Vaultwarden ist ein Passwortmanager mit dem man seine Passwörter sicher verwahren und zwischen Geräten synchronisieren kann. 

Allgemeines

Warum ein Passwortmanager?

Sichere Passwörter für alle Onlinekonten sind essenziell. "123456", "hallo" und "Passwort" zählen immer noch zu den am häufigsten vorkommenden Passwort-Kombinationen. Für einige ist es deswegen eine Strategie, sich ein besonders komplexes Passwort für alle Accounts zu merken. Doch ist dieses einmal geknackt, können Cyber-Kriminelle auf alle sensiblen Daten zugreifen.
Am sichersten ist es aus diesem Grund, für jeden Account ein eigenes, komplexes Passwort zu haben – wenngleich das bedeutet, sich womöglich mehrere Dutzend von Zugangsdaten merken zu müssen.
Da es keine gute Idee ist, sich all diese Passwörter und Logins irgendwo aufzuschreiben (z. B. auf Post-Its, vielen Zetteln oder in Notizbüchern), hilft ein Passwortmanager dabei, verschiedene, komplexe Passwörter zentral und sicher zu verwalten und bei Bedarf schnell zufinden und abzurufen. Auch erleichtert es die regelmäßige Änderung von Passwörtern, da für einen Login keine verschiedenen Versionen herumliegen und man nicht mehr weiß, welches Passwort das aktuelle ist.

Passwortmanager sind Programme, die Benutzernamen, Passwörter, PINs, Zertifikate und vieles mehr sicher verwahren - mittels Verschlüsselung, eines komplexen Masterpassworts und (optional) einer Zwei-Faktor-Authentifizierung (2FA).
Sie funktionieren ähnlich wie ein Notizbuch, das in einer Schublade eingeschlossen ist und dessen Inhalte somit nur für den Besitzer oder die Besitzerin einsehbar sind.

Zur Verwaltung gibt es Client-Programme für alle Betriebssysteme und beim schnellen Zugriff auf die Login-Daten verschiedener Webseiten helfen Browser-Plugins durch ggf. automatisches Ausfüllen der entsprechenden Login-Felder.

Die Vorteile liegen auf der Hand

Vaultwarden

Vaultwarden ist ein freier Nachbau des kommerziellen Passwortmanagers Bitwarden. Der Verbund der Kunsthochschulen betreibt seit Ende 2023 eine eigene Instanz des Passwortmanagers, weshalb die Daten innerhalb der Hochschule bleiben. Der zentrale Speicher ist verschlüsselt und es haben nur Sie Zugriff auf Ihre Passwörter nach Eingabe Ihres Masterpassworts. Bei Verlust des Passworts besteht kein Zugriff mehr auf Ihre Daten (auch nicht durch einen Administrator).

Der Vorteil von Vaultwarden ist, dass sich Passwörter zwischen unterschiedlichen Geräte durch Clientprogramme synchronisieren lassen. Dazu können die Clients von Bitwarden nahtlos in Browser und auf mobilen Endgeräten genutzt werden. 
Mit diesem Komfort entsteht aber auch das Risiko, dass Dritte Zugriff auf Ihre Passwörter erlangen können, wenn Ihr Masterpasswort kompromittiert wurde. Der Zugriff auf Vaultwarden ist aus dem Internet möglich und bietet daher ein potentielles Risiko mehr, als die lokale Speicherung auf Ihrem Computer, wie sie durch KeePass (ein anderer Passwortmanager) erfolgt.

Wenn Sie Ihre Passwörter auf unterschiedlichen Geräten nutzen müssen oder innerhalb Ihrer Abteilung/Organisation Passwörter teilen möchten (z.B. von gemeinsamen Funktionspostfächern oder bei der gemeinschaftlichen Nutzung von Logins), kann Vaultwarden Sie dabei unterstützen.


Vaultwarden steht Ihnen hier zur Verfügung: https://vault.kunsthochschule-bayern.de und besteht aus folgenden Komponenten:

Da Vaultwarden auf dem weit verbreiteten Passwortmanager Bitwarden basiert, kann als Anwender-Software der jeweilige Client auf den Seiten von Bitwarden heruntergeladen und verwendet werden.


Installation und Konfiguration

Erstmalige Registrierung

Das Erste, was benötigt wird, um unseren Passwortmanager verwenden zu können, ist ein Benutzerkonto am Vaultwarden-Server - dem zentralen Dienst im Netzwerk der Hochschule.
Um dieses einmalig zu erstellen, gehen wir folgendermaßen vor:

  1. Browser öffnen und die Registrierungs-Webseite des Vaultwarden-Dienstes aufrufen: https://vault.kunsthochschule-bayern.de/#/register



  2. Jetzt Hochschul-E-Mail-Adresse und Name eintragen und ein möglichst sicheres Master-Passwort festlegen.
    (Hinweis: Hier sind ausschließlich E-Mail-Adressen der Hochschule zugelassen.)



    Das hier festgelegte Master-Passwort darf niemals verloren gehen. Anderenfalls lässt sich das Konto nicht wieder herstellen - auch nicht durch Administratoren. - Nochmal: auch nicht durch Administratoren!




    • Es sollte ein möglichst sicheres Passwort festgelegt werden, welches mind. 12 Zeichen lang ist, Buchstaben, Zahlen und Sonderzeichen enthält.

    • Um es deutlich zu sagen: Wer das Master-Passwort besitzt, hat zusammen mit der E-Mail-Adresse Zugang zu ALLEN im Passwort-Manager gespeicherten Daten, Zugängen und Passwörtern. Einen wirksamen Schutz davor bietet nur die Aktivierung der Zwei-Faktor-Authentifizierung (2FA). Siehe Abschnitt unten.

    • Im Passwort-Manager sollten keine Master-Passwörter für andere Passwort-Manager-Konten hinterlegt werden. Irgendwie auch klar... 🙄


  3. Zum Schluss auf "Konto erstellen" klicken → Fertig slightly smiling face 

Einrichtung auf dem Computer

Um den Passwortmanager mit dem soeben neu eingerichteten Konto verwenden zu können, benötigen wir noch ein kleines Stück Software auf unserem Computer oder Mobilgerät - den Client.

Da unser Vaultwarden auf dem beliebten Passwort-Manager Bitwarden basiert, müssen wir zuerst den jeweiligen Client für unser Betriebssystem bzw. die Browser-Erweiterung (Plug-in) herunterladen und installieren.
Hierbei unterscheiden wir folgende Client-Programme:

Client-AnwendungWird benötigt für:
Native Bitwarden Client-Anwendung für Windows, Mac oder Linux
  • Verwaltung (Hinzufügen, Löschen und Ändern) von Passwortern und sensiblen Daten und Nachschlagen nach diesen
  • Dieses Programm ist auch hilfreich zum Nachschlagen der Anmelde-Daten für Programme, welche nicht im Browser laufen und somit nicht vom Browser-Plugin automatisch erkannt werden.
Bitwarden-Browser-Erweiterung
  • Nutzung von Zugangsdaten auf Webseiten und Browser-basierten Anwendungen (inkl. autom. Ausfüllen der Login-Daten)

D. h. im einfachsten Fall genügt eines der beiden o. g. Programme - je nachdem, wie wir Vaultwarden nutzen wollen. Meistens ist es aber sinnvoll, beides zu installieren - die native Bitwarden-Client-App UND die entsprechende Browser-Erweiterung für den von uns verwendeten Browser (z. B. Edge, Chrome, Firefox oder Safari).


Den Link für den Download ist hier: 


Da die Installation durch die netten Kollegen der IT man superhero durchgeführt wird, wird in dieser Dokumentation darauf nicht weiter eingegangen und wir kommen gleich zur Konfiguration.


  1. Client nach der Installation das erste Mal starten. Jetzt haben wir die Möglichkeit, unser oben erstelltes Konto einzutragen:


    Hier tragen wir zunächst unsere Hochschul-E-Mail-Adresse ein, wie wir sie für unser Vaultwarden-Konto verwendet haben (z. B. Max.Mustermann@hmtm.de)

  2. Darunter, hinter "Anmelden bei" lässt sich eine Box aufklppen, wo wir jetzt "selbst gehostet" auswählen, weil wir uns ja bei dem Server des Verbunds der Kunsthochschulen Bayern anmelden möchten.
    Hier tragen wir die o. g. Adresse des Servers ein (https://vault.kunsthochschule-bayern.de ): 

    Anschließend klicken wir auf das blaue Disketten-Symbol, um die Einstellung zu speichern und zur Anmeldemaske zurückzukehren.

  3. Jetzt aktivieren wir noch das Häkchen bei "E-Mail-Adresse merken" und klicken auf "Weiter"

  4. Zum Schluss werden wir noch nach unserem Master-Passwort gefragt und bestätigen dies mit einem Klick auf "Mit Master-Passwort anmelden" → Fertig! slightly smiling face 

Die Einrichtung der jeweiligen Browser-Erweiterung erfolgt sehr ähnlich. Nach der Installation muss auch hier einmalig die E-Mail-Adresse und die Adresse des Vaultwarden-Servers hinterlegt und gespeichert werden und fortan genügt das Master-Passwort, um im Browser auf die im Passwortmanager gespeicherten Daten zuzugreifen.


Mehr Sicherheit: Zwei-Faktor-Authentifizierung (2FA)

Wie bereits erwähnt, wäre es furchtbar, wenn Dritte in den Besitz des Masterpassworts gelängen. Damit hätten sie durch den Besitz aller im Vault gespeicherten Zugangsdaten mit einem Schlag Zugriff auf alle enstprechenden Dienste und Webseiten und wären in der Lage, diese zu übernehmen und uns auszusperren. Um dies zu verhindern, ist es eine wichtige Maßnahme, eine oder mehrere weitere Sicherheitsebenen einzuführen, welche dafür sorgen, das der bloße Besitz des Masterpassworts nicht ausreicht, um an die in Vaultwarden gespeicherten Daten zu gelangen.

Mehrere Optionen zur Auswahl

Es gibt dabei unterschiedliche Wege, den Login mit dem Masterpasswort zusätzlich abzusichern, welche allesamt voraussetzen, dass sich der/die Anmeldende im Besitz eines weiteren Zugangs-Wegs oder Geräts (welches ebenfalls abgesichert ist) befindet. Dies kann ein E-Mail-Konto sein oder (viel besser) ein zweites (physisches) Gerät, wie z. B. ein Smartphone oder ein Sicherheitsschlüssel (Hardware-Token, YubiKey etc.).
Hierbei wird beispielsweise auf einem zweiten Weg oder Gerät ein Code generiert (SMS, Authenticator-App, E-Mail...), welchen nur der rechtmäßige Anwender oder die rechtmäßige Anwenderin kennt (im Besitz des Smartphones oder E-Mail-Kontos) und diesen zusätzlich bei der Anmeldung eintippen muss.
Ebenso verbreitet ist die Zwei-Faktor-Authentifizierung über einen biometrischen Faktor - also den Fingerabdruck der entsprechenden Person.

Es wird dringend empfohlen, die Zwei-Faktor-Authentifizierung in Vaultwarden zu aktivieren, um das Risiko des Verlusts oder der Kompromittierung des Kontos und der darin gespeicherten Zugangsdaten und Geheimnisse zu minimieren.

Zwei-Faktor-Authentifizierung einrichten

Eine Zwei-Faktor-Authentifizierung ist ein weiterer wirksamer Schutz vor Verlust oder Kompromittierung eines Passwortes, weil diese Maßnahme zwei Dinge miteinander kombiniert:

In der Praxis kann das so aussehen (Beispiel):

Die nutzende Person meldet sich mit dem Login und Passwort an einem Dienst an. Anschließend wird ein Code abgefragt, welcher für kurze Zeit nur auf dem Gerät im Besitz dieser Person angezeigt wird. Das kann zum Beispiel eine per SMS an das Smartphone geschickte Ziffernfolge sein, ein Fingerabdruck auf dem Smartphone (Biometrie) oder ein Code in einer Authenticator-App. Eine weitere Möglichkeit wäre ein speziell dafür vorgesehener USB-Token (z. B. YubiKey).

Um 2FA zu aktivieren, gehen wir folgendermaßen vor:

  1. Über den Browser am Vault (https://vault.kunsthochschule-bayern.de/) anmelden
  2. Rechts oben im Profil-Menü "Kontoeinstellungen" wählen
  3. Im linken Bereich die Kategorie "Sicherheit" auswählen
  4. den Tab-Reiter "Zwei-Faktor-Authentifizierung" auswählen
  5. hinter der gewünschten Authentifizierungs-Methode den Button "Verwalten" drücken und den weiteren Anweisungen folgen.


Es ist unbedingt zu empfehlen, mehr als eine Authentifizierungsmethode zu verwenden. Sollte mal die eine ausfallen (Yubikey nicht zur Hand oder verloren), kann man bei der Anmeldung eine andere Methode wählen und das Risiko, sich auszusperren, ist zu vernachlässigen.


Weitere Hilfe

Alle weiteren Informationen zu den Client-Tools und den spezifischen Einstellungen entnehmen Sie bitte der offiziellen Dokumentation des Herstellers (nur in Englisch verfügbar): https://bitwarden.com/de-de/help/


Interessante Links