Ich habe das mal - erst aus Langeweile und Interesse, später aus einem Anlass heraus - etwas weiter durchgespielt und versucht, eine Lösung zu finden, die mit den meisten „alltäglichen“ Unwegbarkeiten klar kommt. Mein Risikoprofil ist jetzt nicht super hoch aber auch nicht nicht existent - ich habe ein Nebengewerbe mit Verantwortung für sensiblen Kundendaten, habe meine eigenen Daten und bei meinem Hauptjob in einem sehr kleinen (<10 MA) Betrieb habe ich Admin-Verantwortung für den betrieblichen PW-Manager, Cloudflare, Domains, … also kann schon ein bisschen was kaputt gehen, wenn was verloren geht oder ich vom Bus überfahren werde, dank Homeoffice liegen auch noch alle meine Geräte in der gleichen Wohnung.
Ich habe erst einmal von meinem Smartphone ein Backup. Darin gesichert auch meine 2FA-App. Meine 2FA-Codes (TOTP) liegen in einer App [OTP Auth] gespeichert, die mir regelmäßige Backups ermöglicht. Diese Backups landen auf meinem NAS daheim, verschlüsselt in der Cloud und etwa 2-3x/Jahr oder nach großen wichtigen Änderungen speichere ich eine Kopie auf zwei USB-Sticks und CD-ROMs. Ein Stick + eine CD landen im Schließfach bei der Bank bzw. werden dort getauscht, ein Set liegt bei mir daheim in einer Schublade. Die Verschlüsselungs-Keys liegen in meinem PW-Manager.
Dann gibt’s meinen Passwort-Manager der auf allen Geräten synchronisiert ist. Abgesichert ist der bei Neu-Einrichtung durch E-Mail + PW + SecretKey (34-stelliger alphanumerischer Schlüssel) + Yubikey, im Alltag durch Passwort des Geräts + Master-Passwort. Master-PW ist im Kopf und an zwei externen Stellen gesichert (Vertrauensperson C und Schließfach), SecretKey liegt an drei Stellen (daheim, Schließfach, Vertrauensperson A) in digitaler und ausgedruckter Form.
Einige Dienste habe ich per Yubikey abgesichert, da läuft es ähnlich: einen habe ich immer am Schlüsselbund, einen habe ich daheim in der Schublade, einen im Schließfach - und einen vierten bei einer Person B, der ich vertraue. Alle haben für die Ersteinrichtung den gleichen Datenstand erhalten und so häufig ändert sich der auch nicht.
Bei der bereits angesprochenen Person C liegt in Papier und digitaler Form eine Kopie eines Teils meines Master-Passwords für meinen PW-Manager. Person A, Person B und Person C wissen nicht voneinander aber wissen beide natürlich, wie relevant die Infos für mich sind. Der zweite Teil vom Passwort liegt im Schließfach.
Ich möchte damit mehrere, zunehmend problematischere Szenarien abdecken:
1. Verlust von Smartphone und Schlüssel unterwegs
Nervig aber nicht problematisch: anderes bereits autorisiertes Gerät nutzen, um Zugang zu PW-Manager zu erlangen. Neues Smartphone aus Backup wiederherstellen.
2. Verlust von Smartphone, Schlüssel und aller Kopien und autorisierter Geräte Zuhause durch z.B. Wohnungsbrand
Erster Schritt: Schließfach aufsuchen, Barreserve entnehmen und neuen Laptop kaufen. Darauf dann mit Yubikey aus Schließfach + Passwort aus Schließfach & von Person C + SecretKey von Person A oder aus Schließfach PW-Manager einrichten, damit dann Stück für Stück alles wiederherstellen.
3. Verlust von allem bisher genannten und meines Gedächtnisses
Sollte ich mich nicht an mein Master-PW und den ganzen oben genannten Schnickschnack erinnern können, weil z.B. beim Hausbrand was passiert ist und ich teilweise meine Erinnerungen verloren habe, wäre das der Weg: In dem Fall habe ich vermutlich ganz andere Probleme, aber nicht an meine Bankkonten etc. zu kommen, ist halt auch nicht so gut. Ich weiß im WorstCase nicht, dass ich ein Schließfach habe und auch nicht, dass ich einen Passwort-Manager habe. Für den Fall sind die Personen entsprechend gebrieft, ich kann dann durch deren Bestandteile den Zugang zum PW-Manager wiederherstellen und finde darin dann eine Anleitung, wie es weiter geht.
4. Ich sterbe
Für diesen Fall erhält meine Familie Zugang zu meinem PW-Manager (siehe 3.) und durch Nachlass-Regelungen (wie bspw. Apple Nachlasskontakt) auch zu meinen Geräten. Bei meinem Arbeitgeber gibt’s einen zweiten Admin, der gleiche Rechte hat und für mein Nebengewerbe liegen alle wichtigen Infos im PW-Manager, könnten also von meiner Familie geregelt werden.
Klingt vielleicht paranoid und übertrieben, ich habe aber letztes Jahr erst feststellen müssen, wie schnell es gehen kann, dass man sich nicht mehr an die einfachsten Dinge erinnert. Hatte durch Krankheit ziemlich Gedächtnis-Probleme, teilweise Namen mir nahestehender Personen nicht mehr gewusst und auch manche meiner wichtigen Passwörter nicht mehr. Danach habe ich meinen persönlichen „DisasterRecovery“-Plan entsprechend angepasst und wie oben beschrieben ausgeweitet.
Vereinfacht gesagt ist meine Strategie die: möglichst viel in einem Ort (PW-Manager) ablegen und diesen dafür bestmöglich schützen und gleichzeitig so erreichbar machen, dass ich auch im Worst Case nicht ausgesperrt bin.
Gleichzeitig verteile ich das Risiko, das nicht nur bei mir was schief geht - nur wenn gleichzeitig mein Gedächtnis versagt, meine Wohnung abbrennt und Schließfach oder/und Person C ausfallen, habe ich ein Problem. Das Risiko schätze ich als überschaubar ein.