Blog

Informativ, aktuell und spannend – der Oneconsult Cybersecurity Blog.

Lokale vs. cloudbasierte Passwortmanager
Theresa Gabriel
Theresa Gabriel
|
07.02.2024
(aktualsiert am: 21.02.2024)

In der ständig fortschreitenden Digitalisierung steht die Sicherheit von Unternehmensdaten an vorderster Front. Die Wahl des richtigen Passwortmanagers spielt dabei eine entscheidende Rolle.

Passwortmanager sind für Unternehmen unverzichtbar, da sie effektiv dazu beitragen, die Sicherheit sensibler Daten zu gewährleisten. Durch die zentrale Verwaltung von Zugangsdaten minimieren sie das Risiko von Sicherheitslücken, fördern bewusstes Passwortverhalten bei Mitarbeitenden und tragen so massgeblich zur Abwehr von Cyber-Bedrohungen bei. In diesem Blogbeitrag nehmen wir die beiden Haupttypen von Passwortmanagern unter die Lupe: lokale und cloudbasierte. Erfahren Sie, welcher Ansatz die besten Sicherheitsvorkehrungen für Ihr Unternehmen bietet und wie die unterschiedlichen Systeme die Verwaltung und Speicherung von Passwörtern beeinflussen. Ein tiefgehender Vergleich in vier Schlüsselaspekten gibt Ihnen die nötigen Einblicke, um die optimalen Entscheidungen für die Sicherheit Ihrer Unternehmensdaten zu treffen.

Lokale vs. cloudbasierte Passwortmanager

Lokal- vs. cloudbasierte Passwortmanager – die Unterschiede

Lokale Passwortmanager speichern und verwalten Passwörter ausschliesslich auf den Endgeräten der Benutzer/innen. Hierfür ist einmalig eine Internetverbindung notwendig, um die Software des Passwortmanagers herunterzuladen. Anschliessend ist keine Verbindung zum Internet nötig, um den Passwortmanager zu nutzen. Im Gegensatz dazu speichern cloudbasierte Passwortmanager die Passwörter in einer Datenbank in der Cloud. Die heruntergeladene Software greift auf die gespeicherten Passwörter in der Cloud zu, um sie abzufragen oder zu synchronisieren. Einige Anbieter betonen, dass ihre Lösung «offline» ist. Das bedeutet, dass die Passwörter lokal auf den Geräten der Benutzer/innen gespeichert werden, aber dennoch eine Verbindung zum Internet für Synchronisations- oder Aktualisierungszwecke haben. Es ist wichtig, diesen Unterschied zu verstehen, um die tatsächliche Funktionsweise der Passwortmanager zu erkennen.

Im folgenden Abschnitt werden die Unterschiede zwischen den beiden Arten von Passwortmanagern in Bezug auf Angriffsvektor, Benutzerfreundlichkeit & Synchronisation, Privatsphäre & Kontrolle sowie den Kosten aufgezeigt.

Angriffsvektor

Der Angriffsvektor eines lokalen Passwortmanagers ist begrenzt und auf das Endgerät beschränkt, auf dem die Passwörter oder die Datenbank gespeichert sind. In diesem Kontext ist es von entscheidender Bedeutung, dass die Benutzer/innen sich eigenverantwortlich für die Sicherheit ihres Endgerätes sorgen. Dies schliesst die Verwendung von vertrauenswürdigen Softwareanbietern und die regelmässige Aktualisierung der Software mit ein. Ebenso wichtig ist die physische Sicherheit des Gerätes, da im Falle eines Diebstahls alle Passwörter gefährdet sein können.

Im Gegensatz dazu weisen cloudbasierte Passwortmanager durch ihren Server im Internet einen erweiterten Angriffsvektor auf. Die Sicherheit der Passwörter hängt vollständig von der Sicherheit des Servers ab, auf dem die Passwörter gespeichert sind.

Benutzerfreundlichkeit & Synchronisation

Cloudbasierte Passwortmanager ermöglichen eine einfache, automatische Synchronisation mit verschiedenen Endgeräten, wie Desktops, Laptops, Mobiltelefonen und mehr. Lediglich das Herunterladen der entsprechenden App und der Login sind erforderlich, um auf sämtliche Passwörter zugreifen zu können. Vereinzelte Hersteller bieten auch den Zugang zu Passwörtern ohne jegliche Software an. Dies geschieht, indem man sich auf der Plattform im Browser anmeldet, um auf die eigenen Passwörter zugreifen zu können. Im Gegensatz dazu erfordert ein lokaler Passwortmanager manuelle Schritte und ist oft etwas aufwendiger. Die Datenbank muss manuell auf jedes Endgerät übertragen werden, wobei viele Benutzer/innen dazu neigen, die Datenbank kurzzeitig über Cloud-Plattformen wie Google Drive oder Dropbox bereitzustellen. Dieser Ansatz steht im Widerspruch zum ursprünglichen Konzept der lokalen Passwortmanager, die darauf abzielen, die Datenbank offline zu verwalten.

Privatsphäre & Kontrolle

In Bezug auf Privatsphäre und Datenkontrolle hat der lokale Passwortmanager die Nase vorn. Die Benutzer/innen haben die volle Kontrolle über die von ihnen lokal verwalteten Passwörter, tragen jedoch auch die Verantwortung für die Sicherung und Wiederherstellung. Im Gegensatz dazu müssen die Nutzer/innen eines cloudbasierten Passwortmanagers dem Anbieter vertrauen, dass die Daten angemessen geschützt werden.

Kosten

Es gibt eine breite Palette von Anbietern, die kostenpflichtige Versionen anbieten, um eine verbesserte Sicherheit und eine benutzerfreundlichere Erfahrung zu gewährleisten. Für beide Arten von Passwortmanagern gibt es jedoch ebenfalls kostenfreie Produkte, die in Betracht gezogen werden können.

Fazit

Die aufgeführten Funktionen und Features bieten wertvolle Einblicke, die die Entscheidung für den passenden Passwortmanager erleichtern sollen. Doch letztendlich obliegt es der Eigenverantwortung eines jeden, sorgfältig abzuwägen, welche Art von Passwortmanager am besten den individuellen Anforderungen und Präferenzen entspricht. Diese Überlegung sollte sorgfältig getroffen werden, da die Wahl des richtigen Passwortmanagers massgeblich zur Sicherheit und Benutzerfreundlichkeit beim Umgang mit Passwörtern beiträgt. Es ist also ratsam, alle Faktoren zu berücksichtigen, bevor man sich für einen bestimmten Passwortmanager entscheidet.

Für weiter Tipps bei der Auswahl zum richtigen Passwortmanager lesen Sie auch gerne unseren Blogbeitrag «Schnell und einfach den richtigen Passwortmanager finden«. Um komplexere Schwachstellen und Angriffsvektoren zu identifizieren, empfehlen wir einen ausführlichen Penetration Test durch unsere Experten. Zusätzlich ist eine Cyber Security Awareness Schulung für den sicheren Umgang mit Passwörtern wichtig, um das Bewusstsein der Mitarbeitenden für Cyber-Bedrohungen zu schärfen, die Sicherheitskultur zu stärken und potenzielle Risiken von Datenlecks und unbefugtem Zugriff zu minimieren.

In diesen wie auch in allen weiteren Cyber-Security-Themen helfen wir gerne weiter. Wir freuen uns auf Ihre Kontaktaufnahme:

Theresa Gabriel

Autorin

Theresa Gabriel ist Penetration Tester bei Oneconsult. Neben ihrem Masterabschluss an der Stockholm Universität in Informationssicherheit ist sie als Offensive Security Certified Professional (OSCP) zertifiziert.

LinkedIn

Nichts verpassen! Melden Sie sich für unseren kostenlosen Newsletter an.

Ihre Sicherheit hat höchste Priorität – unsere Spezialisten unterstützen Sie kompetent.

Erreichbarkeit von Montag bis Freitag 08.00 – 18.00 Uhr (Ausnahme: Kunden mit SLA – Bitte über die 24/7 IRR-Notfallnummer anrufen).

Privatpersonen wenden sich bitte an Ihren IT-Dienstleister des Vertrauens oder die lokale Polizeidienststelle.

Weitere Informationen zu unseren DFIR-Services finden Sie hier:

QR_CSIRT_2022@2x
CSIRT zu den Kontakten hinzufügen