Bitwarden durchläuft weiteren Security Audit

Was gibt es eigentlich Neues beim Passwort-Manager Bitwarden, den wir euch schon ein paar Mal ans Herz gelegt haben und der sich auch auf eigenem Server betreiben lässt? Die Open-Source-Lösung hat nun einen weiteren externen Security Audit durchlaufen. Im November 2018 schloss Bitwarden erfolgreich einen Quellcode-Audit und eine kryptografische Analyse durch die Sicherheitsfirma Cure53 ab. Nun teilt man mit, dass Bitwarden eine gründliche Sicherheitsbewertung und einen Penetrationstest durch das Wirtschaftsprüfungsunternehmen Insight Risk Consulting abgeschlossen hat.

Im Interesse einer vollständigen Offenlegung finden fortgeschrittene Anwender nun eine Zusammenfassung, die vom Team von Insight Risk Consulting zusammengestellt wurde, zusammen mit einem internen Bericht, der eine Nennung jedes Problems, eine Auswirkungsanalyse und die von Bitwarden in Bezug auf die identifizierten Probleme ergriffenen/geplanten Maßnahmen enthält. In Kurzform: Es wurden laut der Entwickler keine größeren Probleme festgestellt – ein moderates Problem wurde in der letzten Bitwarden-Serveraktualisierung gepatcht.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

24 Kommentare

  1. Wie oft würde ich mir eine solch großartige Transparenz wünschen. Das gibt Vertrauen!

    • therealThomas says:

      +1
      Bei mir bleibt Bitwarden definitiv noch länger auf dem Server!
      Hier und da ist der Komfort vielleicht noch nicht ganz auf dem selben Niveau wie bei manch einem Konkurrenten, aber Gratis und Self-Hosting sind top.

  2. Peter Hock says:

    Sehe das etwas kritischer. Nicht wegen dem Audit, sondern der Firma. Insight Risk Consulting berät laut deren eigener Webseite finanzielle Anleger in Sachen aller Gefahren Sicherheit betreffend. Und wer in den letzten Monaten beobachtet hat, welche Passwort-Manager für unglaubliche Summen von Hedge-Fonds gekauft wurden – da sehe ich Bitwarden als den nächsten Kandidat. Bündeln von Firewall, VPN-Dienst und Passwort-Manager zu einem Produkt hat scheinbar irgendein Manager als heißen Scheiß erkoren, sorry für die Wortwahl.
    Ja geht ja gar nicht, Open Source und so, höre ich jetzt schon als Gegenargument.. Ist Rad Hat auch.

    • Nicht von dem was du hier sagst klingt erstmal schlimm?

      • Peter Hock says:

        Nein, Business ist nicht schlimm. Aber es geht im Gegensatz zu Open Source um Geld. Viel Geld, zB wurde die Lastpass-Firma für 4.3 Milliarden übernommen.
        So jetzt rein fiktiv nehmen wir eine Sicherheitslücke an. A la Stack Overflow durch Crosssite-Scripting, was einem Programmierer der Software auffällt. Bei Open Source wird es (sehr wahrscheinlich) öffentlich gemacht, es geht durch alle Medien, das das Produkt gehackt wurde und die Leute ihre Passwörter ändern sollen.
        Jetzt stell dir das ganze bei einer teuer von einem VC übernommenes Produkt dar: Der Programmierer geht zum CTO, der vielleicht zum CEO, der vielleicht zu den Investoren. Wird einer in der Kette (es geht um VIEL Geld) sagen ‚oh lass es uns schnell öffentlich machen‘, das der Firmenwert in den Keller rauscht ist halt so? Oder wird es darauf hinauslaufen es möglichst unbemerkt zu ‚fixen‘ und so tun als wäre nichts?
        Ausserdem wollen VCs möglichst schnell Gewinn sehen. Auch wenn Passwörter sicher sind, es gibt genug Möglichkeiten es gewinnbringend einzusetzen. Metadaten, tracking wer sich wo einloggt (gerade in Sachen von 3rd-Party-Cookie-Rausschmiss Gold wert) usw. usf.
        Natürlich wollen und sollen gute Programme und die Leute dahinter bezahlt werden. Aber wenn ein VC sich die Sache krallt bin ich halt äusserst skeptisch.

        Und zum realThomas: Nein habe mit Red Hat gar kein Problem, im Gegenteil, die retten IBM die Quartalsergebnisse gerade. Wollte nur sagen das auch mit OpenSource ein Business-Modell möglich ist, war von mir als Vergleich etwas unglücklich gewählt.

        • Um das nochmal einzuwerfen: Open Source kann auch mit kommerziellen Interesse eingesetzt werden, bzw. wurde der Begriff und die Open Source Initiative überhaupt deswegen gegründet. Nicht zu verwechseln mit freier Software nach Definition der Free Software Foundation (FSF).

          • Definitiv sollte man Open Source laut OSI und Freie Software nicht miteinander verwechseln. Aber auch Freie Software kann mit kommerziellen Interessen einsetzen / entwickeln. In den meisten Fällen sind OSI-konforme Lizenzen ja auch Freie Software-konform. (siehe z. B. https://www.gnu.org/licenses/license-list.de.html ) Natürlich lebt nicht jede Firma, die Open Source-Software vertreibt / entwickelt / supportet, den „Freie Software“-Spirit wirklich aus. Dafür kann man sie dann gerne kritisieren. Aber ob etwas Freie Software und / oder Open Source ist, da ist der Lizenztext maßgeblich. Und nicht für welche Dienstleistungen man Geld verlangt.

    • therealThomas says:

      Ich verstehe nicht so ganz, was das Problem an Red Hat ist?

  3. Die machen definitiv einiges richtig! Seit langem auch meine Wahl bei PW-Manager…

  4. therealThomas says:

    Ehrliches Interesse: was für Software nutzt du so?

    • Ich tippe auf KeyPass.

      • Nein, als Passwort-Manager nutze ich derzeit Enpass. Der Client enthält im Gegensatz zu BitWarden aktuell noch keinerlei Tracker. Sollte sich das irgendwann ändern, werde ich mir eine Alternative suchen.

        • Der Code ist proprietär. Da lade ich mir doch lieber Bitwarden aus dem F-Droid store, habe das Crashreporting nicht an Bord und dafür quelloffene Software. Aber gut, jeder wie er meint.

          • Auf meinem iPhone nützt mir der F-Droid Store herzlich wenig.

            • Trotzdem nutzt du anstatt von selbst hostbarer Open source software lieber ein proprietäres Produkt, beschwerst dich aber über tracker.

            • Auf dem iPhone hast du aber auch nicht das Crashreporting von Google… Zumindest wüsste ich nicht, was Google mit den Abstürzen einer fremden App unter iOS anfangen soll.

              • Das Crashreporting läuft auch über Microsoft, nicht Google.

                „Leider sind auch noch in Version 2.5.0 der Android-App zwei Tracker (Google Firebase Analytics, Microsoft Appcenter Crashes) enthalten.“

                • therealThomas says:

                  Du zitierst doch selber „Android-App“. Ich konnte nichts darüber finden, dass diese Tracker auch in der iOS-App enthalten wären.

                  Und insgesamt ist dir lieber, dass du keine Ahnung hast, was mit deinen Passwörtern passiert und ob Enpass evtl. in ihrem Closed-Source-Code eigene Tracker eingebaut hat, die z.B. verfolgen, wo du dich einloggst etc., als eine selfhost-bare Open-Source-Software, die Crash-Reports sammelt?

                  • Die Tracker sind auch in der iOS App enthalten. Schon beim Start des Clients, bevor man sich auch nur eingeloggt hat, werden Daten an appcenter.ms gesendet.

                    Erstens wurde der Source-Code von Enpass letztes Jahr von einer externen Firma einem Security Audit unterzogen und zweitens lässt sich Enpass zudem komplett „offline“ auf dem Endgerät nutzen.

                  • therealThomas says:

                    @Philipp auch die Bitwarden-App lässt sich komplett offline auf dem Endgerät nutzen. Einfach Internet aus und öffnen. Nur für den Sync zwischen den Geräten wird selbstverständlich eine Verbindung zum Server benötigt.
                    Dadurch, dass der Server bei mir im Heimnetzwerk läuft, braucht die App auch keinen weiteren Zugriff, außer ins Heimnetzwerk.

  5. Im F-Droid Store gibt es die App auch ohne Tracker, zumindest auf Android

  6. Nein, ist es nicht. Die Tracker sind weiterhin enthalten. Steht auch in deinem Link.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.