1Password fing vor vielen Jahren an als Passwort-Manager für den Mac. Anfangs war es noch ein Aufsatz für den Mac-Schlüsselbund, dann kam ein eigenes Dateiformat für die Passwort-Speicher, verschiedene weitere Informationen konnten abgelegt werden, Synchronisation per Dropbox, WLAN, iCloud oder einfach über einen lokalen Ordner kamen genau so dazu, wie Clients für iOS, Android und Windows. Auch ein Export der Datenbank als JavaScript-Datei war möglich, so dass man auf die Daten auch unter Linux einfach per Browser zugreifen konnte. Dateien können ebenso in 1Password gesichert, als auch die Felder eines Datensatzes beliebig zusammengestellt werden. Man hat es mit einer komplett verschlüsselten Datenbank mit einem komfortablen Client und Erweiterungen für alle großen Browser zu tun. So mauserte sich 1Password, trotz des eher hohen Preises, durch ständig neue Features zu einem der beliebtesten Passwort-Manager in der Apfel-Welt und darüber hinaus.
Dann kam das Abo-Modell. Zuerst für Teams, für Familien und schließlich auch für Einzeluser.
Agile Bits bot nun nicht mehr nur die Software an, auch die Synchronisation und ein Zugriff via Cloud gehörten nun zum Angebot. Natürlich alles bei 1Password.com selbst gespeichert, weil „1Password.com die beste Art sei, Passwörter zu speichern, zu synchronisieren und zu teilen“. Ohne Frage, das funktioniert auch gut und ist gerade für verteilte Teams eine echte Arbeitserleichterung, wenn man einfach gemeinsam einen Passwort-Speicher nutzt. Das konnte man zwar vorher schon per Dropbox oder Sync über einen eigenen Server realisieren, aber hier konnte es durchaus auch mal zu Problemen kommen, wenn das Timing von Änderungen nicht ganz passte. Ist mir persönlich in den ganzen Jahren zwar nur ein einziges Mal passiert und natürlich hatte ich Backups, aber trotzdem. Solche Probleme sollten mit dem eigenen Cloud-Service von 1Password nicht vorkommen.
Man hat auch alles versucht, den Kunden zu erklären, wie sicher 1Password.com wäre: Es würden nur die verschlüsselten Daten gespeichert, die Keys zur Entschlüsselung würden niemals auf Servern von 1Password abgelegt, entschlüsselt würde immer nur im Client, ob es die App oder der Browser wäre. Aber es geht hier natürlich um einen Bereich, in dem viele Menschen lieber paranoid sind, als am Ende auf die Schnauze zu fallen. Schließlich ist 1Password nicht Open Source, wirklich sicher nachprüfen kann man das alles also nicht und bevor wirklich sensible Daten in die falschen Hände geraten, synchronisiert man dann doch lieber lokal, zumindest teilweise, was ja bisher auch ging…
Nun möchte 1Password den Druck auf die Nutzer erhöhen, doch nun bitte auf den hauseigenen Clouddienst zu wechseln. Den Anfang machte vor einiger Zeit die Windows-Version von 1Password 6, aus der von einem Build auf den anderen die Möglichkeit zum Anlegen und kompletten Nutzen anderer 1Password-Datenbanken als denen in der hauseigenen Cloud des Anbieters gestrichen wurde. Was auf dem Mac und in den mobilen Clients also noch problemlos möglich ist – einen Tresor für die besonders sensiblen Daten nicht via Cloud, sondern lokal via WLAN synchronisieren – geht mit der Windows-Version so nicht mehr. Das ist jetzt zwar schon ein paar Tage her, aber aktuell kocht die Diskussion bei Twitter und im Forum bei 1Password wieder hoch.
Die Kunden sind – nicht ohne Grund – besorgt, dass sie gezwungen werden sollen, auf das Abo-Modell zu wechseln und ihre sensiblen Daten bei 1Password zu speichern. Dies sei nicht so, beteuert man bei 1Password, man könne weiterhin Stand-Alone-Lizenzen erwerben, aber im Falle der Windows-Version müsste man dann halt bei Version 4 bleiben, denn die aktuelle Version 6 sei nur noch für den eigenen Cloud-Dienst ausgelegt. Nun war 1Password für Windows der Mac-Version immer hinterher, auch in Sachen Aussehen und Usability, so dass nachvollziehbar ist, dass dies für viele Kunden, die über die Jahre einiges an Geld bei 1Password gelassen haben, keine wirkliche Option ist.
Und leider ist die Kommunikation seitens 1Password gerade nicht geeignet, hier Vertrauen aufzubauen. Man zieht sich darauf zurück, dass die eigenen Server eine Top-Uptime hätten, ja alles verschlüsselt gespeichert sei und man ja auch bei einem lokalen Tresor auf 1Password angewiesen sein, schließlich könnte nur die App die Daten korrekt entschlüsseln. Es sei auch kein Unterschied, wo die Daten gespeichert werden, man habe immer als einziger Zugriff auf seine Daten, niemand sonst. Das mag zwar alles korrekt sein, aber es geht hier nun einmal um sehr sensible Daten und gerade Menschen aus dem Sicherheitsbereich neigen hier zu einer gewissen Paranoia – ob berechtigt oder nicht, sei dahin gestellt. Auch die Formulierungen in Hinblick auf die weiteren Pläne sind sehr schwammig: Man plane „at the moment“ nicht, die Funktion für lokale Tresore aus den Apps zu entfernen und natürlich könne jeder User unabhängig von irgendwelchen Änderungen seine alte Version ja weiter verwenden (bis sie aus anderen Gründen möglicherweise nicht mehr funktioniert).
Diese Leute sind es aber auch, die von anderen Anwendern nach Empfehlungen gefragt werden und nun mal ganz ehrlich: Wer empfiehlt eine Software, wenn er von dieser nicht überzeugt ist oder Bedenken bezüglich des aktuellen oder zukünftigen Geschäftsmodell des Anbieters hat? Das dürften nicht viele sein.
Natürlich soll es jedem Anbieter eine Software oder Dienstleistung selbst überlassen bleiben, wie das eigene Geschäftsmodell aussieht, aber wenn es sich um Software und Dienstleistungen handelt, bei denen es um die Sicherheit geht, sollte man als Anbieter in der eigenen Kommunikation peinlichst genau darauf achten, den Nutzern das Gefühl zu vermitteln, dass sie es hier mit einem vertrauenswürdigen Partner zu tun haben, der ihnen nicht plötzlich Funktionen streicht, auf die sie angewiesen sind. Diese Art der Kommunikation gelingt 1Password derzeit leider nicht…
Übrigens: Als Alternative zu 1Password wird von verschiedenen Nutzern derzeit Enpass empfohlen. Enpass ist für noch mehr Clients verfügbar und positioniert sich selbst recht deutlich als 1Password-Alternative. Preislich ist Enpass auf jeden Fall die bessere Wahl: die Desktop-Version ist kostenlos, während man für die mobilen Apps mit einmalig US$9.99 dabei ist. Synchronisieren kann über Cloud-Speicher oder WebDAV (also zum Beispiel ein eigener ownCloud-Server). Für Umsteiger gibt es auch Anleitungen zur Migration, zum Beispiel unter macOS.
