Sicherheit

Moderne Plattform zu Einführung und Betrieb eines Informationssicherheitskonzepts (Basis Arbeitshilfe) für kleine Organisationen gestartet

Software-Unterstützung für die Arbeitshilfe

Endlich nun auch für einen der kleinen Standards für Informationssicherheit verfügbar: Software-Unterstützung für die Arbeitshilfe 4.0

Doch der Reihe nach.

Wieso ein Informationssicherheitskonzept?

Viele Organisationen stehen vor der Herausforderung, entweder aufgrund gesetzlicher Vorschriften ein Informationssicherheitskonzept zu benötigen, damit den Nachweis zur Wirksamkeit der eigenen technischen und organisatorischen Maßnahmen im Sinne der Belegpflicht der DSGVO erbringen zu wollen, weil es der eine oder andere Auftraggeber für die Teilnahme an Ausschreibungen fordert oder schlicht, weil sie festgestellt haben, dass nur ein gesamtheitlicher Ansatz schützenswerte Informationen und personenbezogene Daten in der eigenen Organisation absichern kann. Gründe gibt es also viele, sich um die Einführung und den Betrieb eines Informationssicherheitskonzepts zu kümmern.

Welchen Standard zur Informationssicherheit wählen?

Informationssicherheitsmanagementsysteme (kurz ISMS) nach den Standards wie die ISO 27001 oder der BSI IT-Grundschutz sind bewährte Umsetzungsmöglichkeiten. Sagt man der ISO 27001 ein etwas erhöhtes Maß an Abstraktheit nach, leidet der IT-Grundschutz durchaus an seiner Ausführlichkeit (zumindest in 100-x Standards). Hinzu kommt, dass der Aufwand an Zeit und Kosten gerade für kleine und mittlere Unternehmen (KMU) und Kommunen weit über die gegebenen Möglichkeiten hinausgeht.

Einen Teil dieser Lücke nach unten hat vor einigen Jahren der Standard Informationssicherheit in 12 Schritten (kurz ISIS12) schließen können. Dieser kommt seither in vielen deutschen Unternehmen und Kommunen zum Einsatz, teilweise inklusive der möglichen Zertifizierung durch die DQS GmbH (Und hier reden wir von einer vollwertigen, unabhängigen Zertifizierung, nicht von den durch die beratende Gesellschaft als Zertifikat angepriesenen Testate.) ISIS12 leitet sich aus dem IT-Grundschutz ab und wird derzeit in Richtung der Vorgehensweise der ISO 27001 weiterentwickelt.

Für die drei bisher genannten Standards stehen bewährte Softwarelösungen zur Verfügung. Generell sind diese Standards auch nach unten skalierbar, stellen dennoch gerade kleinere Einrichtungen nach wie vor vor ein Zeit- und Kostenproblem. Diese immer noch bestehende Lücke für kleinere und kleinste Einrichtungen lässt sich mit zwei weiteren Standards in angemessenem Kosten- und Aufwandsrahmen schließen. Die Rede ist vom Standard VdS 10000 (früher 3473) sowie der unter dem Projektnamen „Arbeitshilfe“ bekannt gewordenen Systematik der Innovationsstiftung Bayerische Kommune aus München.

Gerade kleine und kleinste Organisationen finden hier einen Werkzeugkasten, um sich dem Thema systematisch zu nähern, vorhandene technische und organisatorische Schwachstellen zu identifizieren und danach kontinuierlich abzustellen und ein Sicherheitskonzept zu betreiben. Die Möglichkeit besteht jederzeit, in die höheren Systematiken upzugraden.

Die „Arbeitshilfe“ wurde im Auftrag der Bayerischen Kommunalen Spitzenverbände durch a.s.k. Datenschutz für die Innovationsstiftung Bayerische Kommune entwickelt und ist mittlerweile in Version 4.0 erschienen. Trotz dieses Ursprungs richtet sich die Arbeitshilfe nicht ausschließlich an kommunale Einrichtungen. Informationssicherheit ist universell. Von daher sind lediglich einige Begrifflichkeiten für den Einsatz in Unternehmen anzupassen (Geschäftsführer statt Bürgermeister), das war es schon. Und jetzt mit auch Software-Unterstützung für die Arbeitshilfe.

Informationssicherheitskonzepte besser mit Software-Unterstützung

Selbstverständlich lassen sich Informationssicherheitskonzepte auch mit Papier und Stift oder etwas moderner mittels Word-Formularen und Excel-Tabellen abbilden. Bei der Einführung mag das auch noch ausreichend sein. Doch im späteren Betrieb des Informationssicherheitskonzepts wird es schnell a) unüberschaubar und b) nicht mehr handhabbar, z.B. um Wiedervorlagefristen einzuhalten. Auch in Bezug auf das jederzeitige Reporting / Berichtswesen ist eine geeignete Softwareunterstützung unschlagbar.

Die drei großen Standards ISO 27001, BSI IT-Grundschutz und ISIS12 können aus einem großen Angebot geeigneter Softwarelösungen wählen. Bei den kleineren Standards wird die Luft sehr schnell dünn bis hin zu fehlender Software-Unterstützung.

Software-Unterstützung für die Arbeitshilfe von a.s.k. Datenschutz

Gerade für kleine Organisationen sind leicht verständliche und bedienbare Software-Lösungen ein Muß. Zeit für langwierige Software-Schulungen und Einarbeitungen ist im Zweifel Mangelware. Oftmals werden kleine Einrichtungen bei der Einführung von externen Dienstleistern unterstützt, nutzen möglicherweise auch die Möglichkeit eines externen Informationssicherheitsbeauftragten (sofern sinnvoll umsetzbar).

Hier setzt die Software-Lösung für unsere (potentiellen) Kunden konkret an:

  • Verschlüsselung bei Übertragung und Speicherung
  • Mehrfaktor-Authentifizierung
  • Browserbasiert, Apps für Desktop und mobile Geräte
  • Bearbeitung und gleichzeitig fortlaufende Dokumentation aller Prüffragen der Arbeitshilfe und deren Umsetzung
  • Erstellen von notwendigen Unteraufgaben
  • Zuweisen von Aufgaben und Unteraufgaben an zuständige Personen in der Organisation
  • Diskussionsmöglichkeit zwischen den Beteiligten direkt in einem Prüfpunkt und damit nachvollziehbare Dokumentation der Entscheidungsfindung und des Umsetzungsstatus sowie dessen Weiterentwicklung
  • Email-Benachrichtungen über Änderungen und Aufgabenzuweisungen (Hinweise, keine Übermittlung der konkreten Inhalte, die sollen ja verschlüsselt auf der Plattform bleiben 🙂 )
  • Termin-Erinnerungen
  • Dokumentenversionierung
  • Jederzeit um weitere Aufgaben zu ergänzen (z.B. weitere identifizierte Schwachstellen außerhalb der Fragen der Arbeitshilfe, Dokumentation der Bearbeitung von Datenpannen etc.)
  • Ausführliches Berichtswesen nach Kapiteln, über das gesamte Informationssicherheitskonzept oder nach Zuständigkeiten
  • Übersichten über erledigte / offene Aufgaben bzw. beseitigte / noch vorhandene Schwachstellen
  • Diskussionsplattform zur Klärung von offenen Fragen
  • Betrieb in deutschen Rechenzentren (Ehrensache)
  • uvm.

 

 

Interesse geweckt an der Arbeitshilfe oder der Software-Lösung? Oder Fragen zum Thema Informationssicherheitskonzept oder Informationssicherheitsbeauftragte? Sprechen Sie uns an.

 

 

 

Corona App – hoffentlich sicher zur nächsten Pandemie

In unserem Beitrag vom 23.03.2020 zum Einsatz von mobilgerätebasierter Gesundheitsprävention haben wir berichtet, dass eine Corona App auch hierzulande geplant ist, sowie über Aspekte, die aus Datenschutzsicht sorgfältig zu prüfen und zu planen sind. 

Mittlerweile wurde kurz vor der geplanten Veröffentlichung eine lauffähige Version der Corona App von TÜVit geprüft und es gibt Nachholbedarf.  Gegenüber heise.de äußern die Prüfer u.a. Kritik an dem kurzfristigen Starttermin. Insgesamt habe man laut TÜVit wiederholt die (sogar kostenfreie) Prüfung angeboten und letztlich unter Zeitdruck durchführen müssen. 

Angesichts dessen, dass inzwischen eine Lockerung und Anti-„Maulkorb“-Demo die andere jagt und seit mehr als 7 Jahren die drohende SARS-Pandemie und deren Bekämpfungsmethodik bekannt ist (Bundestagsdrucksache 17/12051 aus 2012 / 2013, Seiten 5, 55 ff. ), kann man hier nicht unbedingt von einem agilen Krisenmanagement sprechen.

Sicherheitsaspekte der neuen Corona App 

Die Prüfung der Corona App erfolgte im Auftrag des BSI (Bundesamt für Sicherheit in der Informationstechnik) in Bezug auf Sicherheitsmaßgaben und Einhaltung der angekündigten Privatsphärestandards wie z.B. der Standortermittlung. 

Eine Schwachstelle bestünde laut TÜVit darin, dass Patienten zwar verschlüsselt abspeichern können, positiv auf Corona getestet worden zu sein, um etwaige Kontakte mit Infizierten zu prüfen, die genutzte Verschlüsselungslogik jedoch fehlerhaft ist. So bestehe die Möglichkeit, einen Teil der Logik ohne größere Schwierigkeiten auszulesen, um beliebig Falschmeldungen infizierter Personen zu generieren. 

Damit könnte die gesamte Datenhaltung und somit auch der angedachte Nutzen der App ad absurdum geführt werden und bewusst provozierte Fehlalarme noch größere Verunsicherung bei den Bürgern verursachen. Dieser Angriffspunkt ist in Fachkreisen seit geraumer Zeit bekannt. 

Dass man bei derlei Umsetzungen gegen destruktiv motivierte IT-Expertise nicht hinreichend aufrüstet, sondern IT-Experten wie etwa Datenschutzaufsichtsbehörden als Bremser hinstellt, wenn diese begründete Sicherheitsbedenken anmelden, ist schwer nachvollziehbar. 

Bereits vor der TÜVit Prüfung wurde der Quellcode veröffentlicht. Hier besteht insb. bei einem Multimillionen-Projekt keine Notwendigkeit. Dafür kann sich die Hackerszene schon einmal im Vorfeld einlesen. Andererseits wollte man gerade in Bezug auf die herrschenden Datenschutzbedenken mit größtmöglicher Transparenz reagieren. 

Datenschutz und Privatsphäre 

In Bezug auf die Privatsphäre lässt TÜVit Positives verlauten. Bei dem geprüften Entwicklungsstand der Corona App sei von Leaks nicht auszugehen und unerwartete Trackinglogik habe man in der Version nicht feststellen können.

Die Entwicklung und Sicherheitsdokumentation der Corona App wurde vom BSI u.a. durch Penetrationstests (Pentests) und Überprüfungen von Programmcode begleitet. Dabei konnten Schwachstellen gesichtet und seitens der Entwicklung behoben werden. Die Sicherheitsdokumentation kommt zu dem Schluss, dass die Corona App “alle für diese App zutreffenden Anforderungen aus der technischen Richtlinie TR 03161 – Sicherheitsanforderungen an Digitale Gesundheitsanwendungen” des BSI erfüllt. Und auch zukünftig wird die Weiterentwicklung der App vom BSI begleitet. Die zugehörige Pressemitteilung finden Sie hier.

Weitere Informationen zu Datenschutz- / technischen Aspekten liefert eine Studie aus dieser Woche (09.06.2020) der Unis Darmstadt, Marburg und Würzburg. 

Prüfauftrag der Corona App war limitiert 

Laut TÜVit wurde der Auftrag zur Durchleuchtung der Entwicklung auf bestimmte Bereiche begrenzt. Ausgenommen von der Prüfung waren Systemfeatures von Apple / Google und das Backend des eigentlichen Datenservers. Ferner sei die Verschlüsselungslogik für die auf dem Mobilgerät gespeicherten Daten nicht Gegenstand der Prüfung gewesen. 

Fazit zum aktuellen Stand der Corona App 

Das Vorgehen bei der Sicherheit der Corona App steht in Widerspruch zu dem Bestreben, Vertrauen in diesen Lösungsansatz zu stärken. Es stellt sich die Frage, ob nicht diejenigen, welche die Corona App gerne installieren, um sich und Mitbürger zu schützen, ohnehin mit gesundem Menschenverstand an Präventionsmaßnahmen herangehen, während anderen Anwendern ein weiterer Schritt in die Unmündigkeit vorgelegt wird, sich dann ggf. nur noch auf die App zu verlassen. 

Intransparente technische Umsetzung in Kombination mit dem Aspekt der Freiwilligkeit und mäßigem Marketing lassen an einem positiven Effekt auf Verantwortungsgefühl und Infektionsrate nach derzeitigem Kenntnisstand zur Zeit leider noch zweifeln. 

Intransparente technische Umsetzung in Kombination mit dem Aspekt der Freiwilligkeit en Effekt auf Verantwortungsgefühl und Infektionsrate nach derzeitigem Kenntnisstand zur Zeit leider noch zweifeln. 

Informationssicherheit – IT-Sicherheitslücken und Datenpannen 2019 und 2020 – Teil 2

Nachfolgend die Fortsetzung des Beitrags vom 18.04.2020 zu Cyber-Angriffen und Pannen in der Informationssicherheit / im Datenschutz der letzten 12 Monate. 

Oberlandesgericht Berlin wird gehackt – Informationssicherheit fraglich 

Wer im Begriff war, ein Anliegen vor dem Oberlandesgericht von Berlin (=Kammergericht Berlin) verhandeln zu lassen, hat hoffentlich rechtzeitig davon Abstand nehmen können. Denn damit konnte er verhindern, dass sensibelste personenbezogene und juristische Informationen bei dieser historischen Datenpanne kompromittiert wurden. Hiermit wird nicht gesagt, dass es in anderen Bereichen der Berliner Verwaltung  besser um die Informationssicherheit bestellt ist. Generell ist in mangelhaft gesicherten Bereichen meistens nur die Stärke des Vermarktungs- / Sabotageinteresses potenzieller Hacker das maßgebliche Kriterium der tatsächlichen Informationssicherheit. 

Im September 2019 wurde festgestellt, dass von Systemen des Kammergerichts mit Servern verbunden war, die für die Fernsteuerung schädlicher Software typisch sind. 7 Tage später erfolgte eine Vorortprüfung durch den IT-Dienstleister T-Systems, der Emotet-Infektionen in diversen Systembereichen feststellte und weitere 14 Tage später wurde der mutmaßliche Erstinfektions-PC untersucht. Ursprung des Angriffs, wie viele Daten abgeflossen sind und seit wann, konnte nicht festgestellt werden. Lücken in der Ermittlung wurden mit Zeit- und finanziellen Aspekten begründet. Die Schadsoftware könnte über einen USB-Stick auf die Systeme gelangt sein. Die Sicherheitsroutinen des Kammergerichts erkannten die Emotet-Infiltrierung nicht. Eine Segmentierung des Netzwerks hatte man nicht vorgenommen, sodass sich die Schadsoftware ungehindert ausbreiten und über eine Fernsteuerung Daten exportieren konnte. Ferner hatte man die Dateigröße des Eventlogs dergestalt limitiert, dass die relevanten Phasen der Ereignisdokumentation bereits überschrieben waren, als mit den Untersuchungen begonnen wurde. Wiederholt wurde auf die besondere Raffinesse des Hackings hingewiesen und „Sicherheitskreise“ vermuten hinter dem Angriff organisierte Kriminalität unter Federführung des Nachrichtendienstes der russischen Regierung. Wenn James Bond das wüsste … 

Der Bericht über den Vorfall und die Untersuchungen vom September 2019 wurde auf den 23.12.2019 datiert und Ende Januar 2020 der Berliner Datenschutzbeauftragten zeitgleich mit der Veröffentlichung vorgelegt. Diese war hierüber „not amused“ und forderte, dass „ausschließlich mit dienstlichen Geräten über eine zentral zur Verfügung gestellte und ausreichend abgesicherte Infrastruktur“ Datenverarbeitungen zu erfolgen haben. 

Es ist abzuwarten, ob Konsequenzen aus dem Vorfall gezogen und die Standards der Informationssicherheit in den Verwaltungseinrichtungen der Hauptstadt einer professionellen Prüfung unterzogen werden oder ob weiterhin Sicherheitsvorfälle festgestellt / öffentlich gemacht werden. 

Bereits 2017/2018 waren Systeme des Bundestags gehackt worden, wodurch die persönlichen Twitterdaten hunderter Politiker, Schauspieler und Fernsehmoderatoren erbeutet wurden. 

2019-11 – Sicherheitslücke bei chinesischem Smartphone-Hersteller 

Bereits zum zweiten Mal innerhalb von 2 Jahren kam es zu einer Datenpanne bei dem chinesischen Smartphone-Hersteller OnePlus. Über einen nicht bekannten Zeitraum hinweg war der Zugriff auf Kundendaten für Unbefugte möglich. Betroffen seien Stamm- und Kontaktdaten der Käufer gewesen. Eine Benachrichtigung der betroffenen Personen sei erfolgt. 

2019-12 – Datenpanne bei der Lufthansa

Für Kunden der Miles & More GmbH, Tochter der Lufthansa, war es auf Grund eines mutmaßlichen technischen Problems für 40 Minuten möglich, auf personenbezogenen Daten anderer eingeloggter Nutzer der Online-Plattform zuzugreifen. Laut Lufthansa seien höchstens die Daten von 9.885 Miles & More-Kunden betroffen. Betroffene Daten waren: Stamm-, Kontakt- Kunden- und Transaktionsdaten. 

2020-02 – Vorfall in der Informationssicherheit bei Samsung 

Über den Dienst „Find My Mobile“, womit Smartphones über eine Plattform des Herstellers geortet werden, versandte Samsung an „einen kleinen Kreis“ von Nutzern eine unverständliche Nachricht. Als sich die Betroffenen in ihrem Online-Konto bei Samsung einloggten, um Ihre Login-Daten zu ändern, erhielten sie auf Grund eines Serverproblems Zugriff auf Daten anderer Nutzer. Dies umfasste Stamm- und Kontaktdaten sowie die letzten 4 Ziffern der Kreditkarten waren sichtbar. Bei Feststellung des Problems wurde der Login vorübergehend gesperrt. 

Fragen wirft allerdings der Umstand auf, dass die Nachricht auch von Nutzern empfangen wurde, die das Ortungs-Feature deaktiviert hatten. 

Diesen Monat wurde ferner bekannt, dass eine Kontaktverfolgungs-Funktionalität bereits Mitte Mai als verbindliches Update von iPhones, iPads ab iOS 13 und Android-Geräten ab Version 6 installiert wird. Im Fall von Apple voraussichtlich als gängiges Firmware-Update, bei Android voraussichtlich als Update der Google Play Services. 

Mit Installation dieser Funktion und Erlaubnis von Apple / Google wird es Behörden künftig möglich sein, Daten aus den Kontaktprofilen der Tablet- und Handynutzer auszuwerten. 

2020-03 – Massive Panne in der Informationssicherheit bei der Investitionsbank Berlin 

Durch Mitteilung der Berliner Datenschutzbeauftragten wurde Ende März 2020 eine gravierende Datenpanne der IBB bekannt. Bei der Verarbeitung der 150.000 eingegangenen Anträge auf Corona-Unterstützung trat ein Programmierfehler auf, durch den Antragstellern personenbezogene / Ergebnisdaten anderer Antragsteller angezeigt wurden. Betroffen waren Ausweis-, Bank-, Steuer- und Unternehmensdaten. 

Bei Feststellung der Datenpanne wurde das Antragsverfahren bis zur Beseitigung des Programmierfehlers pausiert. 

Hacking, Sicherheitslücken und prominente Datenpannen aus 2019 und 2020 – Teil 1

Im vorigen Post haben wir über das Image von und den Umgang mit Datenpannen berichtet. Dabei haben wir versucht, dem durchschnittlichen Datenpannen-Verursacher ein Stück weit die Angst davor zu nehmen, solche Ereignisse professionell festzustellen und an die Aufsichtsbehörden zu melden. Allerdings traten und treten Sicherheitslücken, Hacking und Datenpannen weltweit und hierzulande auf, die keineswegs amüsant oder hinnehmbar sind. Betrachtet werden hierbei die letzten zwölf Monate. 

2019-04 – 540 Millionen Facebook-Kundendaten auf öffentlich zugänglichen Servern 

Zwei Kooperationspartner des bekanntesten Online Social Media Netzwerks haben Daten von Facebook auf offen zugänglichen Amazon-Servern gespeichert. Dabei handelt es sich um 

  • das Unternehmen Cultura Colectiva, das Accountnamen, Kommentare und Likes frei zugänglich im AWS Cloud Dienst speicherte 
  • die Entwicklerfirma der Facebook App «At the Pool», die Passwörter im Klartext von 22 000 Facebook Nutzern auf öffentlich zugänglichen Serverbereichen speicherte. 

Im Lichte des Cambridge Analytica Skandals, bei dem Informationen über Millionen Facebook-Nutzer an das gleichnamige Unternehmen zwecks Analysen weitergegeben wurden, war Facebook bereits unter Datenschutz-Druck geraten. Die Zukunft wird zeigen, ob aus den Ereignissen Lernerfolge gezogen werden konnten. Ein gewisser Trost dürfte möglicherweise darin bestehen, dass Facebook Profile ohnehin überwiegend zur Veröffentlichung geschönter und damit allenfalls bedingt realer personenbezogener Informationen genutzt werden 🙂 Das schmälert jedoch nicht die Brisanz dieser Datenpanne. 

2019-05 – Hacking und Datenpannen im Arztbereich 

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) beklagt die hohe Anzahl von datenschutzbezogenen Sicherheitsvorfällen in Arztpraxen. Hacking wie Verschlüsselungstrojaner und Fehlversand von Patientenberichten, Rezepten und Röntgenbildern bildeten dabei die Spitze des Eisbergs. Insbesondere bei der Verarbeitung solch sensibler Patientendaten seien starke technische und organisatorische Maßnahmen (TOM) „wie Datensicherung, Verschlüsselung, Schulung und Sensibilisierung“ unabdingbar. 

2019-08 – Hacking – Daten von 106 Millionen Bankkunden der Capital One erbeutet 

Einer Hackerin, die in der Entwicklungsabteilung des genutzten Amazon Cloud Services AWS der US-Bank Capital One gearbeitet hatte, gelang es, von den Systemen der Bank personenbezogene Daten zu Kreditkarten und -anträgen zu erbeuten. Betroffen waren nebst Stamm- und Kontaktdaten die angegebenen Einkommen, Informationen zur Kreditwürdigkeit und Verfügungsrahmen. Laut Aussage der Bank soll nicht an einer Schwachstelle des Cloud Services, sondern die mangelhafte Konfiguration eine Firewall gehandelt haben.  

2019-08 – Datenpanne im Hause Twitter 

Twitter teilte mit, dass mehr als zwölf Monate lang Daten von ca 300 Millionen Twitter Usern mit Werbekunden ohne entsprechende Einwilligung geteilt wurden. Verbotswidrig wurden somit Daten an externe Empfänger weitergegeben. Betroffen gewesen seien laut Twitter Daten über Konsumdauer von Werbeanzeigen. Mailkonten und Passwörter waren lt. Twitter nicht betroffen. 

2019-09 – Hacking nicht notwendig – Fahrlässigkeit bei Millionen von Patientendaten 

Hochsensible Datensätze von weltweit mehreren Millionen Patienten, davon mehr als 13.000 Datensätze aus Deutschland, online unverschlüsselt und frei verfügbar auf hunderten von ungesicherten Servern. Der Bundesdatenschutzbeauftragte Ulrich Kelber hatte einen „verheerenden ersten Eindruck“ von dem Skandal. Eine Kollaboration des Bayerischen Rundfunks und ProPublica deckten diesen international bestehenden, und bis heute nicht beseitigten beinahe nicht fassbaren Missstand auf. Laut BR seien u.a. Daten wie Brustkrebsscreenings, Wirbelsäulenbilder, Röntgenaufnahmen eines Brustkorbs etc., einschließlich zugehöriger Behandlungsinformationen betroffen. Eine 2016 veröffentlichte Studie des Harvard-Professors Oleg Pianykh wurde in Fachkreisen zu Kenntnis genommen, führten jedoch zu keiner Verbesserung der Zustände. Für diejenigen Datensätze, die trotz des bis heute akut bestehen Problems nicht in die Hände von Unbefugten / Hackern gelangt sind, gilt, dass sich dies dem relativen Desinteresse von Hackern auf Grund der nur sehr bedingten Verwertbarkeit privater Gesundheitsdaten verdankt. 

„Ich bereue den Passwort-Wahnsinn“ – weg mit den Passwort Mythen

Wieso bisher ein Passwort dauernd gewechselt werden musste

8 Seiten, die es in sich haben. Die „NIST Special Publication 800-63. Appendix A“. Verfasst 2003 von Mister Bill Burr. Seinerzeit Mitarbeiter des National Institute of Standards and Technology (NIST). Das NIST ist eine US-Behörde, die unter anderem für Technologiestandards zuständig ist. Die damalige Empfehlung hielt Einzug in die Sicherheitsliteratur und hält sich seither dort hartnäckig. Auch der BSI IT-Grundschutz und andere Sicherheitsstandards bauen auf dieser Empfehlung auf. Nach seiner Pensionierung fand Burr offene Worte für seine damalige Empfehlung ein sicheres Passwort: „Ich bereue den Passwort-Wahnsinn“

Bisher galt ein Passwort als sicher, wenn es komplex war und dauernd geändert wurde

Das NIST empfahl bisher zur Passwortsicherheit:

  1. Passwörter sollen komplex sein (Großschreibung, Kleinschreibung, Zahlen, Sonderzeichen)
  2. Passwörter sollen alle 90 Tage gewechselt werden

Im Ergebnis fluchten die Endanwender rund um den Globus. Sicherer sind Passwörter hierdurch nicht geworden. Dafür haben diese Empfehlungen viel Nerven und Zeit gekostet.

„Ich bereue den Passwort-Wahnsinn“

In einem Interview hat sich der nun in Rente stehende Burr gegenüber der Washington Post geäußert. „Die Wahrheit ist: Ich war auf dem falschen Dampfer.“ Wir haben auf unserem Sicherheitsblog in 2016 bereits einen Artikel hierzu verfasst „Über Bord mit veralteten starren Passwort-Richtlinien“.

Das NIST hat nun im Sommer 2017 diese 14 Jahren alten Empfehlungen und Regelungen zur Passwortsicherheit komplett überarbeitet. Und diesen Wahnsinn damit hoffentlich gestoppt. Bis sich das in der Literatur und erst recht in der Praxis durchsetzt, wird es jedoch einige Zeit brauchen. Im Final Draft zum Baustein ORP4 des BSIFinal Draft zum Baustein ORP4 des BSI (IT-Grundschutz) heißt es im Oktober 2019:

IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden. Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen. Ist dies nicht möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.

In den aktuell (Stand 02/2020) veröffentlichten Baustein OPR4Baustein OPR4 hat dies leider noch keinen Einzug gefunden. Aber die Richtung stimmt.

Eine sichere Passwort-Richtlinie

Die aktualisierten Passwortempfehlungen lauten (zusammengefasst):

  • Keine Sonderzeichen mehr: Eine Auswahl an Groß- und Kleinbuchstaben zusammen mit Zahlen ist ausreichend. Besser ..
  • Längere Passwörter: Ein um nur einen Buchstaben verlängertes Passwort vergrößert den Suchraum für Passwortknacker mehr als ein Sonderzeichen. 12 Stellen sind Minimum, besser 20, Optimum 64. Dabei dürfen durchaus ganze Sätze zum Einsatz kommen. Solange es sich dabei nicht um bekannte Zitate oder Redewendungen handelt (Risiko Wörterbuchattacke!).
  • Keine regelmäßigen Änderungen mehr: Es erhöht sich lediglich die Gefahr des Vergessens oder Aufschreibens von Passwörtern. Das schafft keine Sicherheit, im Gegenteil!
  • Keine Sicherheitsfragen zur Freischaltung: Wo liegt die Sicherheit, wenn sich die Frage „Wie heißt ihr Haustier?“ aus dem öffentlichen Facebook Profil eines Nutzers beantworten lässt?

Wir empfehlen zusätzlich eine Bedrohungsanalyse für die zu schützenden Logins. Greifen weitere Sicherheitsmaßnahmen wie automatische Sperre nach x Fehlversuchen , können auch kürzere Passwörter durchaus Sinn machen. Beantworten Sie sich doch einfach mal die Frage, wieso Banken eine EC-Karte mit einer PIN aus 4 Ziffern schützen? Weil Sie keine Ahnung von Sicherheit und Risiken haben? Oder weil die Karte nach 3 Fehlversuchen einfach gesperrt wird?

Natürlich kann es zwingende Gründe geben, ein Passwort doch mal zu ändern:

  • Es hat jemand bei der Eingabe des Passworts zugesehen (Shoulder Surfing)
  • Sie haben Ihr Passwort weitergegeben, statt einen Stellvertreterzugriff einzurichten
  • Ihre Zugangsdaten werden bei „Have I been pawned“„Have I been pawned“ oder auch dem Identity Leak CheckerIdentity Leak Checker des HPI (umfangreicher als HIBP) als kompromittiert gemeldet

Aber nur weil jedes Jahr der sog. „Change your Password“-Day ausgerufen ist, brauchen Sie nicht aktiv zu werden.

In vielen Fällen kann als weitere – unabhängige – Schutzmaßnahme auch eine Zwei-Faktor-Authentifizierung (2FA) zum Einsatz kommen und sehr nützlich sein. Neben dem Login mit Benutzername und Passwort wird über eine weitere unabhängige Komponente (Faktor) ein mehrstelliger Code zeitabhängig generiert, der zusätzlich angegeben werden muss. Diese Komponente kann ein Hardware-Token, eine Keycard oder auch ein Smartphone sein. Es gibt zahlreiche weitere Möglichkeiten für eine 2FA (Beitrag auf Wikipedia mit Erklärungen). Durch die Kombination dieser beiden voneinander unabhängigen notwendigen Angaben für den Login entsteht ein sehr hoher Schutz. Vorausgesetzt, auf den zweiten Faktor wird gut aufgepasst (Schutz des Smartphones mit Code-Sperre bei Inaktivität, Absicherung der 2FA App auf dem Smartphone mit weiterem Code oder Fingerprint).

Suchen Sie Argumente, die hausinterne Passwortrichtlinie zeitgemäß und sicher umzugestalten? Orientieren Sie sich an der neuen NIST Policy. Fakten zu den Mythen und Irrtümern als Argumentationshilfe finden Sie in unserem Blogbeitrag „Über Bord mit veralteten starren Passwort-Richtlinien“.

Sinnvoll ist es sicherlich, Admin-Kennwörter strengeren Schutzregelungen zu unterwerfen. Serverdienste sollte nicht nicht als Hauptadmin laufen, sondern einen eigenen Dienste-Admin erhalten. Administratoren verfügen über zwei Nutzeraccounts: Den personenbezogenen Administrationsaccount und einen Standardnutzer. Keine Admin-Aufgabe zu erledigen, dann wird auch nur im Standardnutzer gearbeitet. Und eigentlich selbsterklärend: Administrations-Accounts haben per Gruppenrichtlinie keinen Zugriff auf das Internet (leider immer noch nicht weit verbreitet).

Auch am Privat-PC gilt: Ein Admin-Account für Installation und Konfiguration, ein normaler Nutzer mit eingeschränkten Rechten für das tägliche Surfen, Mailen und Daddeln. Kostet wenig Zeit für das Umloggen bei Bedarf, erhöht aber das Schutzlevel um einiges.

Und nutzen Sie für die Flut an Passwörtern doch einfach einen Passwort-Tresor (keine Cloud-Anbieter) wie Keepass. Eine praktische Anleitung und Hilfe finden Sie hier im Blog.Eine praktische Anleitung und Hilfe finden Sie hier im Blog.

Weitere Beiträge zum Thema Passwort

Ihr Datenschutzbeauftragter oder Informationssicherheitsbeauftragter unterstützt Sie gerne bei diesem Thema. Sie haben keinen? Sprechen Sie uns an.

Update 01.02.2020:
Ergänzen von Gründen für Passwort-Wechsel, Hinweise auf Umgang mit Admin-Accounts, Verweis auf BSI Draft Baustein ORP.4