Fast jedes Unternehmen setzt sich heutzutage mit dem Problem des richtigen Umgangs mit Passwörtern auseinander. Auch wenn das Ziel meist Single Sign-On mit möglichst Zwei-Faktor-Authentifizierung ist, sind noch viele Systeme und Dienste dazu nicht kompatibel.
Passwortmanager empfehlen sich hier als eine sinnvolle Ergänzung der Strategie. Post-it-Zettel unter der Tastatur oder ganze Passwortsammlungen in Textdateien irgendwo im Dateisystem sollten damit der Vergangenheit angehören. Das Risiko, dass von einem potentiellen Angreifer letztlich nur ein Master-Passwort anstelle einer Reihe von Passwörtern geknackt werden muss, wird durch umfangreiche Sicherungsmaßnahmen minimiert.
Für Unternehmen gilt es zu vermeiden, dass ein interner oder externer Angreifer an die Liste aller Passwörter gelangen kann. Dies käme der Offenlegung aller betrieblichen Daten gleich und wäre im Sinne der Datenschutz-Grundverordnung - sehr berechtigt - ein meldepflichtiges Ereignis (Artikel 33 DSGVO).
Business-Versionen von Passwortmanagern sind problematisch
Das Risiko steigt, wenn sogenannte Business-Versionen dieser Passwortmanager zum Einsatz kommen. Dann hat der einzelne Anwender nicht nur Zugriff auf seine eigenen, sondern auch auf Passwörter, die im Team geteilt werden. Wie aber kann es einem Hacker gelingen, an alle Passwörter heranzukommen? Die Antwort ist so erschreckend wie einfach: Er nutzt die Druckfunktion.
Passwortmanager hacken sich selbst per Druckauftrag
Mit nur wenigen Klicks lässt sich bei vielen Passwortmanagern die gesamte Liste von Logins inklusive der Passwörter im Klartext auf den Drucker senden. Und wer sich mit Drucken auskennt, weiß, dass Drucken von sensiblen Informationen ein heikles Thema ist.
Wird die Druck-Funktion ausgewählt, erscheint nicht nur, wie erwartet, eine Liste von Systemen und Login-Namen, sondern auch die jeweiligen Passwörter im Klartext. Und zwar nicht nur die eigenen, sondern auch die aus geteilten Ordnern anderer Teams.
Dazu werden keinerlei Administratorrechte benötigt, sondern es genügt, als ganz normaler Anwender eingeloggt zu sein. Direkt getestet wurde die Funktion bei Roboform und bei 1Password. Für den erweiterten Überblick wurden die Online-Dokumentationen von Lastpass und Keepass ausgewertet.
Kunden wollen es so
Warum sollte ein Passwortmanager überhaupt drucken können? Als Antwort auf eine per Twitter gestellte Frage erhielt der Autor die Auskunft, dass dies vor allem Kunden wünschen, um die Passwörter gesichert in einem Tresor ablegen zu können. Auch wenn es diesen Anwendungsfall sicherlich gibt, so bleibt die Frage, ob es deshalb jedem Anwender derart einfach möglich sein sollte, Passwortlisten zu drucken.
Drucken, das unterschätze Sicherheitsproblem
Drucken bleibt ein Sicherheitsproblem. Zwar ist es grundsätzlich möglich, eine Druckumgebung abzusichern, doch leider ist dies in der Praxis sehr selten der Fall. Drucker sind im Auslieferungszustand relativ offen konfiguriert, um möglichst kompatibel zu vielen Anwendungsfällen zu sein. Deshalb ist die Absicherung des Druckers Aufgabe der internen IT oder des Servicepartners. Geschieht dies nicht, werden Druckaufträge unverschlüsselt in Form von Postscript- oder PCL-Dateien über das Netzwerk zum Drucker gesendet.
Wird der Netzwerk-Traffic mit einem Analyse-Tool wie zum Beispiel Wireshark ausgelesen, dann lassen sich diese Dateien relativ einfach herausfiltern und nach Abtrennung des IP-Headers mittels PCL oder Postscript Viewer anzeigen. Verfügt der Drucker über eine Festplatte, so kann es auch passieren, dass diese Druckdateien auf der Festplatte verbleiben. Dies ist insbesondere dann kritisch, wenn der Drucker das Unternehmen verlässt - und sei es auch nur zur Verschrottung.
Ein weiteres Problem sind Druckaufträge, die nicht abgeholt werden oder wegen fehlerhafter Druckerauswahl oder Drucker-Mappings auf andere Drucker umgeleitet werden. Letztendlich stellt sich zusätzlich die Frage, ob es überhaupt wünschenswert ist, dass jeder Anwender im Unternehmen die gesamte Passwortliste in einer derart handlichen Form zur Verfügung gestellt bekommt, denn die meisten Angriffe auf die Unternehmens-IT geschehen von innen.
Doch muss sich der Hacker bei einigen Passwortmanagern nicht einmal die Mühe machen, den Druckauftrag abzufangen. Denn zur Erzeugung des Druckauftrages wird bei der Mac-Version von Roboform, bei Lastpassund Keepass eine HTML-Seite erzeugt und auf dem Desktop des Gerätes abgelegt. Dort verbleibt die Datei in einigen Fällen, wenn der Druckauftrag bereits beendet ist. Wenn nun Anwender einen Cloud-Service wie Dropbox oder iCloud aktiviert haben, dann wird diese Datei auch recht zügig in die Cloud verschoben.
KeePass erläutert in seinen FAQ, dass ein Druckvorgang ohne die temporäre HTML-Datei nicht möglich wäre; diese soll bei KeePass unter bestimmten Voraussetzungen aber wieder automatisch gelöscht werden. Wer es anders haben möchte, den verweist KeePass darauf, dass man sich ja selbst ein Plug-In schreiben kann. Die HTML-Datei auf dem Desktop des Rechners ist zwar hoffentlich durch das Benutzerlogin geschützt, kann aber auch leicht von dem Anwender in andere, vielleicht ungeschützte Bereiche verschoben werden.
Fazit
Unternehmen sollten sich bewusst sein, dass Passwortmanager über eine Druckfunktion verfügen, die auch dazu führen kann, dass die Passwörter in unverschlüsselten Dateien auf dem Desktop eines Anwenders liegen. Darüber hinaus sollte dies auch Anlass sein, seine Druckinfrastruktur in Bezug auf Sicherheit zu überprüfen.
Letztendlich hat Roboform für die nächste Version Abhilfe versprochen und wird das Sperren der Druckfunktion einführen. Einem Beispiel, dem die anderen Hersteller zügig folgen sollten. (jd)