Häufig gestellte Fragen (FAQ) zum Thema Sicherheit
Dieser Artikel behandelt häufig gestellte Fragen (FAQs) zum Thema Sicherheit.
A: Sie können uns aus mehreren Gründen vertrauen:
Bitwarden ist eine Open-Source-Software. Unser gesamter Quellcode wird auf GitHub gehostet und ist für jeden frei einsehbar. Tausende von Softwareentwicklern verfolgen die Quellcode-Projekte von Bitwarden (und das sollten Sie auch!).
Bitwarden wird von renommierten externen Sicherheitsfirmen und unabhängigen Sicherheitsforschern geprüft.
Bitwarden speichert Ihre Passwörter nicht. Bitwarden speichert verschlüsselte Versionen Ihrer Passwörter, die nur Sie entsperren können. Ihre sensiblen Daten werden lokal auf Ihrem persönlichen Endgerät verschlüsselt, bevor sie an unsere Cloud-Server übertragen werden.
Bitwarden hat ein hervorragendes Renomee. Bitwarden wird von Millionen von Privatpersonen und Unternehmen genutzt. Wenn wir etwas Fragwürdiges oder Riskantes tun würden, wären wir schon längst nicht mehr im Geschäft!
Trauen Sie uns immer noch nicht? Das müssen Sie auch nicht: Open Source ist wunderbar. Sie können den gesamten Bitwarden-Stack einfach selbst hosten. Sie haben die Kontrolle über Ihre Daten. Mehr dazu erfahren Sie hier.
A: Bitwarden ergreift extreme Vorsichtsmaßnahmen, um sicherzustellen, dass die Webseiten, Anwendungen und Cloud-Server sicher sind. Bitwarden nutzt Microsoft Azure Managed Services, um die Serverinfrastruktur und -sicherheit zu verwalten, anstatt dies direkt zu übernehmen.
Sollte Bitwarden aus irgendeinem Grund gehackt und Ihre Daten offengelegt werden, sind Ihre Informationen immer noch durch starke Verschlüsselung und Einweg-Salted-Hashing-Maßnahmen für Ihre Tresordaten und Ihr Master-Passwort geschützt.
A: Nein.
Ihre Daten werden vollständig verschlüsselt und/oder gehasht, bevor sie Ihr lokales Gerät verlassen, so dass niemand aus dem Bitwarden-Team jemals Ihre echten Daten sehen, lesen oder nachvollziehen kann. Bitwarden-Server speichern nur verschlüsselte und gehashte Daten. Weitere Informationen darüber, wie Ihre Daten verschlüsselt werden, finden Sie unter Verschlüsselung.
A: Nein.
Wir hinterlegen das Master-Passwort nicht lokal oder im Arbeitsspeicher. Ihr Verschlüsselungsschlüssel (abgeleitet vom Master-Passwort) wird nur im Arbeitsspeicher aufbewahrt, während die Anwendung entsperrt ist, und wird benötigt, um Daten in Ihrem Tresor zu entschlüsseln. Wenn der Tresor gesperrt wird, werden diese Daten aus dem Arbeitsspeicher gelöscht.
Außerdem laden wir den Renderer-Prozess der Anwendung nach 10 Sekunden Inaktivität auf dem Sperrbildschirm neu, um sicherzustellen, dass alle verwalteten Speicheradressen, die noch nicht gelöscht wurden, bereinigt werden. Wir tun unser Bestes, um sicherzustellen, dass alle Daten, die sich im Speicher befinden, damit die Anwendung funktionieren kann, nur so lange dort hinterlegt werden, wie Sie sie benötigen, und dass der Speicher bereinigt wird, sobald die Anwendung gesperrt wird. Wir betrachten die verschlüsselten Daten der Anwendung als völlig sicher, solange sich die Anwendung in einem gesperrten Zustand befindet.
A: Wenn die IP-Adresse eines neuen Geräts mit keiner bekannten IP-Adresse übereinstimmt (Heimnetzwerk, Arbeitsnetzwerk, mobiles Netzwerk usw.), ändern Sie Ihr Master-Passwort und stellen Sie sicher, dass die zweistufige Anmeldung für Ihr Konto aktiviert ist. Außerdem sollten Sie in den Einstellungen Ihres Web-Tresors alle Sitzungen deaktivieren, um die Abmeldung auf allen Geräten zu erzwingen. Wenn Sie glauben, dass Ihre Tresor-Elemente gefährdet sein könnten, sollten Sie Ihre Passwörter entsprechend ändern.
A: Bitwarden ist mit den folgenden Richtlinien konform:
DSGVO. Lesen Sie hier mehr.
CCPA. Lesen Sie hiere mehr.
HIPAA. Lesen Sie hier mehr.
SOC 2 Typ 2. Lesen Sie hier mehr.
SOC 3. Lesen Sie hier mehr.
Weitere Informationen finden Sie auf unserer Seite zu Sicherheit und Compliancee.
A: Bitwarden ist DSGVO-konform und verwendet genehmigte Datenübertragungsmechanismen, einschließlich EU-Standardvertragsklauseln (SCCs) gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Europäischen Rats, die durch den Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021 genehmigt wurden, wie derzeit unter https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?locale=de dargelegt. Für Geschäfts- und Unternehmenskunden kann Bitwarden die Bitwarden-Datenschutzvereinbarung anwenden.
Die Bitwarden-Cloud wird derzeit via Microsoft Azure in den Vereinigten Staaten gehostet. Derzeit bedient Bitwarden mit dieser Infrastruktur Millionen von Nutzern, einschließlich Regierungs- und Unternehmenskunden in ganz Europa und der Welt.
Für Kunden, die volle Kontrolle über die Datenresidenz benötigen, kann Bitwarden alternativ auch separat auf ihrer eigenen Infrastruktur gehostet werden.
Alle in Bitwarden gespeicherten Tresor-Daten, egal ob in der Cloud oder selbst gehostet, unterliegen Ende-zu-Ende-Verschlüsselung und sind für niemanden außer dem Bitwarden-Nutzer zugänglich. Mit dieser Ende-zu-Ende Zero-Knowledge-Verschlüsselungsarchitektur kann selbst Bitwarden nicht auf Ihre Daten zugreifen.
Eine vollständige Liste der Bitwarden Sicherheits- und Compliance-Zertifizierungen finden Sie unter https://bitwarden.com/compliance/.
F: Welche Dienste, Programmbibliotheken oder Identifikatoren von Drittanbietern werden in meinem Bitwarden-Konto verwendet?
A: In den mobilen Anwendungen wird Firebase Cloud Messaging (oft fälschlicherweise für einen Tracker gehalten) nur für Push-Benachrichtigungen im Zusammenhang mit der Synchronisierung verwendet und führt absolut keine Tracking-Funktionen aus. Microsoft Visual Studio App Center wird für Absturzberichte auf einer Reihe von mobilen Geräten verwendet. Im Web-Tresor werden die Skripte von Stripe und PayPal nur für die Zahlungsabwicklung auf Zahlungsseiten verwendet.
Für diejenigen, die jegliche Kommunikation mit Drittanbietern ausschließen möchten, werden Firebase und Microsoft Visual Studio App Center vollständig aus dem F-Droid-Build entfernt. Außerdem wird durch das Ausschalten von Push-Benachrichtigungen auf einem selbst gehosteten Bitwarden-Server die Verwendung des Push-Relay-Servers deaktiviert.
Bitwarden nimmt die Sicherheit und den Datenschutz der Nutzer ernst. Bitwarden unterhält eine sichere Ende-zu-Ende-Verschlüsselung ohne Kenntnis des Verschlüsselungscodes. Als ein Unternehmen, das sich auf Open Source konzentriert, laden wir alle ein, unsere Bibliotheksimplementierungen jederzeit auf GitHub zu überprüfen.
A: Verwenden Sie eine Richtlinie für Unternehmen, die in einem Enterprise-Abonnement enthalten ist. Sie können auch die Duo MFA-Integration aktivieren, um 2FA/MFA für Ihre Organisation zu erzwingen. Weitere Informationen finden Sie unter Zwei-Faktor-Anmeldung via Duo.
A: Siehe Zertifikatsoptionen für eine vollständige Liste und Anleitungen.
A: Das Vertrauen in die Sicherheit unserer Systeme ist für Bitwarden von größter Bedeutung. Alle vorgeschlagenen Code-Änderungen werden von einem oder mehreren Mitgliedern des Teams (die den Code nicht selbst geschrieben haben) überprüft, bevor sie in die Codebasis eingefügt werden können. Der gesamte Code durchläuft mehrere Test- und Qualitätssicherungs-Umgebungen, bevor er in Betrieb genommen wird. Bitwarden hat einen SOC 2-Bericht in Auftrag gegeben, um unsere internen Verfahren zu prüfen und zu validieren. Wie in dem Bericht erwähnt, unterliegt unser Team einer strengen Hintergrundprüfung und gründlichen Interviewprozessen. Da es sich bei Bitwarden um ein Open-Source-Produkt handelt, ist auch eine Peer-Review unseres Codes jederzeit willkommen. Das Team von Bitwarden ist bestrebt, alles zu tun, damit sich unsere Nutzer wohl fühlen und ihre Daten sicher sind.
A: Die Antwort hängt von der jeweiligen Information und der Client-Anwendung ab:
Offline Tresor-Sitzungen laufen nach 30 Tagen ab.
Ausgenommen mobile Client-Anwendungen, die nach 90 Tagen ablaufen.
Zweistufige Anmeldung mit der Option Eingeloggt bleiben verfällt nach 30 Tagen.
Der Synchronisierungscache von Directory Connector wird nach 30 Tagen geleert.
Organisationseinladungen laufen nach 5 Tagen ab. Selbst gehostete Kunden können dies über eine Umgebungsvariable konfigurieren.
A: Zuerst besorgen Sie sich die aktuelle yaml-Datei für die entsprechende Version (z. B. latest-linux.yml) und das entsprechende Release-Paket (z. B. Bitwarden-1.33.0-amd64.deb). Erzeugen Sie einen SHA512-Hash des heruntergeladenen Veröffentlichungspakets (z. B. sha512sum Bitwarden-1.33.0-amd64.deb) und konvertieren Sie den erzeugten Hex-Wert in Base64. Vergleichen Sie den berechneten Base64-Wert mit dem sha512:-Wert aus der yaml-Datei, um ihn zu validieren.
A: Bitwarden ist überzeugt, dass die Zusammenarbeit mit Sicherheitsexperten auf der ganzen Welt entscheidend für die Sicherheit unserer Nutzer ist. Wenn Sie glauben, ein Sicherheitsproblem in unserem Produkt oder Dienst gefunden zu haben, bitten wir Sie, einen Hinweis über unser HackerOne-Programm einzureichen. Wir arbeiten gerne mit Ihnen zusammen, um das Problem umgehend zu beheben. Erfahren Sie mehr über unsere diesbezüglichen Grundsätze.
A: itwarden verwendet administrative Daten, um Ihnen den Bitwarden-Dienst zur Verfügung zu stellen. Wie aus einigen Berichten zum Datenschutz innerhalb der Anwendungen hervorgeht, geben Benutzer bei der Kontoerstellung die folgenden Informationen an:
Ihr Name (optional).
Ihre E-Mail-Adresse (wird für die E-Mail-Verifizierung, die Kontoverwaltung und die Kommunikation zwischen Ihnen und Bitwarden verwendet).
Zusätzlich wird Ihrem Gerät ein von Bitwarden generierter gerätespezifischer GUID (Globally Unique Identifier; manchmal auch als Geräte-ID bezeichnet) zugewiesen. Dieser GUID wird verwendet, um Sie zu benachrichtigen, wenn sich ein neues Gerät in Ihrem Tresor anmeldet.
A: Ein häufig geteilter Artikel deutet auf eine Schwachstelle bei Electron-Apps hin. Der erwähnte Angriff setzt jedoch voraus, dass ein Benutzer einen kompromittierten Rechner hat, was es einem böswilligen Angreifer natürlich ermöglichen würde, Daten auf diesem Rechner zu kompromittieren. Solange Sie keinen Grund zu der Annahme haben, dass das von Ihnen verwendete Gerät kompromittiert wurde, sind Ihre Daten sicher.
A: Browser-Erweiterungen sind sicher, wenn sie korrekt entwickelt wurden. Aufgrund der Art und Weise, wie Browser-Erweiterungen funktionieren, besteht immer die Möglichkeit, dass ein Fehler auftritt. Wir gehen bei der Entwicklung unserer Erweiterungen und Add-ons mit äußerster Sorgfalt und Vorsicht vor, wir halten unsere Augen und Ohren offen für alles, was in der Branche passiert, und wir führen Sicherheitsprüfungen durch, um alles im Blick zu behalten.
A: Bei der Installation bittet die Browser-Erweiterung um die Erlaubnis, auf Ihre Zwischenablage zuzugreifen, um die zeitgesteuerte Funktion zum Löschen der Zwischenablage nutzen zu können (zu erreichen über Optionen).
Wenn diese optionale Funktion aktiviert ist, werden alle Bitwarden-Einträge, die in einem konfigurierbaren Zeitraum gemacht oder ausgefüllt wurden, aus der Zwischenablage gelöscht. Der Zugriff auf die Zwischenablage ermöglicht es Bitwarden, dies zu tun, ohne ein nicht mit der Bitwarden-Anwendung verbundenes Zwischenablage-Element zu entfernen, indem das zuletzt kopierte Element mit dem zuletzt kopierten Element aus dem Tresor verglichen wird. Bitte beachten Sie, dass diese Funktion standardmäßig ausgeschaltet ist.
A: Die Bitwarden-Apps für Android und iOS fragen möglicherweise nach den folgenden Berechtigungen, während Sie die App verwenden:
Berechtigung | Grund |
|---|---|
Erlauben Sie Bitwarden, Fotos und Videos aufzunehmen? | Um QR-Codes für die zweistufige Anmeldung oder Bitwarden Authenticator zu scannen. |
Erlauben Sie Bitwarden den Zugriff auf Fotos und Medien auf Ihrem Gerät? | Um Anhänge zu erstellen oder eine auf Ihrem Gerät gespeicherten Datei zu mit Bitwarden Send zu schicken. |
Weitere grundlegende Berechtigungen, die Bitwarden benötigt, sind im Google Play Store aufgeführt.
A: Version 1.48.0 der Browser-Erweiterung aktiviert die biometrische Entsperrung für Browser-Erweiterungen.
Diese Berechtigung, auch bekannt als nativeMessaging, kann man sicher erteilen. Sie erlaubt der Browser-Erweiterung, mit der Bitwarden-Anwendung für den PC zu kommunizieren, was erforderlich ist, um das Entsperren mit Biometrie zu aktivieren.
Beachten Sie, dass Sie bei der Aktualisierung Ihres Browsers auf diese Version möglicherweise aufgefordert werden, eine neue Berechtigung namens "Kommunikation mit kooperierenden nativen Anwendungen" (in Chromium-basierten Browsern) oder "Nachrichtenaustausch mit anderen Programmen als Firefox" zu erteilen. Wenn Sie diese Erlaubnis nicht erteilen, bleibt die Erweiterung deaktiviert.
A: Bitwarden verwendet FIPS-konforme Programmbibliotheken und Kryptografie, jedoch hat die Bitwarden-Plattform keine FIPS-Zertifizierungen durchgeführt. Die meisten FIPS-Installationen von Bitwarden nutzen die Self-Hosting-Option, um Evaluierungen (z.B. Cybersecurity Maturity Model Certification) zu erleichtern. FIPS steht für Federal Information Processing Standard (Bundesstandard für Informationsverarbeitung in den USA).
A: Wenn Sie Bitwarden selbst hosten, können Sie benutzerdefinierte Firewall- und NGINX-Konfigurationen sowie VPN/VLAN-Zugriffskontrolle verwenden, um die Gerätetypen und/oder den Zugriff auf die Netzwerkebene für Ihre Bitwarden-Infrastruktur zu bestimmen. Sie können auch andere Tools wie Zertifikate auf Geräteebene verwenden, um den Zugriff bestimmter Geräte auf die Bitwarden-Instanz zu kontrollieren.
A: Ja! Die Bitwarden PC-Anwendung ist für Windows als portable .exe-Datei verfügbar und kann hier heruntergeladen werden. Die portable Anwendung eignet sich besonders gut für Umgebungen, in denen man ständig offline ist, oder für Szenarien, in denen eine automatische Aktualisierung der Anwendung nicht erwünscht ist. Die portable Anwendung aktualisiert sich nicht selbst.