Sicherheit: Lastpass, nimm die Tracker aus dem Passwortmanager!

Für einen Passwortmanager sind Datenschutz und Sicherheit substantiell - immerhin vertraut man ihm den Zugang zum eigenen digitalen Leben an. Doch in der Android-App von Lastpass stecken sieben Trackingdienste - dabei lässt sich Lastpass ab März eigentlich nur noch sinnvoll gegen Geld nutzen.

Bei vermeintlich kostenlosen Diensten lässt sich die Sache mit dem Tracking und der Werbung ja noch nachvollziehen, insbesondere, wenn man zwischen dem Bezahlen mit Daten oder Geld wählen kann. Doch wenn ich einem Dienst Geld dafür bezahle, erwarte ich, dass er mich wenigstens nicht überwacht und verfolgt.

Lastpass sieht das offensichtlich anders: Der Trackingscanner Exodus findet mit Analytics, Crashlytics, Firebase Analytics und dem Tag Manager gleich vier Bibliotheken des Datensammlers Google. Dazu kommen die Trackingdienste Appsflyer, Mixpanel und Segment. Diese sieben Trackingdienste - in älteren Versionen der App waren es gar elf - überwachen beispielsweise, wie eine App verwendet wird, und erstellen Verhaltensanalysen. Dinge, die man bei einem Passwortmanager, für den man obendrein auch noch Geld bezahlt, nicht sehen will.

Mit Tracking gibt es kein Vertrauen und keine Sicherheit

Allein aus Sicherheitsgründen will man keine Binärbibliotheken von Drittanbietern in seinem Passwortmanager haben, von denen man nie so genau weiß, was sie eigentlich zu welchem Zeitpunkt für Daten absaugen oder anfragen und welche Sicherheitslücken sie mitbringen könnten. Ich muss meinem Passwortmanager vertrauen können - wie soll das verdammt noch mal mit Trackingbibliotheken möglich sein?

Um eine Ahnung davon zu bekommen, was bei der Lastpass-App nach einem Start so alles rausgeschickt wird, hat der Sicherheitsforscher Mike Kuketz das Datensendeverhalten mitgeschnitten. Allein beim Start der App - ohne jedwede Nutzerinteraktion - wurden gleich sechs Trackingdienste kontaktiert und Informationen zur Android-Version, zum verwendeten Smartphone, aber auch zum Lastpass-Kontentyp (beispielsweise Free) und zum Mobilfunkanbieter übermittelt.

Auch der anschließend durchgeführte Registrierungsvorgang wurde vom Tracker Segment begleitet. Der Nutzungsalltag der App wird lückenlos überwacht: Wird beispielsweise ein Bankkonto hinterlegt, wird der Vorgang direkt an die Trackingdienste gemeldet, inklusive Typ - in dem Fall: Bankkonto, sonst beispielsweise Passwort oder Adresse. Dazu kommen der Erstellungszeitpunkt, weitere Metadaten, das Vertragsverhältnis (Premium-Trial, Family-Konto), die IP-Adresse und eine Fülle von Daten zu dem verwendeten Gerät.

Selbst die Information, in welcher Ansicht der Nutzer sich gerade befindet, wird laut Kuketz übermittelt. Dazu kommt die Android Werbe-ID, mit der sich die von verschiedenen Apps gesammelten Daten einem Gerät und damit meist einer Person zuordnen lassen - in den jeweiligen Datensammlungen der Trackingdienste.

Was genau geht es Google noch mal an, dass ich ein Bankkonto oder ein Passwort in meinem Passwortmanager hinterlege? Warum sollte das Nutzungsverhalten meines Passwortmanagers von Werbe- und Überwachungsfirmen analysiert und gemeinsam mit anderen Apps ein Persönlichkeitsprofil über mich erstellt werden? Einen solchen Passwortmanager möchte ich schlicht nicht nutzen.

Passwortmanager und Tracker: Es ist nicht kompliziert, es ist schlimm!

Leider sieht es bei den meisten anderen Passwortmanagern auch nicht besser aus: Von Dashlane über Nordpass bis hin zu den Passwortmanagern von AV-Firmen wie Avira oder Trend Micro setzen alle auf Trackingdienste in ihren Apps. Dabei lassen sich nicht wenige ihre Cloud- und Synchronisationsdienste bezahlen.

Selbst Open-Source-Projekte wie Bitwarden (Test) binden in der App im Play Store einen externen Tracker ein. Immerhin ist eine Version für den alternativen App Store F-Droid trackerfrei. Von den kommerziellen Diensten ist 1Password (Test) hervorzuheben, die keine Tracker in ihrer Android-App integrieren - allerdings ist diese nicht Open Source.

Ebenfalls trackerfrei sind KeepassDX und Keepass2Android (Test), die das Android-Äquivalent zu Keepass oder KeepassXC sind. Diese bringen allerdings keinen eigenen Cloud- und Synchronisationsdienst mit - aber das kann ja auch ein Vorteil sein. Erst recht, wenn man etwas spenden kann, statt bezahlen zu müssen und dafür auch noch getrackt wird.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).