Das BSI hat gemäß seines Auftrages eine Warnung vor Antivirenprodukten der russischen Firma Kasperski herausgegeben.
Auf Grund der hohen Systemrechte, mit denen eine solche Software laufen muss und weil sie verschlüsselte Verbindungen zu Updateservern nutzt (sonst könnte sie keine neuen Virendefinitionen laden), lässt sich über diesen Weg auch Schadsoftware installieren. Der Software-Anbieter muss folglich volles Vertrauen genießen. Genau da ist der Knackpunkt. Russland führt einen Krieg gegen die Ukraine und deren (mögliche) Verbündete, also die Nato, die EU und auch Deutschland.
Wir haben zwar das Glück, dass in unserem Fall der Konflikt nicht mit Waffengewallt ausgetragen wird, aber Schädigungen unserer Wirtschaftskraft durch Cyberangriffe findet bereits statt.
Es ist also durchaus denkbar, dass die russische Regierung die Firma Kasperski dazu zwingt, deren Technologie zur Installation von Trojanern oder anderer Schadsoftware bereitzustellen.
Ob wir zu einem bestimmten Produkt raten? Wenn es nur um reine AV-Lösungen geht, halten wir die kostenlosen Boardmittel von Windows für ausreichend. Die Erkennungsrate und die Updatefrequenz sind hier vorbildlich. Außerdem sind diese Boardmittel prima in Windows integriert und stören die Arbeitsabläufe nicht. Bitte stimmen Sie sich mit Ihrer IT-Abteilung ab
Warum man seine Passwörter nicht regelmäßig ändern muss
Der 1. Februar ist der „Ändere-dein-Passwort-Tag“. Aber warum sollte man da mitmachen? Wo ist der Fehler des Gedankens? Gibt es bessere Alternativen?
Der erste Fehler in der Forderung sein Passwort regelmäßig zu ändern ist die Singular-Form. Wenn man nur ein Passwort hat, welches man an mehreren Orten verwendet, läuft doch schon mal etwas grundsätzlich falsch. Passwörter sollten immer nur an einer Stelle gültig sein und nicht für mehrere Anwendungen oder Dienste verwendet werden. Wird dann mal ein Dienst gehackt (was ja in der Vergangenheit schon häufig passiert ist) so sind andere Konten dadurch nicht gleich mit kompromittiert.
Ein gutes Passwort ist mindestens 12, besser sogar über 20 Zeichen lang, enthält keine Namen, lexikalischen Wörter oder Datumsangaben. Es sollte nicht nur aus Zahlen oder kleinen oder großen Buchstaben bestehen. Mit einer Mischung aus Zahlen und Buchstaben in Groß- und Kleinschreibung, in zufälliger Reihenfolge, ist man aber schon gut beraten. Wenn man will (und es der Dienst erlaubt) sind Sonderzeichen sicher kein Fehler.
Diese Formel beschreibt die Anzahl der möglichen Passwörter in Abhängigkeit von Zeichenvorrat und Passwortlänge. Wenn man da mal ein wenig mit den Werten spielt, merkt man sehr schnell, dass es viel wichtiger ist ein langes Passwort zu wählen als eins, mit einem großen Zeichenvorrat. Beispiel: Auf unserer Tastatur haben wir 26 Buchstaben + 3 Umlaute, die man groß und klein schreiben kann = 58 unterschiedliche Zeichen. Dazu dann noch die Ziffern von 0-9 ergibt einen Zeichenvorrat von 68 Zeichen. Durch Sonderzeichen können wir die Zahl um weitere 34 mehr oder weniger leicht zu tippende Zeichen erhöhen. Passwörter ab 12 Zeichen länge gelten als relativ sicher und ab 20 Zeichen sind sie selbst mit hohem Aufwand kaum noch zu knacken. Je nach weiteren Anforderungen, kann man natürlich auch längere Passwörter wählen. Wenn wir einen großen Zeichenvorrat wählen, z.B. 102 Zeichen, aber die Länge bei 12 belassen, haben wir 1268241794562545318301696 oder gerundet 1,2 * 10^24 mögliche Passwörter. Als weiteres Beispiel nehmen wir einen Zeichenvorrat aus 68 Zeichen (Zahlen + Buchsten, groß und klein) und verlängern das Passwort um zwei auf 14 Zeichen, so erhalten wir 45198578652761699462938624 oder 4,5 * 10^25 mögliche Passwörter, also schon etwa 30x so viele. Aus diesem kleinen Beispiel wird deutlich, dass es mehr bringt ein paar weitere Stellen zum Passwort hinzuzufügen, als sich beim Tippen der Sonderzeichen die Finger zu brechen.
Also wählen wir möglichst lange Passwörter Wenn wir lange und damit sichere Passwörter verwenden, gibt es aber kaum einen Grund diese regelmäßig zu ändern.
Jetzt mag der eine oder andere Leser denken: Lange Passwörter und dann auch an jeder Stelle ein anderes, das kann sich doch keiner merken und das will ja auch niemand tippen. Stimmt. Dafür gibt es Passwortmanager wie KeePass, 1Password, Bitwarden, Blur, Dashlane, Enpass, F-Secure Key, Kaspersky Password Manager, Keeper, LastPass, Password Depot, Password Manager, RoboForm, SafeInCloud oder Sticky Password. Ich verwende KeePass seit Jahren bin damit sehr zufrieden. Der wesentliche Vorteil eines guten Passwortmanagers: Man braucht sich nur noch das eine Passwort zu merken und alles weitere kommt dann aus dem Passwortmanager. Nebenbei kann man dort auch gleich noch die URLs der Dienste und Webseiten mit ablegen und verwalten. Viele Passwortmanager bieten zudem Schnittstellen zu diversen Browsern und erleichtern dadurch die tägliche Arbeit enorm.
Wann sollten wir unsere Passwörter ändern?
Passwörter sollten immer dann geändert werden, wenn deren Vertraulichkeit kompromittiert wurde. Wenn wir also erfahren, dass ein von uns genutzter Anbieter oder Dienst Probleme mit seinem Server hatte, ändern wir unser Passwort für genau diesen Dienst. Gute Passwortmanager unterstützen einen auch dabei, so sind solche Änderungen mit wenigen Klicks erledigt.
Gibt es bessere Anmeldeverfahren als mittels Benutzernamen und Passwort? Ja, natürlich. Viele Seiten und Dienste bieten inzwischen die so genannte Zwei-Faktor-Authentifizierung an. Bei diesem Verfahren wird neben dem „Geheimnis“ (also dem Passwort) noch eine weitere Bedingung abgefragt. Das kann eine Keycard, ein Token (USB-Stick) oder eine Einmal-PIN, die man per SMS oder E-Mail erhält sein. Diese Anmeldeverfahren sind erheblich sicherer, da es einem Angreifer nicht helfen würde, das Passwort per Trojaner oder Backdor bei der Eingabe auszuspähen.
Eins muss man sich aber immer vor Augen führen: Bei Berichten mit Millionen oder Milliarden geklauter Passwörter kann man immer sagen, dass den User kein Verschulden getroffen hat. Es waren die Dienste-Anbieter und Web-Seitenbetreiber, die die Schwachstelle auf ihren Systemen hatten.
Gerne beraten wir sie beim Einsatz von Passwortmanagern und dem Erstellen von vernünftigen Passwort-Richtlinien
Verschlüsselung als technische Maßnahme ist nicht mehr optional
Früher waren viele Leute der Ansicht, dass sich Verschlüsselungsverfahren nicht lohnen. Man habe ja nichts zu verbergen und oft wurde auch angenommen, dass der Einsatz kompliziert sei. Die Frage ob es sich lohnt die Daten zu verschlüsseln, wird gewerblichen Kunden inzwischen abgenommen. Die Datenschutzgesetze schreiben Verschlüsselungen an vielen Stellen vor. Moderne Betriebssysteme sind für den Umgang mit verschlüsselten Datenträgern bestens gerüstet und auch der Schutz von Daten in E-Mails ist zwischenzeitlich ein alter Hut. Der Einsatz stellt im Betrieb keine nennenswerte Beeinträchtigung dar.
In der DSGVO wird Verschlüsselung als geeignete Maßnahme bezeichnet, um das erforderliche Schutzniveau zu erreichen (Art. 32 Abs. 1 a).
Wenn man solche Hinweise ignoriert, kann das im Falle eines Vorfalls recht teuer werden, wie der Fall bei knuddels.degezeigt hat. Die dort verhängten 20.000 € Bußgeld mögen zwar im ersten Moment sehr hoch erscheinen, aber es wird trotzdem als sehr moderat eingestuft. Die Aufsichtsbehörde hat die gute Zusammenarbeit mit dem Betreiber der Plattform, Knuddels GmbH & Co, als vorbildlich gelobt. Dies war wohl der wesentliche Grund dafür, dass trotz der fehlenden Verschlüsselung, das Bußgeld so moderat bemessen wurde.
Gerne beraten wir Sie und/oder ihren IT-Dienstleister bei der Einrichtung von Verschlüsselungen für Datenübertragungen (E-Mail, VPN) und Speicherung auf Datenträgern
Wie setzen sie die Passwortsicherheit in Ihrem Unternehmen um?
Facebook hat es gerade mal wieder gezeigt, Passwortsicherheit kann man kaum hoch genug bewerten. Heise berichtete: Facebook: Hunderte Millionen Passwörter im Klartext gespeichert Nur gut, wenn man Passwörter immer nur an einem Ort verwendet. Dann reicht es, wenn man nach solchen Meldungen das Passwort für diesen einen Zugang ändert und alles ist wieder gut.
Jetzt mag sich der eine oder andere denken: „Ich kann mir doch unmöglich für jede Seite und jeden Login ein eigenes Passwort merken!“ Stimmt, das ist nicht zu schaffen, ganz besonders dann nicht, wenn man auch noch „gute Passwörter“ verwenden soll. „Gute Passwörter? Was soll denn das nun wieder sein?“ Ein gutes Passwort besteht nicht aus lexikalischen Begriffen, enthält kein Datum, ist möglichst Lang und die Anordnung der Zeichen ist zufällig. „Aber das kann sich dann doch erst recht schon keiner mehr merken!“ Dafür gibt es Passwortmanager. Das sind kleine Programme, mit denen man seine Passwörter, aber auch Webseiten und und andere Login-Daten verwalten kann und die diese Daten auf eine sichere Art (verschlüsselt) speichern. Im Idealfall kann man die Passwortdatenbank hoch verschlüsselt in der Cloud speichern und hat so immer Zugriff auf alle seine Daten, egal ob man sich gerade mit dem Computer, dem Smartphone oder dem Tablett im Netz bewegt. Beim Computer kann es sogar sein, dass man unabhängig vom Betriebssystem (Windows, MacOS, Linux) an seine Passwörter kommt. Das alles ist ohne große Probleme umsetzbar und als User muss man sich nur noch ein einziges Passwort merken, das Passwort für den Passwortmanager. Dieses Passwort wird dabei nie in die Cloud übertragen, bleibt also sicher.
Haben wir Sie neugierig gemacht? Gerne beraten wir Sie beim sicheren Einsatz von Passwortmanagern und helfen beim Erstellen von sinnvollen Passwortrichtlinien für ihr Unternehmen
