Der Schutz unserer digitalen Identität ist in der heutigen Zeit von größter Bedeutung. Passwort-Manager sind dabei zu unverzichtbaren Helfern geworden, die komplexe Kennwörter generieren und sicher speichern. Doch was passiert, wenn selbst diese Schutzmechanismen versagen? Die stiftung warentest avira hat genau solch eine kritische Schwachstelle beim Avira Password Manager aufgedeckt, die Passwörter seiner Nutzer in Gefahr brachte.
Anfang April offenbarte der Avira Password Manager eine brisante Sicherheitslücke, die seine eigentliche Aufgabe – den Schutz sensibler Zugangsdaten – in Frage stellte. Ein solcher Vorfall, der von der renommierten Verbraucherorganisation Stiftung Warentest aufmerksam beobachtet wurde, wirft wichtige Fragen zur Online-Sicherheit auf und verdeutlicht die Notwendigkeit ständiger Wachsamkeit.
Avira brachte Passwörter, Daten und Geld in Gefahr
Passwort-Manager gelten als eine intelligente Lösung im Kampf gegen die Komplexität und die Risiken des digitalen Lebens. Sie sollen die Last des Merkens zahlreicher, hochkomplexer Passwörter abnehmen und uns vor gängigen Betrugsmaschen wie Phishing-Angriffen schützen, denen Menschen oft leichter zum Opfer fallen. Doch genau hier lag die Schwachstelle des Avira Password Managers.
Die Stiftung Warentest stellte fest, dass die Browser-Plug-ins des Avira Password Managers auf gefälschten Websites Passwörter automatisch eingaben. Diese Seiten waren Nachbildungen bekannter Portale wie GMX, Facebook oder PayPal, die von einem IT-Sicherheitsforscher erstellt wurden, um die Anfälligkeit zu demonstrieren. Obwohl diese Fälschungen relativ einfach gestaltet waren, ließ sich das Avira-Programm täuschen. Eine solche Panne kann weitreichende Folgen haben, indem sie E-Mails, private Dokumente und in manchen Fällen sogar das Geld von Nutzerinnen und Nutzern gefährdet.
Schnelle Reaktion: Lücke geschlossen und Programme aktualisiert
Die gute Nachricht ist, dass Avira schnell auf den Hinweis der Stiftung Warentest reagierte. Die Sicherheitslücke wurde umgehend in allen betroffenen Versionen geschlossen. Hierbei handelte es sich ausschließlich um die Browser-Plug-ins für Chrome, Edge, Firefox, Opera und Safari. Laut Avira bestand das Problem bereits seit Ende 2019 und betraf alle Anwender, die die standardmäßig voraktivierte Auto-fill-Funktion der Plug-ins nutzten. Die Desktop-Anwendung und die mobilen Apps waren von dieser spezifischen Sicherheitslücke nicht betroffen.
Für Nutzer besteht in der Regel kein aktiver Handlungsbedarf, da sich die Plug-ins automatisch aktualisieren, sofern die Update-Funktion nicht manuell deaktiviert wurde. Es ist unklar, ob der Fehler von Angreifern tatsächlich ausgenutzt wurde, um Passwörter zu erbeuten. Avira teilte mit, dass keine Hinweise auf eine mögliche Ausnutzung der Sicherheitslücke gefunden wurden, ein vollständiger Ausschluss ist jedoch nie ganz möglich.
Auto-fill deaktivieren für mehr Kontrolle
Wer ein Höchstmaß an Kontrolle über seine Zugangsdaten behalten möchte, kann die Auto-fill-Funktion deaktivieren. In diesem Fall trägt der Passwort-Manager die Log-in-Daten nicht mehr automatisch ein, sondern erst auf expliziten Befehl des Nutzers. Dies reduziert zwar den Komfort geringfügig, erhöht jedoch die persönliche Kontrolle über den Eingabeprozess und kann dabei helfen, Phishing-Versuche zu vereiteln.
So gehen Sie vor: Im Browser klicken Sie auf das Avira-Plug-in, wählen das Zahnrad-Symbol aus und ziehen den Regler für „Auto-fill Anmeldeformular“ von rechts nach links.
Screenshot der Stiftung Warentest zeigt erbeutete Passwörter durch Phishing-Angriff auf Avira Password Manager
Warum der Fehler passierte: Nachlässiger Phishing-Schutz
Der Fehler im Avira Password Manager resultierte aus einem nachlässigen Vorgehen beim Phishing-Schutz. Phishing-Angriffe folgen oft einem ähnlichen Muster: Kriminelle erstellen täuschend echte, gefälschte Websites und locken ihre Opfer mittels Links in E-Mails oder Kurznachrichten dorthin. Da diese Seiten oft sehr überzeugend aussehen, geben viele Nutzer ihre Anmeldedaten ein, in der Annahme, sich in ihren E-Mail-, Banking- oder Social-Media-Account einzuloggen. Blitzschnell haben die Angreifer dann Zugriff auf sensible Daten, können Konten kapern oder unerlaubte Zahlungen auslösen.
Passwort-Manager sind eigentlich dafür bekannt, robusten Schutz gegen Phishing zu bieten, da sie üblicherweise mehrere Parameter überprüfen, bevor sie Log-in-Daten eingeben. Dazu gehört die genaue Überprüfung der URL – der Webadresse der jeweiligen Seite. Würde eine Adresse beispielsweise “fakebook.com” statt “facebook.com” lauten, sollte das Programm keine Daten preisgeben. Das Browser-Plug-in des Avira Password Managers scheiterte jedoch genau hier: Obwohl die Adressen der von dem Sicherheitsforscher erstellten Phishing-Seiten massiv von den URLs der Original-Portale abwichen, fügte das Programm die Passwörter ein, was es Angreifern ermöglicht hätte, diese abzufangen.
Wie Sie sich und Ihre Daten effektiv schützen
Die Vorfälle rund um den Avira Password Manager zeigen einmal mehr, wie wichtig es ist, sich aktiv mit dem Thema Datensicherheit auseinanderzusetzen. Die Stiftung Warentest bietet eine Reihe von Empfehlungen für sicheres Surfen und zum Schutz vor Datenklau. Ein zentraler Pfeiler ist dabei die Mehr-Faktor-Authentifizierung, die eine zusätzliche Sicherheitsebene schafft.
Um Ihre Online-Konten umfassend zu schützen, sollten Sie stets wachsam sein und die folgenden Prinzipien beachten:
- Informieren Sie sich: Bleiben Sie auf dem Laufenden über aktuelle Bedrohungen und Schutzmaßnahmen.
- Starke, einzigartige Passwörter: Nutzen Sie für jeden Dienst ein anderes, komplexes Passwort.
- Vorsicht bei Links: Klicken Sie nicht blind auf Links in E-Mails oder Nachrichten, deren Absender oder Inhalt Ihnen verdächtig erscheinen.
- Regelmäßige Updates: Halten Sie Ihre Betriebssysteme, Browser und Software stets aktuell, um bekannte Sicherheitslücken zu schließen.
- Mehr-Faktor-Authentifizierung: Wo immer möglich, aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA).
Sind Passwort-Manager trotz Sicherheitslücken sinnvoll? Die Einschätzung der Stiftung Warentest
Wenn ein Programm, dessen primäre Funktion der Schutz von Passwörtern ist, diese freigiebig an Phishing-Seiten weitergibt, stellt sich zwangsläufig die Frage nach seiner Sinnhaftigkeit. Trotz gravierender Sicherheitslücken wie der von Stiftung Warentest Avira aufgedeckten Schwachstelle überwiegen nach Einschätzung der Experten die Vorteile von Passwort-Managern.
Keine Software kann hundertprozentige Sicherheit garantieren, doch im Normalfall bieten Passwort-Manager wesentlich mehr Schutz als von Menschen selbst gewählte Passwörter. Menschen können sich eine Vielzahl komplexer Kennwörter nur schwer merken und neigen daher dazu, einfache oder mehrfach verwendete Passwörter zu wählen – eine Einladung für Angreifer. Ein Passwort-Manager hingegen ist in der Lage, Tausende hochkomplexer, einzigartiger Kennwörter zu speichern und bei Bedarf bereitzustellen. Benjamin Barkmeyer, IT-Sicherheitsexperte bei der Stiftung Warentest, fasst es treffend zusammen: „Ein Passwort-Manager muss nicht perfekt sein – er lohnt sich schon, wenn er besser ist als sein Nutzer.“
Für eine umfassende Orientierung, welche Software Sie mit starken Passwörtern schützt, empfiehlt die Stiftung Warentest ihren detaillierten Passwort-Manager-Test. Dieser bietet einen fundierten Vergleich verschiedener Lösungen und hilft Ihnen, die beste Wahl für Ihre individuellen Sicherheitsbedürfnisse zu treffen.