Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

KeePass Sicherheitsaudit zeigt keine kritischen Sicherheitslücken!

M.Sc. Chris Wojzechowski

Der KeePass Sicherheitsaudit ist fertig. Zuerst bekommen es die Entwickler zu sehen, um mittlere und leichte Sicherheitslücken nachzubessern. Kritische Sicherheitslücken enthält aber weder KeePass noch der Apache Webserver. So viel wurde bereits verraten.

Die EU bezahlt Apache & KeePass Sicherheitsaudit

Es ist ein richtiger und wichtiger Schritt von der EU, Sicherheitsaudits für Open Source Software zu bezahlen1. Software die von der Gemeinschaft entwickelt wird, wird zwar von vielen benutzt – selten jedoch von Fachpersonal geprüft.

Bevor aber drauf los auditiert worden ist, wurde abgestimmt2. Gewonnen haben, mit Abstand, Apache mit 18,7% und KeePass mit 23,1%. Zur weiteren Auswahl stand auch Software wie MySQL, Drupal, Notepad++ oder VeraCrypt. Letzteres hat am Ende doch noch ein Sicherheitsaudit erhalten, bei dem sogar kritische Fehler gefunden worden sind.

KeePass hat keine kritischen Sicherheitslücken – war das Sicherheitsaudit überflüssig?

Gewiss nicht. Gerade beim Passwort Manager & Generator steht und fällt der Erfolg mit der Sicherheit der Software. Ist diese nicht überprüft, könnte man Zweifel bei der Verwendung bekommen. Aus diesem Grund war die Überprüfung nötig! Auch wenn sich Sicherheitslücken nicht vollkommen ausschließen lassen, und durch Updates wieder ins Spiel gebracht werden können, ist es beruhigend den aktuellen Status zu kennen! Ganz ohne Sicherheitslücken ist nämlich auch KeePass nicht. Es wurden 5 mittlere und 3 leichte Sicherheitslücken3 gefunden!


Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!


Meine Meinung zu öffentlich geförderten Sicherheitsaudits und deren Ergebnisse!

Sicherheitsaudits sind teuer – Open Source Software i.d.R. kostenlos. Die lange Vermutung, dass sich Open Source Software durch freiwillige Mitarbeit auf ein höheres Niveau heben lässt, ist falsch. Um so besser ist es, dass sich die EU verpflichtet fühlt diese in Auftrag zu geben4. Dass die EU abstimmen lässt, welche Software im speziellen auditiert werden soll, ist ein ebenfalls sinnvoller Schritt! Nachdem in der Vergangenheit Sicherheitslücken wie z.B. Heartbleed lange Zeit unentdeckt bleiben konnten, ist dass die richtige Richtung um so einen Vorfall in Zukunft zu vermeiden bzw. das Risiko zu minimieren! In Zeiten von Diskussionen um Vorratsdatenspeicherung und Backdoors, ein EU Projekt welches hoffen lässt!

Für die, die KeePass auch mobil einsetzen wollen, ist der Blick auf KeePass Touch vielleicht etwas wert. Wer generell Cross-Plattform unterwegs ist der kann auch auf KeePassXC zurückgreifen.

Weitere Informationen und Quellen

[1] EU-Fossa project submits results of code audits (ec.europa.eu)
[2] VeraCrypt bekommt Sicherheitsaudit (technique-blog)
[3] KeePass audit: no critical security vulnerabilities found (ghacks.net)
[4] KW 31 – Yahoo gehackt, Apache und KeePass erhalten Sicherheitsaudit (…) (technique-blog)


Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.


Foto des Autors

M.Sc. Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin einer von zwei Geschäftsführern der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.