
Reinfall. Aviras Passwort-Manager ließ sich von Phishing-Angriffen gefälschter Websites überlisten – so auch von diesen Facebook- und GMX-Fakes. Die erbeuteten Passwörter sind im Screenshot an den roten Buchstaben zu erkennen. © Screenshot Stiftung Warentest
Aviras Passwort-Manager fiel auf Phishing-Versuche herein und gefährdete so die Sicherheit seiner Nutzer. Auf Hinweis der Stiftung Warentest hat Avira das Problem gelöst.
Avira bringt Passwörter, Daten und Geld in Gefahr
Eigentlich sind Passwort-Manager eine tolle Sache: Sie basteln höchst komplizierte Passwörter, nehmen uns die Last ab, lauter Kennwörter im Kopf zu behalten – und fallen nicht so leicht auf Phishing rein wie Menschen. Eigentlich. Der Avira Password-Manager offenbarte jedoch Anfang April eine brisante Sicherheitslücke.
Wir beobachteten, wie er auf gefälschten Websites automatisch Passwörter eingab.
Bei den Seiten handelte es sich um Imitate von Portalen wie GMX, Facebook oder Paypal, die ein IT-Sicherheitsforscher erstellt hatte. Obwohl die Fälschungen relativ simpel gestaltet waren, ließ sich das Avira-Programm davon austricksen. Eine solche Panne bringt unter anderem E-Mails, private Dokumente und in manchen Fällen auch das Geld von Nutzerinnen und Nutzern in Gefahr.
Lücke geschlossen, Programme aktualisiert
Nur Browser-Plug-ins betroffen. Die gute Nachricht: Avira hat schnell reagiert und die Sicherheitslücke nach unserem Hinweis in allen betroffenen Versionen (Browser-Plug-ins für Chrome, Edge, Firefox, Opera und Safari) geschlossen. Laut Anbieter bestand das Problem bereits seit Ende 2019 – es betraf alle Nutzerinnen und Nutzer, die die standardmäßig voraktivierte Auto-fill-Funktion der Plug-ins verwendeten. Bei der Desktop-Anwendung und den mobilen Apps trat die Sicherheitslücke nicht auf.
In der Regel kein Handlungsbedarf. Nutzerinnen und Nutzer brauchen nicht aktiv zu werden – die Plug-ins aktualisieren sich automatisch, solange die Update-Funktion nicht vom Anwender deaktiviert wurde. Ob der Fehler tatsächlich von Angreifern missbraucht wurde, um Passwörter zu erbeuten, ist unklar. Avira teilte uns mit: „Es wurden keine Hinweise auf eine mögliche Ausnutzung der Sicherheitslücke gefunden.“ Ganz ausschließen lässt sich das aber nicht.
Auto-fill deaktivieren. Wenn Sie die Auto-fill-Funktion abschalten, trägt der Passwort-Manager Ihre Log-in-Daten nicht mehr automatisch ein, sondern erst auf Ihren Befehl. Das reduziert zwar den Komfort, gibt Ihnen aber mehr Kontrolle, um Phishing-Versuche zu vereiteln.
So geht‘s: Im Browser auf das Avira-Plug-in klicken > Zahnrad-Symbol anklicken > Regler für „Auto-fill Anmeldeformular“ von rechts nach links ziehen.
Fälschung selbst für Menschen leicht zu erkennen
Grund für den Fehler war ein nachlässiges Vorgehen beim Phishing-Schutz. Phishing-Attacken laufen häufig so ab: Kriminelle erstellen gefälschte Websites und locken ihre Opfer mit Links in E-Mails oder Kurznachrichten dorthin. Da die Seiten oft täuschend echt aussehen, geben viele Nutzerinnen und Nutzer ihre Anmeldedaten dort ein, um sich (vermeintlich) in ihren E-Mail-, Banking- oder Social-Media-Account einzuloggen. Und schwupps haben die Angreifer in vielen Fällen alles, was sie brauchen, um fremde Konten zu kapern und beispielsweise Daten abzugreifen oder Zahlungen auszulösen.
Passwort-Manager sind eigentlich für robusten Schutz gegen Phishing-Versuche bekannt, da sie üblicherweise mehrere Parameter überprüfen, ehe sie Log-in-Daten eingeben – darunter etwa die URL, also die Adresse der jeweiligen Seite. Lautet diese beispielsweise fakebook.com statt facebook.com, rückt das Programm nichts raus.
Doch das Browser-Plug-in des Avira Password Managers machte einen Fehler: Obwohl die Adressen der vom Sicherheitsforscher erstellten Phishing-Seiten massiv von den URLs der Original-Portale abwichen, fügte das Programm die Passwörter ein – Angreifer hätten sie abfangen können.
Wie Sie sich und Ihre Daten schützen
Beschäftigen Sie sich mit dem Thema Datensicherheit. Wir haben zehn Tipps für sicheres Surfen für Sie. Unser Special Datenklau verhindern gibt weitere Hinweise, wie Sie sich vor Phishing-Angriffen schützen können. Um noch sicherer zu sein, stärken Sie die eigenen Abwehrkräfte am besten mit der Mehr-Faktor-Authentifizierung.
Sind Passwort-Manager überhaupt sinnvoll?
Wenn ein Programm, das Passwörter schützen soll, Passwörter freigiebig an Phishing-Seiten verteilt, stellt sich natürlich die Frage, ob es überhaupt sinnvoll ist, ein solches Programm zu verwenden.
Auch wenn Sicherheitslücken wie die hier beschriebene schwerwiegende Folgen haben können, überwiegen unseres Erachtens die Vorteile: Zwar können auch Passwort-Manager keine hundertprozentige Sicherheit garantieren – doch sie bieten im Normalfall wesentlich mehr Sicherheit als von Menschen geschaffene Passwörter.
Menschen können sich eine Vielzahl verschiedener Kennwörter nur schlecht merken und tendieren daher zu relativ einfachen oder mehrfach verwendeten Passwörtern. Ein Passwort-Manager hingegen ist in der Lage, Tausende hochkomplexe, lange Kennwörter zu speichern. Benjamin Barkmeyer, IT-Sicherheitsexperte bei der Stiftung Warentest, zitiert frei nach Troy Hunt: „Ein Passwort-Manager muss nicht perfekt sein – er lohnt sich schon, wenn er besser ist als sein Nutzer.“
Tipp: Welche Software Sie mit starken Passwörtern schützt, zeigt unser Passwort-Manager-Test.
-
- Antiviren-Apps wehren Schadsoftware und Phishing ab. Unser Test von Sicherheits-Apps für Android zeigt: Viele Programme schützen gut. Ganz vorn liegt eine Gratis-App.
-
- Die Programme erstellen starke Passwörter und schützen vor Angriffen. Auf sie zu verzichten, kann teuer werden. Doch im Test fanden wir nicht nur zuverlässige Manager.
-
- Hacker, Viren, Sicherheitslücken – im Internet lauern viele Gefahren. Stiftung Warentest zeigt mit 10 Tipps, wie Sie PC, Handy und Konten vor Angreifern schützen.
Diskutieren Sie mit
Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.