Beiträge

20. IuK Tage Gunzenhausen — Informationssicherheit in der Verwaltung

Zwei Jahrzehnte IuK-Sicherheit in der Verwaltung

Am 19. und 20. September 2017 (Dienstag und Mittwoch) fin­den die 2o. IuK Tage in Gunzenhausen statt. Die rasan­te tech­ni­sche Entwicklung bie­tet den Behörden enor­me Potentiale. Damit ein­her gehen ent­spre­chen­de Risiken, denen sich eine digi­ta­le Verwaltung stel­len muss.

Programm der 20. IuK Tage Gunzenhausen

Wie jedes Jahr haben sich die Organisatoren, die Bayerische Akademie für Verwaltungsmanagement in Zusammenarbeit mit den Bayerischen Kommunalen Spitzenverbänden zu den recht­li­chen und tech­ni­schen Anforderungen Gedanken gemacht. Als Ergebnis erwar­tet die Teilnehmer ein breit­ge­fä­cher­tes Programm zu aktu­el­len Themen:

  • E-Government in Bayern: Rechtliche und tech­ni­sche Aspekte
  • EU-Datenschutz-Grundverordnung: Auswirkungen auf die IT
  • Der Betrieb eines Informationssicherheitskonzeptes — wie­so es mit der Bestandsaufnahme nicht getan ist
  • Status Quo und Quo Vadis der kom­mu­na­len IT
  • Arbeit 4.0: arbeits- und daten­schutz­recht­li­che Aspekte
  • Die neue Entgeltordnung: Zur Einordnung von IT-Beschäftigten
  • Rechtssicheres Scannen in der Praxis
  • Technik von mor­gen — wie wir uns heu­te schon dar­auf vor­be­rei­ten können

a.s.k. Datenschutz Referent und Ansprechpartner für das Thema Informationssicherheit

Wir freu­en uns, auch in die­sem Jahr als Referent für das Thema Informationssicherheit und als Teilnehmer der zwei­tä­gi­gen Veranstaltung mit dabei sein zu dürfen.

Die Stadt Gunzenhausen sorgt — wie jedes Jahr — für ein unter­halt­sa­mes Abendprogramm.

Haben wir Ihr Interesse geweckt? Hier erhal­ten Sie wei­te­re Informationen zu den 20. IuK Tagen Gunzenhausen

 

 

 

 

Aufatmen bei bayerischen Kommunen — Umsetzungsfrist Informationssicherheitskonzept nach Artikel 8 BayEGovG soll verlängert werden

Nach aktu­el­ler Rechtslage sind baye­ri­sche Kommunen gemäß Artikel 8 BayEGovG ver­pflich­tet, bis zum 01.01.2018 ein Informationssicherheitskonzept ein­zu­füh­ren und zu betrei­ben. Nach Verabschiedung des BayEGovG im Dezember 2015 hat die­se kur­ze Umsetzungsfrist für eini­ge Aufregung unter baye­ri­schen kom­mu­na­len Einrichtungen gesorgt. Doch jetzt ist wahr­schein­lich Aufatmen angesagt.

Der Gesetzentwurf der Staatsregierung zur Errichtung des Landesamts für Sicherheit in der Informationstechnik LT-Drs. 17/17726 vom 11.07.2017 sieht nun vor, dass die­se Verpflichtung erst am 01.01.2019 in Kraft tritt (vgl. Ziffer 11 b des Gesetzentwurfs).

Eine sol­che Verlängerung darf jedoch nicht zum Nachlassen der Bemühungen um eine ange­mes­se­ne IT-Sicherheit führen. Vielmehr soll­te die Zeit genutzt wer­den, um eine sorgfältige Auswahl der rich­ti­gen Maßnahmen und des kom­pe­ten­ten Beraters vor­zu­neh­men und eine kosten­be­wuss­te Auftragsvergabe durchzuführen”, so der Bayerische Gemeindetag in sei­ner heu­ti­gen Stellungnahme zum Thema.

Das Team von a.s.k. Datenschutz unter­stützt baye­ri­sche Kommunen bei der Auswahl und Einführung eines geeig­ne­ten Informationssicherheitskonzepts wie BSI IT-Grundschutz, ISIS12, Arbeitshilfe der Innovationsstiftung (Autor Herr Sascha Kuhrau von a.s.k. Datenschutz) oder auch VDS 3473. Zur Sicherstellung des zukünf­ti­gen Betriebs des Sicherheitskonzepts stellt a.s.k. Datenschutz auf Wunsch auch den exter­nen Informationssicherheitsbeauftragten (ISB) für baye­ri­sche Kommunen. Regelmäßige Vor-Ort-Tätigkeiten  (mind. 1 x Monat) und die Zusammenarbeit über Videokonferenzen, voll­ver­schlüs­sel­te Projektplattform, Email und Telefon stel­len den Betrieb des Konzepts und damit die Erhaltung der kom­mu­na­len Investitionen in die­ses Thema sicher.

Externer Informationssicherheitsbeauftragter für bayerische Kommunen

Einführung und Betrieb eines Informationssicherheitskonzepts nach Artikel 8 BayEGovG sind für baye­ri­sche Kommunen gesetz­li­che Pflicht (sie­he auch unser Webvideo hier­zu). Und mit der erst­ma­li­gen Einführung ist es noch lan­ge nicht getan. Im Anschluß muss eine ver­ant­wort­li­che Person das Thema Informationssicherheit auch in der Zukunft kom­pe­tent betreu­en. Die Anforderungen sind nicht ohne:

  • Vorgehensweisen zur Identifikation von (neu­en und bestehen­den) Risiken,
  • Vorgehensweisen zur Planung von neu­en Maßnahmen zur Beseitigung oder Minimierung die­ser Risiken,
  • Vorgehensweisen zur kon­ti­nu­ier­li­chen Beschäftigung mit dem Thema in der Organisation („Sicherheitskultur“),
  • Regeln, Richtlinien und Anweisungen für die Organisation und die Mitarbeiter zur Umsetzung und zum Betrieb des Konzepts,
  • Maßnahmen zur kon­ti­nu­ier­li­chen Schulung und Sensibilisierung für Informationssicherheit,
  • Verantwortliche Personen mit aus­rei­chend Ausbildung, Zeit und Mitteln zum Betrieb des Sicherheitskonzepts (Informationssicherheitsbeauftragter).

Bei den eh schon viel­fäl­ti­gen und zahl­rei­chen Aufgaben einer Kommune stellt sich schnell die Frage: “Wer soll das denn noch machen?” a.s.k. Datenschutz hat eine Lösung für Sie!

Wir mit unse­ren exter­nen Informationssicherheitsbeauftragten für baye­ri­sche Kommunen:

  • Zertifizierte Berater betreu­en Sie ab sofort und unter­stüt­zen Sie mit prag­ma­ti­schen Lösungen.
  • Vor-Ort-Tätigkeiten in Kombination mit moder­nen Techniken der Zusammenarbeit wie Videokonferenz, Projektplattform und Online-Schulungen für kom­pe­ten­te und zuver­läs­si­ge Betreuung.
  • Eine Leistung für Einzelkommunen, meh­re­re Kommunen im Rahmen inter­kom­mu­na­ler Zusammenarbeit und Landkreise.
  • Transparente Monatspauschalen zu fai­ren Tarifen.

Auf Wunsch hel­fen wir aber auch bereits bei der Einführung eines Informationssicherheitskonzepts. So haben wir von a.s.k. Datenschutz die Ihnen viel­leicht bereits bekann­te “Arbeitshilfe zur Erstellung eines Informationssicherheitskonzepts nach Art. 8 BayEGovG”  für die Innovationsstiftung Bayerische Kommune und die baye­ri­schen kom­mu­na­len Spitzenverbände ent­wickelt. Weiterhin ist Herr Kuhrau ISIS12-Berater mit Zusatz Kommunalverwaltung sowie Dozent an der Bayerischen Verwaltungsschule für den Kurs “Zertifizierter Informationssicherheitsbeauftragter (BVS)”. In der Vergangenheit haben wir eben­falls Projekte zur Einführung von Informationssicherheit nach BSI IT-Grundschutz betreut.

Gerne ste­hen wir Ihnen mit unse­rem Team kom­pe­tent zur Seite.

Flyer und Angebot Externer Informationssicherheitsbeauftragter Kommunen
Flyer und Angebot Externer Informationssicherheitsbeauftragter Kommunen
1702ask_Flyer_ExtISB_DIN-A4_DD.pdf
Version: 1.0
252.6 KiB
179 Downloads
Details

Orientierungshilfe Informationssicherheit für Kommunen (Webinar)

Wie erstel­le ich für mei­ne Behörde ein Informationssicherheitskonzept?“ — Sascha Kuhrau, Berater im kom­mu­na­len Bereich, erklärt im Webinar, wor­auf es ankommt.

Am 01.01.2018 müs­sen alle Rathäuser, Landratsämter sowie Bezirksämter im Freistaat den Nachweis über ein Informationssicherheitskonzept erbrin­gen kön­nen. Hintergrund die­ser Vorgabe ist Artikel 8 BayEGovG, der die Behörden auf­for­dert, die Sicherstellung ihrer infor­ma­ti­ons­tech­ni­schen Systeme zu gewähr­lei­sten und zu die­sem Zweck ent­spre­chen­de Sicherheitskonzepte zu erstel­len – und dies unab­hän­gig von der Größe der Organisation.

Obwohl es bereits meh­re­re Standards gibt, haben Informationssicherheitskonzepte bis­her kei­nen flä­chen­decken­den Einzug in den kom­mu­na­len Behördenalltag gefun­den. Die Innovationsstiftung Bayerische Kommune hat ange­sichts des immer näher rücken­den Stichtags die­se Problematik auf­ge­grif­fen und Ende 2016 kosten­los eine Arbeitshilfe zum Download bereit­ge­stellt, die bei Ausarbeitung und Umsetzung eines Informationssicherheitskonzepts expli­zit die spe­zi­fi­schen Belange von Kommunen berück­sich­tigt. Die Idee hin­ter dem Projekt ist, eine pra­xis­taug­li­che Hilfe zur Selbsthilfe für die­je­ni­gen Kommunen zu schaf­fen, die nicht über aus­rei­chen­de Kapazitäten zur Einführung und Anwendung ande­rer Standards verfügen.

Die neue Arbeitshilfe stellt per se noch kein Konzept für die jewei­li­ge Kommune dar. „Das Informationssicherheitskonzept gibt es nicht. Tatsächlich unter­schei­den sich die kon­kre­ten Konzepte ver­gleich­ba­rer Einrichtungen deut­lich von­ein­an­der“, erklärt Sascha Kuhrau, erfah­re­ner Sicherheitsberater im kom­mu­na­len Bereich, der das Projekt der Innovationsstiftung Bayerische Kommune feder­füh­rend betreut hat.

Informationssicherheit betrifft immer die gesam­te Organisation einer Behörde und bedeu­tet Arbeit.“

In der Tat ist die Arbeitshilfe so kon­zi­piert, dass erst nach dem Durchlaufen der vier Schritte „Bestandsaufnahme“, „Bewertung“, „Umsetzung“ und „Betrieb” ein Informationssicherheitskonzept in der Behörde ein­ge­führt wird. Im Anschluss ist eine regel­mä­ßi­ge Überprüfung und Anpassung des Konzepts an sich ver­än­dern­de Rahmenbedingungen erforderlich.

Um Kommunen den Einstieg in die­ses weit­rei­chen­de und kom­ple­xe Aufgabenfeld zu erleich­tern, wird die Innovationsstiftung Bayerische Kommune zusam­men mit der AKDB im März meh­re­re Online-Vorträge als Orientierungshilfe anbie­ten. In der kosten­frei­en Webinarreihe „Sichere Kommune — Informationssicherheitskonzept nach Art. 8 BayEGovG“ infor­miert Referent Sascha Kuhrau, wor­auf bei der Einführung eines Informationssicherheitskonzepts unbe­dingt geach­tet wer­den muss. Des Weiteren gibt er wert­vol­le Tipps zur rich­ti­gen Anwendung der Arbeitshilfe sowie Hinweise, in wel­chen Fällen es sinn­voll ist, exter­ne Informationssicherheitsberater zura­te zu ziehen.

Generell sind alle Personen, die in der kom­mu­na­len Verwaltung am Thema Informationssicherheit betei­ligt sind, herz­lich ein­ge­la­den, an den Webinaren teil­zu­neh­men. Um jedoch den dif­fe­ren­zier­ten Bedürfnissen ver­schie­de­ner Adressaten von Informationssicherheit gerecht zu wer­den, wird Kuhrau sei­ne Vorträge auf die unter­schied­li­chen Hierarchieebenen und Spezialisierungsgrade im Bereich Informationstechnologie abstim­men. Eröffnet wird die Webinarreihe mit einem Vortrag für die ober­ste Führungsebene. Einführung und Betrieb eines Informationssicherheitskonzepts wird näm­lich nur gelin­gen, wenn die Behördenleitung im vol­len Umfang hin­ter den Zielen der Informationssicherheit und den dafür not­wen­di­gen Maßnahmen steht. Kuhrau ver­deut­licht, dass Informationssicherheit als Strategie auf­zu­fas­sen ist, die nicht ohne Weiteres dele­giert wer­den kann. Anschließend fol­gen zwei Vorträge für Verwaltungsmitarbeiter, die sich auf fach­li­cher Ebene mit Informationssicherheit aus­ein­an­der set­zen wer­den. Da hier­bei abhän­gig von der Größe der Organisation mit unter­schied­li­chen fach­li­chen Vorkenntnissen der Teilnehmer zu rech­nen ist, rich­tet sich ein Webinar an IT-Experten mit umfas­sen­dem Know-how und ein wei­te­res Webinar an Mitarbeiter, die neben ande­ren Tätigkeiten in der Verwaltung in begrenz­tem Umfang auch mit IT-Aufgaben betraut sind.

Die Webinare sind kosten­frei und dau­ern jeweils 45 Minuten. Anmeldung und Informationen zu den system­tech­ni­schen Teilnahmevoraussetzungen fin­den Sie unter www.akdb.de/webinare.

03. März: Führungskräfte, z.B. (Ober-)Bürgermeister, Landräte und Geschäftsleiter

07. März: IT-Leiter, IT-Spezialisten sowie wei­te­re am Thema Informationssicherheit betei­lig­te Mitarbeiter

23. März: Verwaltungsmitarbeiter, die u.a. für IT-Aufgaben ver­ant­wort­lich sind, sowie wei­te­re am Thema Informationssicherheit betei­lig­te Mitarbeiter

Über die Innovationsstiftung Bayerische Kommune

Mit der Innovationsstiftung Bayerische Kommune ver­fü­gen die Kommunen in Bayern über eine in die­ser Form bun­des­weit ein­ma­li­ge Einrichtung. Als gemein­nüt­zi­ge Stiftung des Öffentlichen Rechts im Jahr 2010 durch die Bayerischen Kommunalen Spitzenverbände und die Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB) gegrün­det för­dert sie inno­va­ti­ve IT-Projekte und Forschungsvorhaben im kom­mu­na­len Bereich. Durch ihre Arbeit beab­sich­tigt die Stiftung, die Modernisierung der Kommunalverwaltung zu unter­stüt­zen und damit auch für die Bürger einen Mehrwert zu schaf­fen. Dieses wie auch die ande­ren Projekte wer­den den baye­ri­schen Kommunen kosten­frei zur Verfügung gestellt und kön­nen über www.bay-innovationsstiftung.de abge­ru­fen werden.

Wie sicher ist Ihre Bank?

Ja, ich bin beken­nen­der Nutzer von Online-Banking. Nein, ich sehe da kei­nen Widerspruch zum Thema Sicherheit. Das mag man­cher für blau­äu­gig hal­ten, jedoch gibt es durch­aus eini­ge Schutzmaßnahmen, die zum Thema Sicherheit beitragen:

  • Nutzung nur von Endgeräten mit aktu­el­len Patches, Sicherheitsfixes, Updates und natür­lich akti­vem und aktu­el­lem Virenscanner
  • Nutzung (und Kontrolle bei jeder Nutzung) von ver­schlüs­sel­ten Verbindungen im Browser zum Banking-Portal
  • Kein Online Banking über öffent­li­che Hot Spots
  • Trennung von Banking App und TAN Generator auf ver­schie­de­nen Endgeräten
  • und vie­le mehr.

Doch was nützt es, wenn die­se Maßnahmen durch bana­le Dinge unter­lau­fen werden?

Meine Nachricht an die Bank vom 11.08.2016:

Sehr geehr­te Damen und Herren! Es ist sehr unglück­lich, dass bei der SMS TAN die TAN direkt zu Beginn der Nachricht steht. Auf einem iPho­ne wird bei akti­vier­ter SMS Anzeige im Sperrbildschirm somit jedem die TAN ange­zeigt, der das Gerät in den Händen hält. Das hebelt den eigent­li­chen Schutz ja wie­der aus.”

bank1

Ich war etwas über­rascht, mei­ne Bank reagier­te noch am sel­ben Tag:

Sehr geehr­ter Herr Kuhrau,

vie­len Dank für Ihre Nachricht.

Sie haben eine Frage zum mTAN-Verfahren, die wir Ihnen ger­ne beant­wor­ten. bei Smartphones mit dem Betriebssystem iOS oder Android haben Sie die Möglichkeit, die Anzeige der Nachrichten im Sperrbildschirm aus­zu­blen­den. Somit wird Ihnen ange­zeigt, von wem Sie eine Nachricht erhal­ten haben aller­dings ohne den Inhalt der Nachricht.

Bei wei­te­ren Fragen sind wir ger­ne Ihr Ansprechpartner. Sie errei­chen unse­re Kundenbetreuung Montag bis Samstag von 07:00 bis 22:00 Uhr tele­fo­nisch unter xxx-xxxxxxxx. Bitte hal­ten Sie für Ihren Anruf Ihre Kundennummer und Ihre Telefon-PIN bereit.
Gerne kön­nen Sie uns direkt auf elek­tro­ni­schem Weg auf die­ses Schreiben ant­wor­ten. Wählen Sie hier­für bit­te unter dem Menüpunkt »Aktion« das Feld »Antworten«.

Mit freund­li­chen Grüßen
Ihre Bank”

bank2

Das hat mich dann nun doch etwas erstaunt. Von einem ande­ren Kreditinstitut weiß ich, dass die­se dort auch auf­ge­tre­te­ne “Sicherheitslücke” mit weni­gen Klicks sei­tens der Bank beho­ben wur­de. Diese Bank sieht das etwas anders. “Schalten Sie doch ein­fach eine Standardfunktion ihres Telefons aus, dann müs­sen wir uns nicht mit die­sem Problem rum­schla­gen!”, zumin­dest war das mein Empfinden.

Unbeirrt und zuver­sicht­lich habe ich noch mal freund­lich nachgehakt:

Hallo! Danke für die schnel­le Antwort. Ja, die Funktion ist mir bekannt. Stellt sich die Frage, was ist siche­rer: dar­auf zu hof­fen, dass Ihre Kunden mit SMS TAN die Benachrichtigung für den Sperrbildschirm aus­schal­ten (womit auch alle ande­ren Infos und Nachrichten weg­fal­len, was eine erheb­li­che Einschränkung der mensch­li­chen Komfortzone bedeu­tet — in der Praxis wis­sen wir, wie das aus­geht 🙂 ) oder von Ihrer Seite aus (wie ande­re Bankinstitute es bereits machen) den Platzhalter für die TAN in der SMS Maske ein­fach ans Ende in der Textvorlage verschieben?”

bank3

Klar, die Benachrichtigungen kön­nen im Sperrbildschirm deak­ti­viert wer­den. In die­sem Fall dann für alle SMS (eine Filtermöglichkeit ist mir nicht bekannt). Für eini­ge Anwender ist SMS eh “old school”, von daher wäre die Deaktivierung für sie zu ver­schmer­zen. Doch gera­de die “old school”-Generation abseits von Apps und Whatsapp tut sich damit sicher schwer. Hinzu kommt, dass nicht jeder Nutzer so firm ist, dass er weiß, wo und wie er die­se Nachrichten abstellt.

Nun, Antwort bis­her kei­ne. Ich hal­te Sie auf dem Laufenden.

Wie hält es Ihre Bank mit der Sicherheit von SMS TAN?

Über Bord mit veralteten starren Passwort-Richtlinien

Passwörter müs­sen stets lang (min­de­stens 8 Zeichen) und kom­plex (Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen) sein. Dazu bit­te ein Wechselintervall von 90 Tagen und für jede Anmeldung ein ande­res Passwort. Steht so in den mei­sten Richtlinien, Dienstanweisungen und Betriebsvereinbarungen die­ser Welt.

Das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) beschreibt die­se Vorgaben bei­spiels­wei­se in den Maßnahmen M 2.11 (Regelungen des Passwortgebrauchs) oder auch M 4.48 (Passwortschutz unter Windows) des IT-Grundschutzkatalogs. Und in vie­len Fällen gilt der BSI IT-Grundschutzkatalog als das Maß aller Dinge bei Auditoren und Prüfern.

Passwort-Mythen

Doch wer­fen wir mal einen Blick auf die Details die­ser Vorgaben und deren Sinnhaftigkeit.  Klar ist, tri­via­le Passwörter wie “123456”, “QWERTZ” oder “pass­wort” soll­ten sich eben­so aus­schlie­ßen wie die Namen der Familienangehörigen oder Haustiere. Diese sind dank Google und der akti­ven Unterstützung durch die stets miß­ver­ständ­li­chen Privatsphäre-Einstellungen sozia­ler Netzwerke dann doch zu leicht herauszufinden.

Anders sieht es jedoch schon bei den Empfehlungen des BSI bei der zu wäh­len­den Passwort-Länge aus. Das BSI emp­fiehlt 8 Stellen oder mehr, nur in begrenz­ten Ausnahmefällen 6 Stellen. In der Maßnahme 4.48 ist sogar von 14 Stellen und mehr für Verwaltungsaccounts die Rede.

Haben Sie sich schon mal gefragt, wie­so Banken für die Absicherung von EC- und Kreditkarten nur auf 4 Zahlen PIN set­zen? Machen die­se denn kein Risikomanagement? Na klar machen sie das, jeden Tag und das sogar sehr erfolg­reich. Dreimalige Falscheingabe und die Karte ist gesperrt, der Missbrauch aus­ge­schlos­sen. Schutzziel erreicht!

Also wie­so dann bei einem sol­chen Bedrohungsszenario stur auf ein Passwort unter den ein­gangs genann­ten Regelungen bestehen? Sinnfrei, oder? Drei oder eini­ge mehr Fehlversuche und dann ist Schluss. Übertragen auf den mit einer sol­chen Sperre aus­ge­stat­te­ten Benutzeraccount: Mehrmalige Falschanmeldung und der Benutzeraccount ist gesperrt und / oder wird erst nach eini­ger Verzögerung wie­der zur erneu­ten Anmeldung frei­ge­ge­ben. Der Benutzer merkt es (sofern er die Sperrung nicht selbst ver­ur­sacht hat) beim näch­sten Anmelden. Die IT erhält über das Systemprotokoll eben­falls einen Hinweis über die­sen “Versuch”, kann prü­fen und ange­mes­sen reagie­ren. Schutzziel erreicht! Dies funk­tio­niert zumin­dest bei Accounts, die mit einer sol­chen Sperre und / oder Verzögerung aus­ge­stat­tet wer­den kön­nen. In der Praxis wür­de sich auch eine Kombination anbie­ten (nach 3 Fehlversuchen Verzögerung, nach wei­te­ren x Fehlversuchen Sperrung), dies wäre im Einzelfall aus­zu­pro­bie­ren. Für Offline-Angriffe (bei­spiels­wei­se Dokumenten-Passwörter) müs­sen selbst­ver­ständ­lich gehär­te­te Passwörter mit ent­spre­chen­der Länge und Komplexität gewählt werden.

Und da haben wir auch schon das näch­ste Stichwort: Wie sieht es mit dem Thema Passwort-Komplexität aus? Nach der Länge eines Passworts scheint die Komplexität den mei­sten Schutz zu bie­ten, glaubt man den Verfechtern die­ser Theorie. Generell steigt der Aufwand zum Erraten (oder Knacken) eines Passworts mit der Vergrößerung des Suchraums. Daher wer­den neben den 52 Zeichen des Alphabets (groß- und klein­ge­schrie­ben) die zehn Ziffern 0 bis 9 sowie die 22 übli­chen Sonderzeichen hin­zu­ge­nom­men. Schwenken wir kurz in die Mathematik und schau­en, wie­vie­le Varianten sich im Vergleich ergeben:

  • 2,5 * 1015  mög­li­che Varianten für ein Passwort mit 8 Stellen mit Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen
  • 2,8 * 1015  mög­li­che Varianten für ein Passwort mit 9 Stellen und nur mit Buchstaben

Auf einen Blick ist zu erken­nen, der Suchraum wird mit einer Stelle mehr viel höher als durch die Beibehaltung der Länge und dem Hinzufügen einer Komplexität. Noch Fragen?

Ok, aber der regel­mä­ßi­ge Passwort-Wechsel, das ist sicher, das müs­sen wir so machen! Warum? [Anmerkung des Autors: “Eine mei­ner Lieblingsfragen!”] Wenn sich die Passwort-Strategie in mei­ner Organisation an der Bedrohungslage und den mög­li­chen Angriffsszenarien aus­rich­tet, gibt es weni­ge Anlässe, zu denen ein Passwort zu wech­seln ist:

  • Passwort wur­de ausgespäht
  • Passwort wur­de unzu­läs­si­ger­wei­se an eine Kollegin oder einen Kollegen weitergegeben
  • Bei der Erstkonfiguration, also dem Ändern vor­ein­ge­stell­ter Passwörter

Salopp: Besteht der Verdacht, ein Passwort wur­de kom­pro­mit­tiert, dann wird es gewech­selt. Doch die Praxis sieht anders aus, Wechselintervalle von alle 90–120 Tage sind die Regel. Wie reagiert der Anwender? Genervt. Und das zu Recht. Lesen Sie ger­ne mehr zum Thema (exter­ner Link Ars Technica 2016).

Dann brau­chen wir aber unbe­dingt die Vermeidung von ein- und dem­sel­ben Passwort für meh­re­re Anmeldungen! Warum? 🙂 Müssten dann nicht Vorgehensweisen wie das Single-Sign-on (M 4.498 BSI) von vorn­her­ein aus Schutzgründen abge­lehnt wer­den? Auch hier gilt es erneut, dif­fe­ren­zier­ter vor­zu­ge­hen. Bei inter­nen Anmeldeverfahren mit ent­spre­chen­den Schutzmöglichkeiten (sie­he Passwort-Komplexität) gibt es kei­nen nach­voll­zieh­ba­ren Grund für unter­schied­li­che Passwörter. Hier macht bei­spiels­wei­se Single-Sign-on auch Sinn. Für Anmeldeverfahren außer Haus wie bei­spiels­wei­se Cloud-Services und Online-Shops soll­te jedoch nicht das “inter­ne” Passwort zum Einsatz kom­men. Dafür emp­fiehlt sich in der Tat die Nutzung ande­rer Passwörter mit ent­spre­chen­den Vorschriften in Bezug auf Länge und Wechsel. Eine Faustregel für exter­ne Passwörter kann lau­ten “Jeder Betreiber / Anbieter erhält ein eige­nes Passwort”.

Passwort-Richtlinien in der Praxis

Sie ner­ven unge­mein! Da die wenig­sten Richtlinien sich mit den Sachverhalten der Angriffsszenarien und Bedrohungen aus­ein­an­der­set­zen, wird hier meist mit “Schema F” gear­bei­tet. Haben wir ja auch schon immer so gemacht. Hat sich ja bewährt. Fragen Sie mal Ihre Anwender! Die haben über Jahre ihre Mittel und Wege gefun­den, um mit dem so beque­men Thema nach “Schema F” umzu­ge­hen. Nämlich ihr eige­nes “Schema F”. Passwörter wer­den auf­ge­schrie­ben, mun­ter getauscht, ent­hal­ten nume­ri­sche Sequenzen zum Hochzählen zur Umgehung der Generationenpasswörter, fügen bei jedem Wechsel das näch­ste Sonderzeichen auf der Tastatur am Anfang oder Ende des Passworts ein und … und … und … Und Sie glau­ben, das ist sicher?

Informationssicherheit wird immer wichtiger

Neben allen recht­li­chen Auflagen zur Informationssicherheit, der IT-Sicherheit und dem Datenschutz wird es immer wich­ti­ger, zur Absicherung der eige­nen Organisation bis­he­ri­ge Vorgehensweisen auf den Prüfstand zu stel­len, bei Bedarf anzu­pas­sen oder bei Nichtvorhandensein ent­spre­chend ein­zu­füh­ren. Das Thema wird immer kom­ple­xer, die Bedrohungen und Risiken immer mehr.

Ohne Ihre Anwender ste­hen Sie auf ver­lo­re­nem Posten. Sie brau­chen deren Unterstützung, damit neben zahl­rei­chen Richtlinien und Anweisungen das Thema Sicherheit in Ihrer Organisation wirk­lich gelebt wird und nicht nur auf dem Papier steht. Feilschen Sie dar­um! Wie jetzt? Ja, feil­schen Sie dar­um! Fordern Sie die Unterstützung Ihrer Mitarbeiter ein und bie­ten dafür im Gegenzug pra­xis­ge­rech­te Regelungen, die den Arbeitsalltag nicht noch schwe­rer machen als bis­her. Mehr Unterstützung (z.B. beim manu­el­len Logout aus Systemen bei Abwesenheit oder der rich­ti­gen Entsorgung von Daten) sei­tens der Mitarbeiter und dafür im Gegenzug eine prak­ti­ka­ble Passwort-Richtlinie, die nicht die Gängelung der Mitarbeiter im Vordergrund hat, son­dern Lösungen anbie­tet. Klappt! Glauben Sie nicht? Probieren Sie es aus! Wir machen die Erfahrung immer wie­der auf’s Neue bei unse­ren Kunden.

Danke an Dirk Fox und Frank Schaefer, die die­ses Thema bereits 2009 beleuch­tet haben. Dies ist ein neu­er Anlauf, um etwas Schwung reinzubringen.

Sie sehen das ganz anders? Wir freu­en uns auf eine rege Diskussion.

Hilfestellung: Anzeige von Antwort-an Reply-to in Outlook

Oft kommt es vor, dass die soge­nann­te Antworten-an (oder Reply-to) Email-Adresse in einer Email von der unter “Von” ange­zeig­ten Email-Adresse abweicht. Dies muss nicht unbe­dingt gleich einen Phishing-Versuch dar­stel­len. Gelegentlich sind Abweichungen hier gewünscht, bei­spiels­wei­se um Antworten auf einen Newsletter in ein ande­res Postfach zur wei­te­ren Bearbeitung umzu­lei­ten. Jedoch kann eine Abweichung auch ein Indiz dafür sein, dass mit der besag­ten Email etwas nicht stimmt.

Bei eini­gen Email-Programmen wird die­ses Feld nicht auto­ma­tisch ange­zeigt und ist auch nicht ein­fach über einen Menüpunkt wie “Ansicht” oder “Darstellung” ein­zu­blen­den. Outlook ist so ein Kandidat. Da die­ser Email-Client jedoch recht weit ver­brei­tet ist, haben wir eine klei­ne Hilfestellung ver­fasst mit Text und Bebilderung. Anhand die­ser Anleitung kön­nen Sie die­se Anzeige selbst mit weni­gen Klick akti­vie­ren. Und in Zukunft zeigt Ihnen Ihr Outlook im Posteingang die Spalte “Antwort sen­den an” ohne wei­te­res Zutun an. Auf einen Blick sehen Sie, ob es zwi­schen den bei­den Email-Adressen Abweichungen gibt.

Sie dür­fen die­se Hilfestellung ger­ne in unver­än­der­ter Form wei­ter­ge­ben, jedoch nicht kom­mer­zi­ell verwerten.

ask — Hilfestellung Outlook Anzeige Antworten An (262.8 KiB, 64 downloads) 

Mitarbeiter Awareness: Schutz vor Krypto-Trojanern

Man kann es ja gar nicht oft genug sagen in den letz­ten Wochen: Neben all den tech­ni­schen Maßnahmen zur Abwehr oder Vermeidung von Krypto-Trojanern ist die Sensibilisierung der Mitarbeiter eine sehr effek­ti­ve Möglichkeit, das Risiko einer Infektion durch Locky, Teslacrypt und Co zu ver­mei­den. Neusprech heisst dies “Awareness” schaf­fen. Aus die­sem Grund bie­ten wir zusätz­lich zu ein- bis zwei­stün­di­gen Sensibilisierungsveranstaltungen zur aktu­el­len Bedrohungslage und Möglichkeiten für Mitarbeiter vor Ort Handreichungen in Form von DIN A4-Flyern an, die Sie ger­ne (unver­än­dert) in Ihrer Organisation ein­set­zen können.

Diese Ausgabe behan­delt den Umgang mit Email-Anhängen sowie eine Kurzanleitung zur Beschränkung der Ausführung von Makro-Code in Office-Dokumenten (sofern dies nicht durch die Gruppenrichtlinie nicht bereits unter­drückt wird).

Wir wis­sen, zu dem Thema kann man noch viel mehr sagen / schrei­ben. Doch wir haben uns bewußt für eine kur­ze Darstellung auf einer Seite beschränkt, damit die Akzeptanz zur Kenntnisnahme nicht durch zu gro­ße Längen beein­träch­tigt wird.

Wollen Sie Ihren Mitarbeitern die­sen Flyer zur Sensibilisierung im Umgang mit der Bedrohung durch Krypto-Trojaner durch Email-Anhänge an die Hand geben? Dann laden Sie sich das Dokument doch ein­fach kosten­frei her­un­ter und ver­tei­len es intern.

Flyer / Handout Awareness Anwender Empfehlung Schutz Vor Krypto Trojanern (57.8 KiB, 213 downloads) 

Haben Sie wei­te­re Ideen und Anregungen für Flyer / Sensibilisierungen in die­ser Kurzform? Dann schrei­ben Sie uns. Wir grei­fen das ger­ne für wei­te­re Handouts auf.

Wir wün­schen allen Beteiligten wei­ter­hin bei der Abwehr die­ser Bedrohung viel Erfolg.

Veranstaltungen

Es konnte leider nichts gefunden werden

Entschuldigung, aber kein Eintrag erfüllt Deine Suchkriterien