Europäische Kommission nimmt KeePass unter die Lupe

artikel_keepassxUnter den kostenfreien Lösungen zur Verwaltung von Passwörtern und diversen Zugängen kristallisiert sich bei unseren Lesern immer ein Liebling heraus. KeePass. Die Software ist auf mehreren Plattformen einsetzbar, zudem gibt es Dritt-Tools zum Lesen und Schreiben der Datenbanken auf Android und iOS. KeePass ist seit Jahren das, was man „eine Bank“ nennt. Zwar nicht in allen Belangen überragend, aber dennoch eine empfehlenswerte Software. Nun nimmt sich die Europäische Kommission den kostenlosen Open Source-Passwortmanager vor. Das hat allerdings nichts mit einer Ausnutzung eines Monopols zu tun, stattdessen wird man einen externen Security-Audit durchführen, der alle Sicherheitsaspekte der Software ausloten soll.

Realisiert wird das Ganze nach einer Umfrage durch Joinup, der kollaborativen Plattform, die von der Europäischen Kommission und der Europäischen Union über das Interoperability Solutions for European Public Administrations Program  ins Leben gerufen wurde. Dass KeePass nun untersucht wird, ist das Ergebnis einer Umfrage. Hier standen diverse Open Source-Lösungen zur Auswahl, beispielsweise Filezilla, 7-zip oder auch der VLC Media Player. Getroffen hat es den Apache HTTP Server mit 18,7 Prozent der Stimmen – hinter dem Sieger KeePass, auf den 23,1 Prozent der Stimmen entfielen. Werden sicherheitskritische Lücken gefunden, so werden diese dem Entwickler mitgeteilt. Ganz unkritisch wird der Audit nicht beäugt, Matthias Kirschner, Vize-Präsident der Free Software Foundation Europe, teilt in seinem Blog mit, dass er Sorge habe, dass das große Budget keinen positiven Einfluss auf freie Software habe.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

26 Kommentare

  1. Naja, also wenn man das mit 1Password vergleicht.. da liegen ja alleine vom Design her WELTEN dazwischen.

  2. Huch, Kommentar weg?

  3. Irgendwie… ich verstehe nicht, warum sich die EU um so was kümmert. Da sitzen doch in der Hauptsache Menschen, die nicht mal wissen, dass Emails standardmäßig wie Postkarten unverschlüsselt für jeden lesbar über den Äther gehen. Warum beschäftigen die sich mit sowas? Muss mal in Ruhe den Blogpost von diesem Kirschner lesen. Dem ersten Absatz nach, denke ich jedenfalls auch, dass das Budget nicht zwangsläufig ein brauchbares Ergebnis liefern wird.

  4. @frankyon : „da liegen ja alleine vom Design her WELTEN dazwischen“…. sicherheitskritische software und worauf geachtet wird ist das design…. unglaublich…

  5. @Frankyon: Design sollte bei einem Password-Manager nicht das wichtigste sein. 😉
    Gilt natürlich auch für alle anderen Programme und Dienste die mit Verschlüsselung arbeiten.

  6. @frankyon, Ich bin ja sonst kein Aluhutträger und benutze auch WhatsApp und Co. Aber wenn es um meine Passwörter geht, ziehe ich eine hässliche Offline Datenbank einer schönen Online Datenbank vor. Das wird irgendwann noch richtig krachen…

    Und wer will, kann ja seine KeePass Datenbank auf seiner >eigenen< Cloud ablegen oder daheim via WLAN mit dem Handy syncen. So viel Arbeit ist das wirklich nicht.

    @Topic, na dann bin ich mal gespannt ob unsere Neuland-Pioniere da fündig werden.

  7. @frankyon: nur ist das Design bei einem Passwortmanager so ziemlich das unwichtigste..

  8. Afaik sind die Schwachstellen bereits hinreichend bekannt. Die haben in der Regel aber nichts mit der Software selbst, sondern mit unzulänglichkeiten der Betriebsysteme zu tun, aus denen man aus dem Speicher Daten abgreifen kann. Die genutzten Verschlüsselungstechniken sind ja jetzt nichts neues. Das sollte in der Vergangenheit auch schon alles beleuchtet gewesen sein. Meiner Meinung nach wird hier nur Geld versenkt.

  9. @all: Es gibt auch SoftwareDESIGN – also die Struktur und die Konzepte, wie eine Software intern aufgebaut ist. Und in dem Fall stimme ich Frankyon vollkommen zu: Im Bereich Softwaredesign liegen da wirklich Welten dazwischen (alleine der Gedanke Passwörter in einer zentralen Cloud-Anwendung zu speichern löst bei mir schon Entsetzen aus).
    Wenn es um das Aussehen geht, kann ich aber allen Vorrednern zustimmen: Das ist wirklich zweitrangig (wobei mir KeePass vom Aussehen auch sehr gut gefällt, kein Schnick-Snack und man kommt zielstrebig zum Ziel).

  10. Ihr wisst schon, dass sich Design nicht alleine auf das Aussehen beziehen muss, sondern auch darauf wie etwas umgesetzt ist.

  11. @icancompute: da du hier öfters kommentierst und meiner Erinnerung nach nicht regelmäßig trollst, frage ich mich, was der Auslöser für solch waghalsige Aussagen ist.

    Man mag der Kommission ja vieles vorwerfen, aber mit dem Vorwurf von mangelnder Kompetenz – auch im Bereich der IT – macht man sich schon gehörig lächerlich.

  12. @Michael
    Zugegeben, provokant.
    Ich halte einfach nicht viel von den Entscheidungsträgern, was IT und Telekommunikation angeht. Liegt wohl daran, dass der Lobbyismus bei denen eben mehr erreicht, als der gesunde Menschenverstand der Abgeordneten.
    Meiner Meinung nach gibt einfach zu viele Themen, wo Entscheidungen nicht im Sinne der EU-Bevölkerung getroffen werden, weil wir angeblich für zu dumm gehalten werden. Die Dummheit der Wähler zu umgehen ist aber nicht der Job einer Volksvertretung. Und die EU-Kommission ist letztlich genau das. Und dennoch setzt sie sich in vielen Belangen über die Wünsche der Wähler hinweg, bzw. hält eine Befragung dieser für unnötig.
    Und selbst wenn (IT) fachkundige Abgeordnete im EU-Parlament sitzen. Leider scheinen die in der Minderheit zu sein, bzw. sich nicht durchsetzen zu können. Siehe Roaming (ist doch auch nur halb so toll, wie die ganzen Provider – und EU-Kommision – den Kunden verkaufen wollen) oder Netzneutralität. Diese Themen haben zwar nicht allzu viel mit dem Sicherheits-Audit jetzt zutun, zeigen aber, wie gut Lobbyismus da in der Lage ist, vernünftige Entscheidungen abzumildern. Ich lese hin und wieder auf netzpolitik.org. Auch wenn da natürlich ordentlich Stimmung gemacht wird, gegen sämtliche Gremien. Als Quelle für einen ersten Input und weitere Eigenrecherche eignet sich das ganz gut.

    Das mag also weiter oben eine oberflächliche Aussage sein, aber ich mache keinen Hehl daraus, dass ich hin und wieder nicht viel von den EU-Abgeordneten halte.
    Nichts desto Trotz bin ich gerne bereit, mich vom Gegenteil überzeugen zu lassen. Quellen und Links nehme ich daher im Sinne einer fruchtbaren Diskussion gerne an.

    PS: Ich habe den Blogbeitrag von Herrn Kirschner immer noch nicht gelesen, werde das aber tun. Möglich, dass danach meine Meinung schon anders ausfällt.

  13. Wenn man etwas Ahnung von der Wirkung der UI auf die Nutzung hat, sollte man Keepass vor allem empfehlen, diese auf den Stand des neuen Jahrtausends anzupassen. Das ist für die Sicherheit aller bedeutend wichtiger als die Entdeckung eines theoretischen Sicherheitslecks. Denn ist die Ui so abschreckend, dass sich User allein deswegen abwenden und einem anderen Anbieter wählen, der eine bessere Nutzererfahrung bietet, aber unsicherer ist, so hat man das gegenteil dessen erreicht, was eigentlich Ziel sein sollte. Wer diesen Zusammenhang anzweifelt, sollte sich kurz vor Augen führen, wie oft usibility bei der Wahl eines Dienstes den Ausschlag gibt (google ist hier ein schönes Beispiel). Wenn ich frankoyn richtig verstehe, geht also gerade nicht darum, ob irgendeine nerdige Filterbubble Sicherheit vor Design vorzieht, sondern was die Mehrheit der Nutzer macht.

  14. Mich würde mal interessieren was denn an der graphischen Oberfläche so schlecht sein soll? Ich finds aufgeräumt und ohne Klickibunti perfekt.

  15. @Fraggle
    Das Problem ist, dass die, die aus eine Generation kommen, die noch eine Kommandozeile kennen, vielleicht auch mal eine Man-Page gelesen haben, schon mal eine Konfigurations-Datei, vielleicht sogar in Form von INI oder XML editiert haben, nicht das Maß der Dinge sind.

    Das Maß der Dinge, die, die in Unternehmen Entscheidungen treffen, die meisten, die zu Hause Tools benutzen, kommen viel eher aus der Ecke, wo man touched, wischt, mit solchen Dingen keine Berührung haben will. Die nutzen Slack, weil es hip ist, die nutzen irgend einen Cloud Dienst, weil er schick ist. Das die Funktionalität, oder wie hier die Sicherheit, oder bei Slack die Vertraulichkeit, nicht gegen ist, interessiert sie nicht, denn sie verstehen ohnehin nicht, worum es geht. Die klicken in KeePass einmal auf Datei / Neu, haben kein neues Passwort, sondern eine neue DB angelegt, wo sie nicht verstehen, was das ist, und beenden Keepass und sehen es sich nie wieder an.

  16. @saujunge @frankyon: Ok, was Otto Normalos angeht muss ich da wohl leider recht geben. Die nehmen sich das erstbeste, einfache und schöne.

  17. @saujunge:
    Mit anderen Worten, Du willst lieber die Symptome als die Ursache bekämpfen? Ne, lieber nicht. Viel eher sollte man eher daran arbeiten, daß die Leute wieder denken zu lernen. Dann wäre auch kein Snowden nötig gewesen um Sicherheitsbewußtsein zu wecken.Wer übrigens Datei mit neuem Paßwort verwechselt, dem ist eh nicht zu helfen, ich versteh aber was Du damit andeuten wolltest.
    Ja, die Masse ist saudumm, Aber der Weg einfach die Oberfläche so zu gestalten, daß saudumme auch ein Interesse haben, ist imho der falsche (natürlich sollte es einfach gehalten werden). Da muß ich irgendwie an Idiocracy denken 😉

  18. Also die Gui von Keepass passt mir gut, muss kein neumodisches Material Design (das ich nebenbei zu kühl finde und mir überhaupt nicht gefällt) Da ist mir lieber es wird auf die Sicherheit geschaut. Außerdem finde ich es gut das das Programm angeschaut wird. Viele haben da doch einige brisante (aus unwissen) Passwörter drin, da schadet es nicht wenn das überprüft wird. Hab mir selber darüber schonmal Gedanken gemacht wies um die Sicherheit bei dem Programm steht.

  19. Geht es um Keepass oder KeepassX? Ihr schreibt Keepass und verwendet das KeepassX-Logo

  20. Kann jemand Tipps geben, wie man das ganze zwischen Win10 – Linux – Android vernünftig synchronisiert (dauernd ist die KDBX-Datei auf unterschiedlichen Stand…) und dann noch das ganze schick in die Browser bei Win10 und Linux (Firefox, stark customized) integriert?

  21. DragonHunter says:

    @Fraggle:
    Die Masse ist saudumm, richtig… Aber die Masse macht auch Massen an Umsatz. Das mag bei einer Open Source-Software noch egal sein,wenn sie nur an Privatkunden geht, aber wenns ins Business geht, ist das umso schlimmer.
    Der Mensch im Büro soll seinen Job erledigen und nicht erstmal ne Software lernen. Effizienz und Produktivität sind die Zauberworte. Und die sind nunmal höher, wenn die Software Merkel-sicher ist.

  22. Auf dem Mac ist das komplett gruselig. Design ist mir ja egal, aber wenn jemand auf X11/Quartz und Mono aufsetzt, ist das Resultat einfach nicht auszuhalten. Ich finde es durchaus OK, zum Beispiel mit der QT-Oberfläche von Digikam zu arbeiten, und auch LibreOffice, so un-Mac-ig es auch aussieht und sich anfühlt. Aber KeePass geht gar nicht, dann verzichte ich lieber.

  23. Allein, wenn man sich deren Website anschaut, mag man nicht mehr. Das grenzt ja schon an Arbeitsverweigerung. Ich mag ja auch nicht mehr auf einem Windows 3.1-PC meine Breife schreiben, obwohl da noch alles sicher war und Word alles hatte, was ich bis heute brauche.

  24. Ich nutze keepassx auf Linux. Nichts mehr mono, qt.
    Android: keepass2android offline.

    Finde beide Programme gar nicht mehr sooooo hässlich. Keepass2android war aber mal richtig hässlich…. Wurde geupdated, und ist nun funktionell.die ui ist nicht im weg. Auf Linux ähnlich.

    Und was mich immer wieder begeistert. Dass man seine database ja benennen kann wie man will. Z.b. süßekatze_fullhd.PNG

    Autotype haben die auch, und auf Android ne eigne Tastatur, man muss also nichts zwischenkopieren.

    Tolles Stück Software, seitdem ich es kenne habe ich auch endlich sichere Passwörter….

  25. Soll sich die EU um krumme Gurken kümmern!
    KeePass ist die beste Lösung, Sicherheit ist bei mir oberstes Gebot, keepass.kdbx NUR auf USB Stick, nie online!

  26. @An0nym
    KeeWeb könnte sein was du suchst.

    Ich verwende KeePass schon einige Jahre und bin sehr begeistert. Die Oberfläche ist super und klar strukturiert.
    Klar könnte man für Einsteiger eine erste Datenbank voreinstellen, aber das eigentliche Problem ist, dass viele User zu faul sind um zu lesen.
    Ich bin als Entwickler für ein ERP-System tätig und es ist erstaunlich wieviele Probleme von Anwendern sich lösen lassen, wenn man sie die Fehlermeldung einfach laut vorlesen lässt…

    Bald baue ich eine Sprachengine ein, die gewissen Usern die Meldungen automatisch vorliest..

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.