von Passwörtern und inherent Teil von Vaultwarden (bzw. Bitwarden). Die Passwörter werden Ende-zu-Ende verschlüsselt, und im Falle von Self-Hosting hast du außerdem noch die volle Kontrolle über die Server, auf denen die Daten gespeichert werden. Zudem kann festgelegt werden, wie oft und wie lange der Link zum Passwort gültig ist. Und selbst, wenn du Vaultwarden nicht selbst betreibst (sondern z.B. bei server.camp ein hosted Vaultwarden "as a Service" beziehst ;-)) musst du dank end-to-end Encryption dem Plattformbetreiber noch nicht einmal vertrauen. In Summe ist diese Methode also besonders empfehlenswert zum Versand von Passwörtern.
Der Screenshot zeigt Vaultwarden Send "in Aktion". Nebst verschiedenen Sicherheitsparametern wird ein neuer, temporärer Eintrag angelegt, der anschließend innerhalb von einer Stunde einmalig vom Empfänger geöffnet werden kann.
Ein Blick in die Browser-Konsole bestätigt, dass kein Klartext an den Server übermittelt wird:
6. Persönliches Treffen
Wenn möglich ist der persönliche Austausch bei einem vor-Ort Treffen aber immer noch die sicherste Methode und wenn es um wirklich sensible Informationen geht, sollte das auch die Option deiner Wahl sein, sofern es nur irgenddwie praktibel ist.
Sonstiges
Ein wichtiger Hinweis noch zum Schluss: unabhängig von der gewählten Methode solltest du in jedem Fall das initiale Passwort direkt nach dem ersten Login ändern und zudem die Zwei-Faktor-Authentifizierung (2FA) aktivieren – sofern von der Software unterstützt. Die Verwendung eines sicheren, zufällig generierten, mindestens 12 Zeichen langen Passwort bestehend aus alphanumerischen- und Sonderzeichen sollte sich natürlich von selbst verstehen.
Wir hoffen das hilft! 🤓
Bei server.camp haben wir uns zum Ziel gesetzt, gute Open-Source-Anwendungen breiter zugänglich zu machen und z.B. für einen stabilen & sicheren Betrieb und guten Support zu sorgen. So bieten wir, unter anderem, auch das Hosting von Vaultwarden (neben zahlreichen anderen Tools) EU-hosted und DSGVO-konform an. Probier's gerne mal aus – du kannst jede Anwendung 30 Tage lang kostenlos testen! Die Liste aller Produkte findest du hier. Wenn du Interesse an einem Tool (z.B. aus einem der o.g. Kataloge) hast, das wir noch noch nicht im Programm haben, nehmen wir das auch gerne für dich auf – einfach melden!