Open-Source-Adventskalender: Der Passwort-Manager KeePass

Open Source ist eine Insel im kommerzialisierten Internet. Bis zum 24. Dezember öffnet heise online jeden Tag "Kalendertürchen" mit dem Porträt eines Projekts.

Lesezeit: 5 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 101 Beiträge

(Bild: Semisatch/KOALA STOCK/Shutterstock.com/heise online)

Von
  • Stefan Mey

Dies ist ein Adventskalender für Techies. In der durchkommerzialisierten digitalen Welt gehört fast alles zu einem Internet-Großkonzern. Deren Software ist weder offen noch frei. Als Gegenentwurf gibt es diese kleine Insel der Open-Source-Welt: Software, deren Code öffentlich einsehbar ist und unabhängig auf mögliche Sicherheitslücken und Hintertüren überprüft werden kann. Software, die frei genutzt, verbreitet und verbessert werden kann. Der Antrieb für die Arbeit ist oft schlicht die Freude, der Gesellschaft etwas Nützliches zur Verfügung zu stellen.

Der Open-Source-Adventskalender

Vom 1. bis zum 24. Dezember werden auf heise online Kurzporträts von Open-Source-Projekten erscheinen. In denen geht es um die Funktionen der jeweiligen Software, die Tücken, die Geschichte, die Hintergründe und die Finanzierung. Hinter einigen Projekten steht eine Einzelperson, hinter anderen eine lose organisierte Community, eine straff geführte Stiftung mit Hauptamtlichen oder ein Konsortium. Die Arbeit geschieht rein ehrenamtlich, oder sie finanziert sich über Spenden, Kooperationen mit Internetkonzernen, staatliche Förderung oder ein Open-Source-Geschäftsmodell. Egal, ob Einzelanwendung oder komplexes Ökosystem, ob PC-Programm, App oder Betriebssystem – die Vielfalt von Open Source ist überwältigend.

KeePass hilft beim Verwalten von Passwörtern. Ein schlankes Projekt made in Baden-Württemberg mit einem großen Ökosystem. KeePass ist eine Passwortverwaltung für PC, primär für Windows. 2020 wurde KeePass etwa 7,3 Millionen Mal heruntergeladen, allen voran aus Deutschland und den USA. Die Software steht unter einer GNU GPLv2-Lizenz. Es gibt etwa 180 Plug-ins und Erweiterungen, die beispielsweise eine sichere Cloud-Anbindung ermöglichen.

KeePass konzentriert sich auf Kernfunktionen und ist mit wenigen Klicks installiert und eingerichtet. Man legt manuell Passworteinträge an, auf Wunsch auch in verschiedenen Gruppen. Wer noch kein gutes Passwort hat, kann sich eines von KeePass zusammenwürfeln lassen.

Über ein kleines Symbol oder über einen rechten Mausklick kopiert man die Informationen später wieder heraus. Web-Passwörter kann man automatisch ausfüllen lassen, wenn der Aufbau des Login-Fensters der jeweiligen Website das erlaubt. Der Zugriff auf die KeePass-Datenbank ist mit einem Hauptpasswort geschützt.

KeePass ist primär für Windows-Geräte entwickelt. Über einen Workaround lässt sich das Programm aber auch auf anderen Systemen nutzen. Für ganz verschiedene Kontexte listet die KeePass-Website mehrere Dutzend Forks auf, etwa KeePassXC (für Windows, macOS und Linux), Keepass2Android (für Android) sowie KeePassium (für iOS).

KeePass und die vielen Schwesterprogramme gehören zum Standardkanon digitaler Selbstverteidigung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt KeePass, ein Tool-Kit der US-amerikanischen Electronic Frontier Foundation (EFF) rät zu KeePassXC. 2016 hat die EU-Kommission eine umfangreiche Sicherheitsüberprüfung finanziert und 2019 war KeePass Teil eines Bug-Bounty-Programms der Europäischen Kommission.

Wie die Fahrplanauskunfts-App Öffi ist KeePass größtenteils ein Ein-Personen-Projekt: Hinter KeePass steht der Entwickler Dominik Reichl, der in Metzingen bei Stuttgart lebt.

Auf seiner Website listet Reichl noch acht andere Software-Projekte auf, etwa KeeGen, ein Passwort-Generator für Windows sowie VisualHash und ReHash zur Berechnung von Hash-Summen. Sein Fokus, so Reichl gegenüber heise online, liegt aber klar auf KeePass.

Gerade ist KeePass volljährig geworden: Vor 18 Jahren, am 15. November 2003 hat Reichl KeePass als Projekt auf Sourceforge.net angelegt, zwei Tage später folgte die erste Version. Das Programm hat er komplett selbst geschrieben, erzählt er heise online: "Der Grund, mit der Entwicklung von KeePass zu beginnen, war einfach, dass es zu diesem Zeitpunkt keinen Passwortmanager gab, der mir gefallen hat."

Reichl bittet auf seiner Website um Spenden und hat Werbung eingebunden. KeePass entwickelt er im Kern alleine. Drumherum gibt es aber eine kleine Community: Etwa 75 Leute helfen bei Übersetzungen, mittlerweile lassen sich rund 50 Sprachpakete installieren. Um die 140 Menschen steuern die 180 Plug-ins und Erweiterungen bei und eine kleine Gruppe von Leuten beantwortet Support-Anfragen.

Und dann gibt es noch ein erstaunlich großes Ökosystem von etwa 50 verwandten Programmen und Forks. Zwar würden sich manche User eine "offizielle" KeePass-App für alle möglichen Kontexte wünschen, so Reichl. Dafür habe er aber keine Zeit und freue sich über die Arbeit der anderen: "Ich konzentriere mich lieber auf die Entwicklung von KeePass für PCs und bin froh, dass andere Entwickler KeePass-kompatible Apps für andere Systeme erstellen."

Die Arbeit an der Artikelreihe basiert in Teilen auf einem "Neustart Kultur"-Stipendium der Beauftragten der Bundesregierung für Kultur und Medien, vergeben durch die VG Wort.

Siehe auch:

(olb)