Wer sich mit dem Thema Hacking zum ersten Mal befasst, stößt schnell auf Beiträge zu Tools wie nmap, Wireshark oder gleich das fer­tig kon­fi­gu­rier­ter Hacking‐Betriebssystem zum Download Kali‐Linux. Doch dabei muss man eigent­lich gar nicht so tief in die Materie ein­drin­gen, steht der Sniffer zum Datenschnüffeln doch bereits in vie­len Haushalten und Organisationen zum Einsatz bereit. Die Rede ist von der AVM Fritz!Box!

Glauben Sie nicht? Sie haben eine Fritz!Box in Ihrem Netzwerk? Dann rufen Sie doch ein­fach mal die fol­gen­de URL auf — http://fritz.box/html/capture.html und stau­nen Sie. Zuerst sieht alles aus wie die nor­ma­le Anmelde‐Oberfläche für das Konfigurationsinterface Ihrer Fritz!Box. Sobald Sie sich mit Administrator‐Rechten in dem Login ange­mel­det haben, erscheint eine nicht im Anwender‐Handbuch der Fritz!Box beschrie­be­ne Funktion samt Oberfläche. Willkommen beim inter­nen Schnüffeltool für Ihr Netzwerk!

Screenshot der Capture-Oberfläche der Fritz!Box

Screenshot Capture Oberfläche der Fritz!Box

Jetzt wäh­len Sie nur noch die Schnittstelle aus (die Auswahlmöglichkeiten enden nicht mit die­sem Screenshot, scrol­len Sie ein­fach mal wei­ter nach unten) und drücken den “Start”-Button. Wenn Sie der Meinung sind, genü­gend Informationen an die­ser Schnittstelle mit­ge­schnit­ten zu haben, klicken Sie auf “Stopp” und laden den Mitschnitt auf Ihr Endgerät her­un­ter. Nun reicht ein nor­ma­ler Textbetrachter — oder kom­for­ta­bler der Import in ein Tool wie Wireshark — und Sie haben die kom­plet­te Netzwerkkommunikation im Klartext vor sich — inklu­si­ve genutz­ter Zugangsdaten und Passwörter. Im Klartext, sofern kei­ne ver­schlüs­sel­ten Netzwerkverbindungen wie https oder ande­re für die Übertragung genutzt wur­den. Zahlreiche Programme und Apps, aber auch nicht sen­si­bi­li­sier­te Anwender über­tra­gen Daten unver­schlüs­selt über das Netzwerk. Nutzern soll­te man stets raten, aus­schließ­lich https‐gesicherte Verbindungen im Browser zu nut­zen.

Geht nur mit den gro­ßen Fritz!Boxen von AVM? EIn Trugschluss. Wir haben meh­re­re Modelle begin­nend von der 4020 (ohne DSL Modem) bis hin zur 7490 gete­stet, es geht!

Glauben Sie nicht? Machen Sie doch ein­fach selbst den Test. Aktivieren Sie das Mitschneiden wie oben beschrie­ben an der Schnittstelle, an der Sie mit Ihrem aktu­el­len Gerät ange­schlos­sen sind. Öffnen Sie wei­te­re Browserfenster, sur­fen Sie ein wenig, nut­zen Sie Anmelde‐ oder Registrierungsformulare. Dann zurück zur Fritz!Box-Oberfläche, Stopp, Download und Textbetrachter anwer­fen.

Normalerweise kann die Funktion nur von inner­halb eines Netzwerks auf­ge­ru­fen wer­den. Sollte jedoch der Web‐Zugang zu Ihrer Fritz!Box akti­viert und unsi­cher sein oder ein VPN‐Zugang in Ihr inter­nes Netz kom­pro­mit­tiert sein, dann steht die Anmelde‐Oberfläche auch ande­ren, eher uner­wünsch­ten Nutzern zur Verfügung. Eigentlich selbst­ver­ständ­lich, die Anmelde‐Oberfläche der Fritz!Box mit einem star­ken Passwort zu sichern.

Eigentlich ist die­se Funktion zur Fehleranalyse inte­griert. Wie so oft bei sol­chen Funktionen, kann die­se jedoch auch zu bös­ar­ti­gen Zwecken genutzt wer­den. Sobald Zugang zur Oberfläche der Fritz!Box besteht, ist ein Mitschneiden des Datenverkehrs ALLER ange­schlos­se­nen Geräte mög­lich.

Wer sich nun frisch ans Werk macht, egal ob in sei­ner Behörde, sei­nem Unternehmen oder daheim im Privatnetzwerk, dem sei der Blick auf die Paragraphen 202a, 202b, 202c (Vorbereiten des Ausspähens und Abfangens von Daten), 303a sowie 303b Strafgesetzbuch nahe­ge­legt. Es han­delt sich hier um kein Kavaliersdelikt, son­dern um eine Straftat. Und das gilt auch für den Einsatz im hei­mi­schen pri­va­ten Netzwerk ohne Kenntnis der ande­ren Familienmitglieder / Nutzer. Auch im dienst­li­chen / geschäft­li­chen Umfeld soll­te der Einsatz zuvor mit der Behörden‐/Unternehmensleitung, sowie dem Personal‐/Betriebsrat und dem Datenschutz‐ sowie dem Informationssicherheitsbeauftragten abge­klärt wer­den. Der Einsatz durch einen Mitarbeiter außer­halb der IT und ohne Abstimmung ver­bie­tet sich von selbst.

Update vom 18.02.2018:

AVM hat sich bei uns auf­grund die­ses Artikels gemel­det und betont, die­se Funktion sei für Support‐ und Diagnose‐Zwecke gedacht. Das wird auch nicht bestrit­ten. Leider hat die Medaille zwei Seiten und so kann die­se Funktion auch miß­bräuch­lich zum Einsatz kom­men.

Tipps:

  • Fritz!Box stets mit siche­rem Passwort schüt­zen.
  • Prüfen, ob alle Anwendungen im inter­nen Netz ver­schlüs­selt kom­mu­ni­zie­ren. Wenn nicht, ent­spre­chend kon­fi­gu­rie­ren. Denn nur unver­schlüs­sel­ter Netzverkehr kann im Klartext mit­ge­le­sen wer­den.
  • Anwender dafür sen­si­bi­li­sie­ren, aus­schließ­lich Programme und Apps zu nut­zen, die Verschlüsselung aktiv anbie­ten und nut­zen. Dabei auch das Thema SSL‐Verschlüsselung zum siche­ren Aufruf von Webseiten (https) nicht ver­ges­sen.

Es war nicht unse­re Absicht, dem Hersteller die Absicht zu unter­stel­len, hier ein Spionage‐Tool in Netzwerke ein­zu­schleu­sen. Die Funktion kann jedoch miß­bräuch­lich ver­wen­det wer­den.

Immer wie­der ein Thema bei Veranstaltungen oder auch Webinaren zur Informationssicherheit ist die Frage “Muss ich einen Informationssicherheitsbeauftragten bestel­len?” oder auch “Ist denn ein Informationssicherheitsbeauftragter in mei­ner Organisation not­wen­dig?”.

Wieso Sie an der Bestellung eines Informationssicherheitsbeauftragten (oder wie auch immer Sie die­se Funktion in Ihrer Organisation benen­nen) nicht vor­bei­kom­men und wie die­ser Ihre Investitionen (Zeit und Geld) in Informationssicherheit absi­chert, zei­gen wir Ihnen in unse­rem aktu­el­len Webvideo zum Thema

Der Informationssicherheitsbeauftragte

oder

Einer muss es ja am Laufen hal­ten

auf unse­rem Youtube‐Channel.

Dabei beleuch­ten wir die Notwendigkeiten einer sol­chen Funktion z.B. auf Basis des BayEGovG für baye­ri­sche Kommunen aber auch für Unternehmen abge­lei­tet aus der EU‐Datenschutzgrundverordnung (EU‐DSGVO).

 

Letzte Chance, heu­te am Donnerstag, den  23. März 2017, von 10:00 — 11:00 MEZ: Kostenfreies Webinar zur Einführung und zum Betrieb eines Informationssicherheitskonzepts für Kommunen nach Art. 8 BayEGovG. Auch für klei­ne­re Unternehmen geeig­net im Hinblick auf die Änderungen zur Informationssicherheit im Rahmen der EU‐DSGVO.

Hier geht es zur Anmeldung.

Das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) warnt in einer aktu­el­len Pressemeldung die Administratoren und Nutzer von Owncloud und Nextcloud (einem Fork von Owncloud) vor einer kri­ti­schen Sicherheitslücke. Über 20.000 Installationen in Deutschland sind poten­ti­ell ver­wund­bar. Betroffen sind u.a. gro­ße und mit­tel­stän­di­sche Unternehmen, öffent­li­che und kom­mu­na­le Einrichtungen, Energieversorger, Krankenhäuser, Ärzte, Rechtsanwälte und pri­va­te Nutzer.

Bereits im Februar hat das BSI die Betreiber auf das Sicherheitsrisiko hin­ge­wie­sen. Sehr viel ist seit­her nicht pas­siert, wie man der aktu­el­len Meldung ent­neh­men kann. Lediglich ein Fünftel der infor­mie­ren Einrichtungen hat reagiert und die Schwachstelle geschlos­sen.

Ob die eige­ne Cloud‐Installation betrof­fen ist, kann mit dem Security‐Scanner von Nextcloud online geprüft wer­den. Der BSI‐Präsident redet nicht um den hei­ßen Brei her­um:

Der Betrieb von Clouds mit ver­al­te­ten Software‐Versionen, für die bereits seit lan­ger Zeit Updates der Hersteller bereit­ste­hen, ist fahr­läs­sig und macht es Kriminellen viel zu leicht, sen­si­ble Daten zu steh­len oder Geschäftsprozesse zu beein­flus­sen.”

Sollten Sie in Ihrer Organisation oder pri­vat eine Instanz von Owncloud oder Nextcloud betrei­ben, so prü­fen Sie bit­te zeit­nah unter dem og. Link oder mit­tels des Owncloud Vulnerability Scanners, ob Ihre Installation betrof­fen ist. Generell soll­te eine regel­mä­ßi­ge Prüfung auf Updates und deren Installation selbst­ver­ständ­lich und ein fester wie­der­keh­ren­der Termin im Kalender sein.

Einführung und Betrieb eines Informationssicherheitskonzepts nach Artikel 8 BayEGovG sind für baye­ri­sche Kommunen gesetz­li­che Pflicht (sie­he auch unser Webvideo hier­zu). Und mit der erst­ma­li­gen Einführung ist es noch lan­ge nicht getan. Im Anschluß muss eine ver­ant­wort­li­che Person das Thema Informationssicherheit auch in der Zukunft kom­pe­tent betreu­en. Die Anforderungen sind nicht ohne:

  • Vorgehensweisen zur Identifikation von (neu­en und bestehen­den) Risiken,
  • Vorgehensweisen zur Planung von neu­en Maßnahmen zur Beseitigung oder Minimierung die­ser Risiken,
  • Vorgehensweisen zur kon­ti­nu­ier­li­chen Beschäftigung mit dem Thema in der Organisation („Sicherheitskultur“),
  • Regeln, Richtlinien und Anweisungen für die Organisation und die Mitarbeiter zur Umsetzung und zum Betrieb des Konzepts,
  • Maßnahmen zur kon­ti­nu­ier­li­chen Schulung und Sensibilisierung für Informationssicherheit,
  • Verantwortliche Personen mit aus­rei­chend Ausbildung, Zeit und Mitteln zum Betrieb des Sicherheitskonzepts (Informationssicherheitsbeauftragter).

Bei den eh schon viel­fäl­ti­gen und zahl­rei­chen Aufgaben einer Kommune stellt sich schnell die Frage: “Wer soll das denn noch machen?” a.s.k. Datenschutz hat eine Lösung für Sie!

Wir mit unse­ren exter­nen Informationssicherheitsbeauftragten für baye­ri­sche Kommunen:

  • Zertifizierte Berater betreu­en Sie ab sofort und unter­stüt­zen Sie mit prag­ma­ti­schen Lösungen.
  • Vor‐Ort‐Tätigkeiten in Kombination mit moder­nen Techniken der Zusammenarbeit wie Videokonferenz, Projektplattform und Online‐Schulungen für kom­pe­ten­te und zuver­läs­si­ge Betreuung.
  • Eine Leistung für Einzelkommunen, meh­re­re Kommunen im Rahmen inter­kom­mu­na­ler Zusammenarbeit und Landkreise.
  • Transparente Monatspauschalen zu fai­ren Tarifen.

Auf Wunsch hel­fen wir aber auch bereits bei der Einführung eines Informationssicherheitskonzepts. So haben wir von a.s.k. Datenschutz die Ihnen viel­leicht bereits bekann­te “Arbeitshilfe zur Erstellung eines Informationssicherheitskonzepts nach Art. 8 BayEGovG”  für die Innovationsstiftung Bayerische Kommune und die baye­ri­schen kom­mu­na­len Spitzenverbände ent­wickelt. Weiterhin ist Herr Kuhrau ISIS12‐Berater mit Zusatz Kommunalverwaltung sowie Dozent an der Bayerischen Verwaltungsschule für den Kurs “Zertifizierter Informationssicherheitsbeauftragter (BVS)”. In der Vergangenheit haben wir eben­falls Projekte zur Einführung von Informationssicherheit nach BSI IT‐Grundschutz betreut.

Gerne ste­hen wir Ihnen mit unse­rem Team kom­pe­tent zur Seite.

Flyer und Angebot Externer Informationssicherheitsbeauftragter Kommunen
Flyer und Angebot Externer Informationssicherheitsbeauftragter Kommunen
1702ask_Flyer_ExtISB_DIN-A4_DD.pdf
Version: 1.0
252.6 KiB
532 Downloads
Details
ISIS12 Logo

Bayern unter­stützt Kommunen beim Schutz gegen Cyberangriffe und Datendiebstahl — Weitere 1,4 Millionen Euro für Management‐System zur Informationssicherheit “ISIS12” in 2018

Das Bayerische Staatsministerium des Innern, für Bau und Verkehr hat in sei­ner Pressemitteilung am 09.03.2017 infor­miert, dass nach dem ersten Fördermittelprogramm nun auch in 2018 erneut Informationssicherheit in baye­ri­schen Kommunen finan­zi­ell (mit bis zu 1,4 Millionen Euro) unter­stützt wird.

 „Bürger und Unternehmen müs­sen dar­auf ver­trau­en kön­nen, dass ihre Daten bei der Verwaltung gut und sicher auf­ge­ho­ben sind. Das Modell „ISIS12“, das von einem Netzwerk des so genann­ten Bayerischen IT‐Sicherheitsclusters e. V. in Regensburg ent­wickelt wur­de, bie­tet vor allem klei­ne­ren und mit­tel­gro­ßen Kommunalverwaltungen einen wirk­sa­men wie auch prak­ti­ka­blen Schutz vor Cyberangriffen und Datendiebstahl.“

Bayerische Kommunen, die im vor­he­ri­gen Fördermittelprogramm nicht zum Zuge gekom­men sind, haben nun erneut die Chance, eine Unterstützung von bis zu 15.000 Euro für die Einführung des Informationssicherheitsmanagementsystems (ISMS) ISIS12 zu erhal­ten. Anträge kön­nen auf die­ser Webseite des Sicherheitsclusters elek­tro­nisch gestellt wer­den. Weitere Informationen zur Umsetzung von ISIS12 in Kommunen und Fördermitteln fin­den Sie hier.

Sofern Sie  für die Umsetzung einen zer­ti­fi­zier­ten ISIS12‐Berater mit Zusatz Kommune suchen, Herr Sascha Kuhrau von a.s.k. Datenschutz erfüllt die­se Anforderungen.

Übrigens wur­de ISIS12 ursprüng­lich für klei­ne und mitt­le­re Unternehmen ent­wickelt. Im Hinblick auf die EU‐DSGVO und deren Anforderungen an Informationssicherheit lohnt sich ein Blick auf ISIS12 auch für Unternehmen. Informationssicherheit wird auch für die­se ab Mai 2018 ver­pflich­tend gefor­dert.

Müssen baye­ri­sche Kommunen ein Informationssicherheitskonzept ein­füh­ren?”, die­se Frage wird nach wie vor oft bei Seminaren, Veranstaltungen, tele­fo­nisch und per Mail an uns her­an­ge­tra­gen. Wir haben dies zum Anlass genom­men, hier­zu ein Webvideo zu erstel­len, in dem wir auf die Notwendigkeit und recht­li­chen Grundlagen für die Einführung und den Betrieb eines Informationssicherheitskonzepts ver­tie­fend ein­ge­hen. Denn die Antwort auf die Frage kann nur lau­ten “Ja!”. Wer es nicht glaubt, ist herz­lich dazu ein­ge­la­den, sich in unse­rem Video davon über­zeu­gen zu las­sen.

Sie fin­den das Webvideo ein­ge­bet­tet hier bei uns im Blog oder auf unse­rem neu­en Youtube‐Kanal.

Wie erstel­le ich für mei­ne Behörde ein Informationssicherheitskonzept?“ — Sascha Kuhrau, Berater im kom­mu­na­len Bereich, erklärt im Webinar, wor­auf es ankommt.

Am 01.01.2018 müs­sen alle Rathäuser, Landratsämter sowie Bezirksämter im Freistaat den Nachweis über ein Informationssicherheitskonzept erbrin­gen kön­nen. Hintergrund die­ser Vorgabe ist Artikel 8 BayEGovG, der die Behörden auf­for­dert, die Sicherstellung ihrer infor­ma­ti­ons­tech­ni­schen Systeme zu gewähr­lei­sten und zu die­sem Zweck ent­spre­chen­de Sicherheitskonzepte zu erstel­len – und dies unab­hän­gig von der Größe der Organisation.

Obwohl es bereits meh­re­re Standards gibt, haben Informationssicherheitskonzepte bis­her kei­nen flä­chen­decken­den Einzug in den kom­mu­na­len Behördenalltag gefun­den. Die Innovationsstiftung Bayerische Kommune hat ange­sichts des immer näher rücken­den Stichtags die­se Problematik auf­ge­grif­fen und Ende 2016 kosten­los eine Arbeitshilfe zum Download bereit­ge­stellt, die bei Ausarbeitung und Umsetzung eines Informationssicherheitskonzepts expli­zit die spe­zi­fi­schen Belange von Kommunen berück­sich­tigt. Die Idee hin­ter dem Projekt ist, eine pra­xis­taug­li­che Hilfe zur Selbsthilfe für die­je­ni­gen Kommunen zu schaf­fen, die nicht über aus­rei­chen­de Kapazitäten zur Einführung und Anwendung ande­rer Standards ver­fü­gen.

Die neue Arbeitshilfe stellt per se noch kein Konzept für die jewei­li­ge Kommune dar. „Das Informationssicherheitskonzept gibt es nicht. Tatsächlich unter­schei­den sich die kon­kre­ten Konzepte ver­gleich­ba­rer Einrichtungen deut­lich von­ein­an­der“, erklärt Sascha Kuhrau, erfah­re­ner Sicherheitsberater im kom­mu­na­len Bereich, der das Projekt der Innovationsstiftung Bayerische Kommune feder­füh­rend betreut hat.

Informationssicherheit betrifft immer die gesam­te Organisation einer Behörde und bedeu­tet Arbeit.“

In der Tat ist die Arbeitshilfe so kon­zi­piert, dass erst nach dem Durchlaufen der vier Schritte „Bestandsaufnahme“, „Bewertung“, „Umsetzung“ und „Betrieb” ein Informationssicherheitskonzept in der Behörde ein­ge­führt wird. Im Anschluss ist eine regel­mä­ßi­ge Überprüfung und Anpassung des Konzepts an sich ver­än­dern­de Rahmenbedingungen erfor­der­lich.

Um Kommunen den Einstieg in die­ses weit­rei­chen­de und kom­ple­xe Aufgabenfeld zu erleich­tern, wird die Innovationsstiftung Bayerische Kommune zusam­men mit der AKDB im März meh­re­re Online‐Vorträge als Orientierungshilfe anbie­ten. In der kosten­frei­en Webinarreihe „Sichere Kommune — Informationssicherheitskonzept nach Art. 8 BayEGovG“ infor­miert Referent Sascha Kuhrau, wor­auf bei der Einführung eines Informationssicherheitskonzepts unbe­dingt geach­tet wer­den muss. Des Weiteren gibt er wert­vol­le Tipps zur rich­ti­gen Anwendung der Arbeitshilfe sowie Hinweise, in wel­chen Fällen es sinn­voll ist, exter­ne Informationssicherheitsberater zura­te zu zie­hen.

Generell sind alle Personen, die in der kom­mu­na­len Verwaltung am Thema Informationssicherheit betei­ligt sind, herz­lich ein­ge­la­den, an den Webinaren teil­zu­neh­men. Um jedoch den dif­fe­ren­zier­ten Bedürfnissen ver­schie­de­ner Adressaten von Informationssicherheit gerecht zu wer­den, wird Kuhrau sei­ne Vorträge auf die unter­schied­li­chen Hierarchieebenen und Spezialisierungsgrade im Bereich Informationstechnologie abstim­men. Eröffnet wird die Webinarreihe mit einem Vortrag für die ober­ste Führungsebene. Einführung und Betrieb eines Informationssicherheitskonzepts wird näm­lich nur gelin­gen, wenn die Behördenleitung im vol­len Umfang hin­ter den Zielen der Informationssicherheit und den dafür not­wen­di­gen Maßnahmen steht. Kuhrau ver­deut­licht, dass Informationssicherheit als Strategie auf­zu­fas­sen ist, die nicht ohne Weiteres dele­giert wer­den kann. Anschließend fol­gen zwei Vorträge für Verwaltungsmitarbeiter, die sich auf fach­li­cher Ebene mit Informationssicherheit aus­ein­an­der set­zen wer­den. Da hier­bei abhän­gig von der Größe der Organisation mit unter­schied­li­chen fach­li­chen Vorkenntnissen der Teilnehmer zu rech­nen ist, rich­tet sich ein Webinar an IT‐Experten mit umfas­sen­dem Know‐how und ein wei­te­res Webinar an Mitarbeiter, die neben ande­ren Tätigkeiten in der Verwaltung in begrenz­tem Umfang auch mit IT‐Aufgaben betraut sind.

Die Webinare sind kosten­frei und dau­ern jeweils 45 Minuten. Anmeldung und Informationen zu den system­tech­ni­schen Teilnahmevoraussetzungen fin­den Sie unter www.akdb.de/webinare.

03. März: Führungskräfte, z.B. (Ober-)Bürgermeister, Landräte und Geschäftsleiter

07. März: IT‐Leiter, IT‐Spezialisten sowie wei­te­re am Thema Informationssicherheit betei­lig­te Mitarbeiter

23. März: Verwaltungsmitarbeiter, die u.a. für IT‐Aufgaben ver­ant­wort­lich sind, sowie wei­te­re am Thema Informationssicherheit betei­lig­te Mitarbeiter

Über die Innovationsstiftung Bayerische Kommune

Mit der Innovationsstiftung Bayerische Kommune ver­fü­gen die Kommunen in Bayern über eine in die­ser Form bun­des­weit ein­ma­li­ge Einrichtung. Als gemein­nüt­zi­ge Stiftung des Öffentlichen Rechts im Jahr 2010 durch die Bayerischen Kommunalen Spitzenverbände und die Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB) gegrün­det för­dert sie inno­va­ti­ve IT‐Projekte und Forschungsvorhaben im kom­mu­na­len Bereich. Durch ihre Arbeit beab­sich­tigt die Stiftung, die Modernisierung der Kommunalverwaltung zu unter­stüt­zen und damit auch für die Bürger einen Mehrwert zu schaf­fen. Dieses wie auch die ande­ren Projekte wer­den den baye­ri­schen Kommunen kosten­frei zur Verfügung gestellt und kön­nen über www.bay-innovationsstiftung.de abge­ru­fen wer­den.

Heute ist also der Ändere‐Dein‐Passwort‐Tag. Anwender sol­len die­sen Tag zum Anlass neh­men, ein bewähr­tes Passwort über Bord zu wer­fen, sich ein mög­lichst lan­ges und kom­pe­xes Passwort neu aus­zu­den­ken — und zu mer­ken. Das Ganze mög­lichst für jede Anmeldung und Software sepa­rat. Und wie­so? Na, das ist doch sicher! Und das haben wir ja schon immer so gemacht! Und im Zweifel ver­langt es auch noch die Passwort‐Richtlinie des einen oder ande­ren Unternehmens oder auch der Behörde.

Die Sinnhaftigkeit eines regel­mä­ßi­gen Wechsels darf bezwei­felt wer­den. In unse­rem Beitrag “Über Bord mit ver­al­te­ten star­ren Passwort‐Richtlinien” haben wir im August 2016 bereits auf aller­lei Unfug in der Praxis rund um das Thema Passwort hin­ge­wie­sen. Neben den Mythen Passwortlänge und Kompexität war dar­in das Wechselintervall von Passwörtern eben­falls Thema.

Wenn bei der Auswahl von Passwörtern die vor­han­de­ne Technik (z.B. Accountsperre bei 5 Fehlversuchen) sowie die tat­säch­li­che Bedrohungslage berück­sich­tigt und kon­fi­gu­riert wer­den, gibt es eigent­lich nur drei Anlässe, ein Passwort zu ändern. Kurioserweise befin­det sich unter die­sen 3 weder der Ändere‐Dein‐Passwort‐Tag oder ein star­res Intervall wie 90 Tage :-), son­dern

  • das Passwort wur­de aus­ge­späht, zumin­dest besteht der Verdacht.
  • das Passwort wur­de unnö­ti­ger­wei­se einer Kollegin oder einem Kollegen bekannt­ge­ge­ben, obwohl dazu tech­nisch nor­ma­ler­wei­se gar kein Grund besteht.
  • es han­delt sich um ein Initialisierungspasswort, das nach der Nutzung durch das eigent­li­che Passwort ersetzt wer­den muss.

Und das war es!

Alles ande­re nervt Ihre Anwender, führt im Zweifel zu notier­ten Passwörtern (am Besten gleich per Haftnotiz am Monitorfuss, inklu­si­ve Passwort vom Kollegen) und redu­ziert damit nach­weis­bar das Sicherheitsniveau. Lesen Sie mehr in unse­rem Beitrag vom August 2016.

Wir bean­tra­gen hier­mit die Umbenennung des Ändere‐Dein‐Passwort‐Tages in Überarbeite‐Deine‐Passwort‐Strategie‐generell‐Tag :-) Die Hoffnung stirbt zuletzt.

Ein neu­es Geschäftsmodell hält Einzug. Wie heise.de berich­tet, steht die Ransomware Satan nun kosten­los  zur Verfügung. Über eine Weboberfläche im Tor‐Netz kann sich nun jeder Abenteurer sei­nen eige­nen Kryptotrojaner zusam­men­klicken. So kön­nen nicht nur, aber auch die Erpresserbotschaft und die Höhe des Lösegelds in Bitcoins kon­fi­gu­riert wer­den. Die so erzeug­te Schadsoftware muss dann selbst ver­teilt wer­den. Entsprechende Word‐Makros und infi­zier­te Windows‐Hilfe‐Dateien wer­den mit­ge­lie­fert und unter­stüt­zen dabei.

Ganz kosten­los ist der Service dann aller­dings doch nicht. Gezahlte Lösegelder gehen zuerst an die Drahtzieher hin­ter Satan. Diese brin­gen dann eine “Provision” für den Service in Höhe von 30% in Abzug. Lediglich der Rest geht dann an den Initiator und Trojanerbastler. Je mehr Geräte jedoch infi­ziert wer­den, desto weni­ger Provision soll fäl­lig sein.

Erste Virenscanner erken­nen die mit Satan gene­rier­ten Trojaner bereits. Das ist jedoch kein Grund zur Entwarnung. Bitte sen­si­bi­li­sie­ren Sie Ihre Mitarbeiter.