Interview von Cybernews mit Sascha Pfeiffer

Ein kurzes Interview des Cybernews-Teams mit Sascha Pfeiffer

Interview von Cybernews mit Sascha Pfeiffer

Kompromittierte Passwörter zu erkennen, bevor es zu spät ist, ist eine ziemlich schwierige Aufgabe. Es gibt nur einige vage und offensichtliche Dinge, auf die man achten sollte.

Unsichere, wiederverwendete und schwache Passwörter sind eine der Hauptbedrohungen für die Cybersicherheit, die nicht nur soziale Mediennutzer, sondern auch große Unternehmen und staatliche Institutionen betreffen. Offen gelegte Passwörter sind gleichbedeutend mit Identitätsdiebstahl, finanziellen Verlusten und vielen weiteren langfristigen Konsequenzen.

Heutzutage ist sich die Gesellschaft der Bedeutung von Passwortmanagern bewusst. Dennoch ist es ziemlich schwierig, die wichtigsten Funktionen zu finden, nach denen man suchen sollte, und es ist entscheidend zu wissen, welche zusätzlichen Maßnahmen die Online-Sicherheit verbessern. Der Geschäftsführer von Psono Passwortmanager, Sascha Pfeiffer, erklärte sich bereit, seine Ansichten zur Cybersicherheit mit dem Cybernews-Team zu teilen.

Lassen Sie uns an den Anfang zurückkehren. Wie sah die Entwicklung von Psono aus?

Es war im Jahr 2015, als ich beschloss, Psono zu programmieren. Es gab zu dieser Zeit keine Lösung, die es einem Unternehmen ermöglichte, einen Dienst auf seinen Servern zu hosten, um Passwörter mit clientseitiger Verschlüsselung aller gespeicherten Geheimnisse zu verwalten. Ich sprach viel mit meinen Freunden darüber, wie es funktionieren sollte oder wie mein kryptografischer Ansatz aussah und habe sie wahrscheinlich in gewisser Weise zu Tode gelangweilt. Die erste öffentliche Version wurde 2017 veröffentlicht und dann im Laufe der Zeit erweitert. Zuerst mit Erweiterungen, Dateien, Apps für iOS und Android. Das alles nur als Nebenprojekt, im Grunde floss meine gesamte Freizeit, Wochenenden und Feiertage in das Produkt. Im Jahr 2020 entschied ich, dass ich dies weiterverfolgen wollte, und gründete die esaqa GmbH, was zu diesem Zeitpunkt eine schwierige Entscheidung war. COVID war auf seinem Höhepunkt und Toilettenpapier war rar… Aber die Entscheidung zahlte sich aus und wir gewannen einige Kunden, selbst ohne echtes Marketing, nur Leute, die unsere Community-Edition vorher genutzt haben, kauften unser Enterprise-Produkt. Die Wahl der neuen deutschen Regierung mit dem Engagement für das Recht der Nutzer auf Verschlüsselung war eine große Erleichterung. Zuvor sah es so aus, als könnte der deutsche Staat von Softwareanbietern verlangen, Hintertüren zu implementieren, was jetzt komplett vom Tisch ist.

Können Sie uns Ihren Passwortmanager vorstellen? Was sind seine Hauptmerkmale?

Psono ermöglicht es Ihnen, Passwörter sicher mit Kollegen und Familienmitgliedern zu speichern und zu teilen. Es gibt ein paar Punkte, die Psono auszeichnen. Erstens können Sie Dinge auf Ihren eigenen Servern hosten. Dieser dezentrale Ansatz macht ihn extrem widerstandsfähig gegen Angriffe im Vergleich zu Anbietern, die Dinge zentral für ihre Kunden hosten, wo eine einzige Schwachstelle alle Passwörter aller Kunden offenlegt. Psono’s Stack ist Open Source und kann daher auf Schwachstellen und Hintertüren hin überprüft werden. Als deutscher Anbieter bieten wir nutzerfreundliche Alternativen zu anderen Lösungen an. Alle Passwörter und anderen Geheimnisse werden verschlüsselt, bevor sie das Gerät des Benutzers überhaupt verlassen und können nur vom Benutzer entschlüsselt werden. Alle Einträge können mit anderen Nutzern geteilt werden und ein umfangreiches Berechtigungskonzept mit Gruppen ermöglicht extrem flexible Konfigurationen, was es zu einer perfekten Wahl für Unternehmen macht.

Was war die Vision hinter der Open-Source-Gestaltung von Psono? Können Sie uns mehr über die Feinheiten von Open-Source-Sicherheitssoftware erzählen?

Open Source zu sein, ist Teil unseres Sicherheitsmodells. Sie sollten keiner Software vertrauen, die Sie nicht überprüfen können. Das gilt besonders für eines Ihrer wichtigsten Softwarestücke, einen Passwortmanager. Es gibt natürlich eine intrinsische Liebe zu Open-Source-Software. Wenn ich zurückdenke, wie ich mich gefühlt habe, als mein erstes Ubuntu auf meinem Laptop bootete, werde ich ziemlich nostalgisch. Wir alle stehen auf den Schultern von Giganten und ohne Open-Source-Software würden wir alle im IT-Steinzeitalter leben. Open Source zu sein hat auch andere Vorteile, da es Zugang zu einigen Marketingkanälen bietet, die ausschließlich Open-Source-Anbietern zur Verfügung stehen.

Einige Experten sagen, dass wir uns derzeit auf eine passwortlose Zukunft zubewegen. Was halten Sie von diesem Ansatz?

Der Trend wird in der Regel von Anbietern von Lösungen wiederholt, die versuchen, ihre Software als Lösung für dieses Problem zu verkaufen. Ich glaube, dass Passwörter in den nächsten 30 Jahren nicht verschwinden werden. Das Problem ist, dass bisher keine richtige Lösung entstanden ist. Normalerweise haben sie mehrere Nachteile. Legacy-Tools können normalerweise nicht verbunden werden. Die Implementierung einer Lösung über alle Geräte, Software und Systeme hinweg ist schwierig. Öffentliche Optionen wie all diese OAuth-Dienste bergen das Risiko, dass der Dienst Ihr Konto schließt oder Ihnen aus irgendeinem Grund den Zugang verweigert, was dazu führt, dass Sie alle Ihre verbundenen Konten verlieren. Passwörter haben viele Probleme, aber alle derzeit bekannten Alternativen haben ihre eigenen Probleme.

Haben Sie aufgrund der aktuellen globalen Ereignisse neue Bedrohungen bemerkt?

Ich möchte vorsichtig sein, aber ich denke ehrlich gesagt nicht, dass aufgrund der aktuellen globalen Ereignisse neue Bedrohungen auftauchen. Es gibt sicherlich mehr Wunsch nach Sicherheit und Schutz, aber die IT-Sicherheitsseite könnte nur moderat profitieren. Das kann sich sicherlich schnell ändern, wenn neue Hacks öffentlich werden.

Was sollten die ersten Schritte eines Unternehmens im Falle eines Sicherheitsvorfalls sein, um seine Arbeitslast sowie seine Kundendaten zu schützen?

Der erste Schritt wäre die Minderung. Versuchen Sie, das Internet, das Netzwerk zu trennen und Server und Dienste herunterzufahren, um weiteren Schaden zu verhindern. Der zweite Schritt wäre, die Dienste isoliert neu zu starten und zu versuchen herauszufinden, was passiert ist, wie es passiert ist, möglicherweise mit externer Hilfe von Fachleuten, die Ihnen bei der Beantwortung dieser Fragen helfen. Der dritte Schritt wäre, die betroffenen Kunden zu informieren. Erklären Sie die Details und potenziellen Risiken. Wenn Sie Ihre Dienste wieder hochfahren, drehen Sie die Zugangsdaten und stellen Sie sicher, dass der Angreifer keine Hintertür hinterlassen hat, die er nutzen könnte, um erneut Zugang zu den Systemen zu erlangen. Untersuchen Sie, wie Probleme ähnlicher Natur in Zukunft vermieden werden können und implementieren Sie diese Schutzvorrichtungen. Normalerweise kommen hier Passwortmanager ins Spiel, wenn das Unternehmen noch keinen hat.

Wie kann man herausfinden, ob das eigene Passwort kompromittiert wurde? Gibt es frühe Warnsignale, die oft übersehen werden können?

Es ist normalerweise ziemlich schwer, kompromittierte Passwörter zu erkennen. Es gibt nur einige vage und offensichtliche Dinge, auf die man achten sollte, wie verdächtige Aktivitäten, E-Mail-Benachrichtigungen über geänderte Passwörter oder Anmeldungen von unbekannten Standorten oder nicht autorisierte Banküberweisungen. Psono hat eine nette Funktion integriert, die öffentliche Dienste wie haveibeenpwned.com auf bekannte Passwortverletzungen überprüft, sodass es erkennt, ob Ihr Passwort jemals kompromittiert wurde. Normalerweise ist es besser, präventiv zu denken. Was Sie tun können, um zu verhindern, dass Ihr Passwort kompromittiert wird, ist die Verwendung wirklich zufälliger Passwörter und niemals Passwörter wiederzuverwenden; hier ist ein Passwortmanager Ihre einzige Wahl.

Neben starker Authentifizierung, welche anderen Sicherheitswerkzeuge glauben Sie, dass jeder in seinen Lebensstil integrieren sollte?

Es gibt viele Tools, aber da die meisten Angriffe per E-Mail erfolgen, würde ich sagen, dass ein richtig guter E-Mail-Dienstleister Ihre erste Verteidigungslinie ist. Gmail und Outlook machen einen wirklich guten Job bei der Vermeidung von Spam, Phishing und dem Blockieren verdächtiger Inhalte. Das zweitwichtigste Werkzeug, das Sie implementieren können, ist die Zwei-Faktor-Authentifizierung. Verwenden Sie es, wo immer Sie können. Wir haben eine Partnerschaft mit Yubico geschlossen, um die Unterstützung von Yubikeys in Psono zu implementieren (neben Alternativen wie Google Authenticator und anderen). Die zweiten Faktoren verhindern die meisten Nachteile, für die Passwörter kritisiert werden.

Teilen Sie uns mit, was als nächstes für Psono ansteht?

Ich weiß nicht, wo ich anfangen soll. Produktmäßig arbeiten wir derzeit an einer neuen Version unseres Webclients, die komplett neu geschrieben wurde. Die App ist eine weitere große Baustelle, da wir sie zur besten App ihrer Klasse für Passwörter machen wollen. Geschäftlich darf ich noch nichts sagen, aber es sind einige große Unternehmen auf dem Weg, die den Kunden breiten Zugang zu Passwortmanagern bieten werden.

geschrieben von Cybernews Team am April 10, 2022

Auf der Suche nach mehr?

Schauen Sie sich unsere neuesten Artikel hier an!