Tag Archives: Sicherheit

Sichere und komfortable Passwort-Verwaltung mit Keepass

By | 5. April 2018

Passwörter – zu viele, zu komplex, kaum zu merken

Es gibt zahl­rei­che Mythen rund um die The­men Pass­wort und Sicher­heit, die sich hart­nä­ckig hal­ten. Und das obwohl allen Akteu­ren eigent­lich klar sein soll­te, dass die Ide­en dahin­ter aus dem Bereich Fan­ta­sy ent­stam­men, jedoch nicht zur Pass­wort-Sicher­heit bei­tra­gen. Anhän­ger der Theo­ri­en “Pass­wör­ter müs­sen immer Son­der­zei­chen und Zah­len ent­hal­ten” und “Pass­wör­ter muss man regel­mä­ßig wech­seln” las­sen sich davon eh nicht abbrin­gen. Die Ver­nünf­ti­gen der Zunft haben die Zei­chen der Zeit erkannt und drang­sa­lie­ren die Nut­zer nicht mehr mit die­sem Bal­last, der kon­kret beleuch­tet eher Unsi­cher­heit statt Sicher­heit bringt. Doch hier sol­len kei­ne Glau­bens­krie­ge aus­ge­foch­ten wer­den. Wen es inter­es­siert, hier haben wir wei­te­re Details dazu zusam­men­ge­tra­gen:

Fakt ist, unter­schied­li­che Log­ins / Accounts soll­ten auch unter­schied­li­che Pass­wör­ter nut­zen. Damit ist sicher­ge­stellt, dass ein ein­zel­ner kom­pro­mit­tier­ter Zugang nicht zum Öff­nen aller ande­ren Zugän­ge genutzt wer­den kann. Unab­hän­gig von Pass­wort­län­ge und Kom­ple­xi­tät kom­men hier für einen Anwen­der im Lau­fe der digi­ta­len Nut­zung zig Log­in-Daten zusam­men (PC Anmel­dung, Pro­gramm Anmel­dung, Cloud-Spei­cher Anmel­dung, diver­se Accounts bei Online-Shops, PINs und und und). Und alle Zugän­ge haben ein unter­schied­li­ches Pass­wort. Wer soll sich das alles mer­ken? Abhil­fe schaf­fen soge­nann­te Pass­wort-Tre­so­re wie … Weiterlesen

Ich bereue den Passwort-Wahnsinn”

By | 11. August 2017

Wieso bisher ein Passwort dauernd gewechselt werden musste

8 Sei­ten, die es in sich haben. Die “NIST Spe­cial Publi­ca­ti­on 800–63. Appen­dix A”. Ver­fasst 2003 von Mis­ter Bill Burr. Sei­ner­zeit Mit­ar­bei­ter des Natio­nal Insti­tu­te of Stan­dards and Tech­no­lo­gy (NIST). Das NIST ist eine US-Behör­de, die unter ande­rem für Tech­no­lo­gie­stan­dards zustän­dig ist. Die dama­li­ge Emp­feh­lung hielt Ein­zug in die Sicher­heits­li­te­ra­tur und hält sich seit­her dort hart­nä­ckig. Auch der BSI IT-Grund­schutz und ande­re Sicher­heits­stan­dards bau­en auf die­ser Emp­feh­lung auf.

Bisher galt ein Passwort als sicher, wenn es komplex war und dauernd geändert wurde

Das NIST emp­fahl bis­her zur Pass­wort­si­cher­heit:

  1. Pass­wör­ter sol­len kom­plex sein (Groß­schrei­bung, Klein­schrei­bung, Zah­len, Son­der­zei­chen)
  2. Pass­wör­ter sol­len alle 90 Tage gewech­selt wer­den

Im Ergeb­nis fluch­ten die End­an­wen­der rund um den Glo­bus. Siche­rer sind Pass­wör­ter hier­durch nicht gewor­den. Dafür haben die­se Emp­feh­lun­gen viel Ner­ven und Zeit gekos­tet.

Ich bereue den Passwort-Wahnsinn”

In einem Inter­view hat sich der nun in Ren­te ste­hen­de Burr gegen­über der Washing­ton Post geäu­ßert. “Die Wahr­heit ist: Ich war auf dem fal­schen Damp­fer.” Wir haben auf unse­rem Sicher­heits­blog in 2016 bereits einen Arti­kel hier­zu ver­fasst “Über Bord mit ver­al­te­ten star­ren Pass­wort-Richt­li­ni­en”.

Das NIST hat nun im Som­mer 2017 die­se 14 Jah­ren alten Emp­feh­lun­gen und Rege­lun­gen zur Pass­wort­si­cher­heit Weiterlesen

a.s.k. Datenschutz zertifizierter ISIS12 Berater

By | 26. August 2015

Seit dem 06. August 2015 ist es offi­zi­ell – a.s.k. Daten­schutz Sascha Kuhrau ist geprüf­ter und zer­ti­fi­zier­ter ISI­S12-Bera­ter.

Mit ISIS12 steht eine Sys­te­ma­tik zur Ein­füh­rung eines ISMS (Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem) zur Ver­fü­gung, die in der Kom­ple­xi­tät dras­tisch gegen­über dem BSI IT Grun­schutz­ka­ta­log redu­ziert ist, ohne dabei in die Abs­trakt­heit der ISO270001 Zer­ti­fi­zie­rung abzu­drif­ten.

Als ISI­S12-Bera­ter unter­stüt­ze ich Sie bei der Ein­füh­rung und auf Wunsch Zer­ti­fi­zie­rung eines Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tems nach dem ISIS12 Stan­dard.

Baye­ri­sche Kom­mu­nen kön­nen die Ein­füh­rung mit bis zu 15.000 Euro för­dern las­sen. Vor­aus­set­zung ist die Unter­stüt­zung durch einen zer­ti­fi­zier­ten ISI­S12-Bera­ter wie a.s.k. Daten­schutz Sascha Kuhrau. In Sach­sen gibt es ein ISIS12 För­der­pro­gramm für klei­ne und mitt­le­re Unter­neh­men (KMU).

Spre­chen Sie mich an, ger­ne stel­le ich Ihnen ISIS12 per­sön­lich vor.

 … Weiterlesen

a.s.k. Datenschutz zu Gast auf der AKDB Hausmesse in Würzburg am 09.07.2015

By | 22. August 2015

Wir durf­ten zu Gast sein auf der jüngs­ten AKDB Haus­mes­se in Würz­burg am 09.07.2015. Unter dem Mot­to “Zukunft gestal­ten” infor­mier­ten sich knapp 350 Besu­cher zu aktu­el­len kom­mu­na­len IT-The­men. Im Rah­men unse­res Gast­vor­tra­ges stell­ten wir die aktu­el­le Bedro­hungs­la­ge in der IT-Sicher­heit dar, sowie das not­wen­di­ge Umden­ken bei der Bekämp­fung die­ser Risi­ken für kom­mu­na­le IT-Infra­struk­tu­ren dar. Auch in den anschlie­ßen­den Gesprä­chen waren sich die Betei­lig­ten einig: es ist kei­ne Fra­ge mehr des Ob, son­dern nur noch des Wann es zu einem (erfolg­rei­chen) Angriff auf die eige­nen IT-Sys­te­me kommt.… Weiterlesen

Folge von Charlie Hebdo: Reflexartige Rufe nach Vorratsdatenspeicherung deutscher Politiker

By | 13. Januar 2015

Es hat nicht lan­ge gedau­ert und schon schall­te es aus den bekann­ten poli­ti­schen Lagern Die Vor­rats­da­ten­spei­che­rung muss her. Ohne die­se sei­en die abscheu­li­chen Anschlä­ge in Paris zukünf­tig nicht zu ver­hin­dern, die Sicher­heit der Repu­blik gar in Gefahr. Man kann es nicht mehr hören.

Ger­ne wird dabei ein wich­ti­ger Punkt unter­schla­gen: Frank­reich hat die Vor­rats­da­ten­spei­che­rung, sogar für 12 Mona­te. Genutzt hat die­se jedoch rein gar nichts. Die Atten­tä­ter waren bekannt und den­noch konn­ten die­se schreck­li­chen Taten began­gen wer­den. “Die Vor­rats­da­ten­spei­che­rung jetzt zu for­dern, ist nicht ziel­füh­rend, son­dern eine Instru­men­ta­li­sie­rung der Ereig­nis­se”, so die Obfrau der Grü­nen im Bun­des­tags-Innen­aus­schuss, Ire­ne Miha­lic. Ande­re Stim­men bezeich­nen For­de­run­gen, z.B. aus dem Lager der CSU als “übli­chen Reflex”.

Edward Snow­den hat Mit­te 2014 Unter­la­gen vor­ge­legt, aus denen her­vor­ging, die Atten­tä­ter von 9/11 waren den Sicher­heits­be­hör­den bekannt. Es sol­len rele­van­te Infor­ma­tio­nen und Daten vor­ge­le­gen haben, die auf ein mög­li­ches Atten­tat hin­wie­sen. Doch konn­ten die­se nicht rich­tig ver­knüpft und inter­pre­tiert wer­den. Eine Fol­ge der mas­sen­haf­ten Spei­che­rung von Daten.

Bun­des­in­nen­mi­nis­ter Hei­ko Maas lehnt daher die For­de­rung nach einer Vor­rats­da­ten­spei­che­rung und ihrer Aus­wei­tung kon­se­quent ab. Sein nach­voll­zieh­ba­rer Vor­schlag mit Augen­maß: mehr mate­ri­el­le und per­so­nel­le Unter­stüt­zung.… Weiterlesen

Passwort-Safes zu Unrecht wenig beliebt

By | 27. Oktober 2014

Laut einer aktu­el­len Bit­kom Stu­die nut­zen ledig­lich 24% der befrag­ten Inter­net­nut­zer Pass­wort-Safes für Com­pu­ter und Online-Diens­te. Das sind 5% Pro­zent­punk­te mehr als im ver­gan­ge­nen Jahr, was sei­tens Bit­kom auf ein gestie­ge­nes Pro­blem­be­wußt­sein sei­tens der Nut­zer auf­grund der NSA Affä­re zurück­zu­füh­ren sei. Die Mehr­heit bevor­zugt jedoch nach wie vor ein­fa­che und mehr­fach genutz­te Pass­wör­ter. Letz­ters wird schnell zum Pro­blem, wenn ein Account erfolg­reich kom­pro­mit­tiert wur­de.

Über die Län­ge und Kom­ple­xi­tät von Pass­wör­tern wer­den wah­re Glau­bens­krie­ge geführt. Kann es der einen Par­tei nicht lang und kom­plex genug sein, zeich­net sich die Gegen­sei­te durch eine teil­wei­se naï­ve Sicht­wei­se auf das The­ma aus. Die Lösung wird – wie so oft – dazwi­schen lie­gen. Fakt ist, zu kur­ze Pass­wör­ter even­tu­ell noch ohne Kom­ple­xi­tät sind ein gefun­de­nes Fres­sen, sofern kei­ne wei­te­ren Hür­den wie Log­in Sper­ren nach x Fehl­ver­su­chen auf­ge­stellt sind. Fakt ist aber auch, ein zu lan­ges Pass­wort ist aus der Pra­xis her­aus unsi­cher, da es sich der Anwen­der nicht mer­ken kann und irgend­wo nie­der­schreibt.

Einen Kom­pro­miss stel­len Pass­wort-Safes dar. Die­se wer­den durch ein ein­ma­li­ges kom­ple­xes siche­res Pass­wort geschützt und in der dahin­ter­lie­gen­den Daten­bank wer­den alle ande­ren Zugangs­da­ten für Com­pu­ter und Online-Diens­te ver­schlüs­selt abge­legt. So muss sich der Nut­zer erst mal nur das Haupt­pass­wort mer­ken, das … Weiterlesen

Neuer (trauriger) Rekord: 1,2 Milliarden Datensätze gehackt

By | 6. August 2014

Ame­ri­ka­ni­sche und nun auch deut­sche Medi­en berich­ten vom wohl größ­ten Daten­klau in der Geschich­te des Inter­nets. Zumin­dest vom größ­ten bekann­ten Daten­klau kann man wohl getrost aus­ge­hen.

Einer rus­si­schen Hacker­grup­pe soll es gelun­gen sein, über 1,2 Mil­li­ar­den Daten­sät­ze zu hacken. Betrof­fen sei­en Benut­zer­na­men, Pass­wör­ter und auch Email-Adres­sen. Das deut­sche Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik, kurz BSI warnt vor der opti­mis­ti­schen Ein­schät­zung, deut­sche Nut­zer könn­ten even­tu­ell nicht betrof­fen sein. Sobald man wei­te­re Infor­ma­tio­nen aus den USA vor­lie­gen habe, wer­de man sich um Hil­fe­stel­lun­gen für deut­sche Inter­net­nut­zer bemü­hen und die­se ver­öf­fent­li­chen. Ursprüng­lich sei­en wohl sogar mehr als 4 Mil­li­ar­den Daten­sät­ze betrof­fen gewe­sen, doch durch Aus­schluß von Dopp­lun­gen sei es zu einer Reduk­ti­on auf 1,2 Mrd. gekom­men.

Nun heißt es also wie­der mal, breit­flä­chig Pass­wör­ter ändern. Das die­se gewi­ße Sicher­heits­an­for­de­run­gen genü­gen müs­sen, soll­te sich mitt­ler­wei­le rum­ge­spro­chen haben. Auch die Nut­zung von einem Pass­wort für meh­re­re Diens­te ist geeig­net, es Hackern und Die­ben leich­ter zu machen – von daher kei­ne gute Idee. Da man sich die­se nicht alle mer­ken kann, bie­tet sich die Nut­zung eines Pass­wort-Tre­sors wie Kee­pass an. Cloud basier­te Pass­wort­ma­na­ger ohne Ver­schlüs­se­lugn oder gar von ame­ri­ka­ni­schen Anbie­tern soll­ten sich von selbst ver­bie­ten.

Wohl dem, der in sei­nen Online Pro­fi­len nicht alle Kom­fort-Merk­ma­le … Weiterlesen

BadUSB: Manipulierte USB Sticks (erneut) zum Albtraum mutiert

By | 2. August 2014

USB Sticks sind seit je her ein Sicher­heits­ri­si­ko. Schnell sind Daten kopiert und abge­grif­fen. Oder man kommt zurück von einem Außen­ein­satz und hat sich dort einen Virus gefan­gen, der beim Anste­cken an das Gast-Sys­tem im inter­nen IT Netz nun nur dar­auf war­tet, sich zu über­tra­gen.

Weit­aus per­fi­der kommt jetzt eine neue Vari­an­te daher. Ganz ohne Ein­grif­fe mit Löt­kol­ben & Co mutie­ren USB Sticks zu einem zur Zeit noch nicht wir­kungs­voll bekämpf­ba­ren Sicher­heits­ri­si­ko. Nur mit­tels ein­fa­cher SCSI Befeh­le umpro­gram­miert, gibt sich ein Stan­dard USB Stick aus dem Ram­sch­re­gal als USB Tas­ta­tur zu erken­nen und führt dahin­ter sei­ne Schad­rou­ti­ne aus. Das gemei­ne dar­an: USB Ein­ga­be­ge­rä­te sind von gene­rel­len Sper­run­gen der USB Ports meist aus Prak­ti­ka­bi­li­täts­grün­den aus­ge­nom­men. Doch weder das Gast-Sys­tem noch Anti-Viren-Soft­ware ist in der Lage, das Risi­ko hin­ter der ver­meint­li­chen Tas­ta­tur zu erken­nen. Der Stick greift daher nun nicht nur alle Tas­ta­tur­ein­ga­ben ab, son­dern kann sei­nen Schad­code direkt aus der Firm­ware auf das Gast-Sys­tem und wei­te­re ange­schlos­se­ne USB Sticks ver­brei­ten.

Im wahrs­ten Sin­ne des Wor­tes eine Virus-Infek­ti­on!

Da die Her­stel­ler von USB Sticks haupt­säch­lich auf drei Controller(-hersteller) samt Firm­ware set­zen, die alle­samt aus­ge­le­sen und angreif­bar sind, wird das Sicher­heits­ri­si­ko schwer ein­zu­fan­gen sein, sobald die­se Lücke aus­ge­nutzt wird. Noch wur­de die Metho­de … Weiterlesen

Neues Paypal Phishing dank SEPA

By | 9. Juli 2014

Es ist erneut eine gut gemach­te Phis­hing Email im Umlauf. Die­ses mal trifft es den Anbie­ter Pay­Pal. Als Zug­pferd wird das SEPA Ver­fah­ren her­an­ge­zo­gen. Man möge doch so nett sein, sich über den Link hin­ter dem But­ton “Jetzt auf SEPA umstel­len” ein­zu­log­gen und sei­ne Bank­da­ten zu veri­fi­zie­ren. Man darf sicher sein, zumin­dest die Zugangs­da­ten zu Pay­pal wer­den danach nicht mehr sicher sein. Der Link führt näm­lich mit­nich­ten zu Pay­pal, son­dern über einen URL Shor­tener Dienst ganz woan­ders hin. Pro­bie­ren Sie es bes­ser nicht aus! Es reicht, wenn Sie sich den hin­ter­leg­ten Link anzei­gen las­sen, in dem Sie mit der Maus über den fah­ren. Der Link wird dann ange­zeigt.

Gut, wer in Pay­Pal zusätz­li­che Sicher­heits­fea­tures akti­viert hat, wie den SMS Log­in (Pay­pal Sicher­heits­schlüs­sel). Nach dem Log­in wird eine SMS an die regis­trier­te Mobil­te­le­fon­num­mer ver­sandt. Erst nach der Ein­ga­be des Codes aus die­ser SMS erfolgt der Zugriff auf das Pay­pal Kon­to.

Soll­ten Sie eine Email erhal­ten, die aus­sieht, wie folgt – ein­fach löschen. :-)

Paypal Phishing Email
Pay­pal gibt auf der Unter­neh­mens­web­sei­te wei­te­re Tipps, wie der Nut­zer Phi­sing Mails erken­nen und sich davor schüt­zen kann.… Weiterlesen

Die Gefahr von innen – wenn Mitarbeiter zum Sicherheitsrisiko werden

By | 7. Juli 2014

Viel Zeit und Mühe wird in das Abschir­men und Absi­chern von IT Netz­wer­ken gegen Angrif­fe von außen inves­tiert. Dabei über­sieht man schnell die Gefah­ren, die Unter­neh­mens­da­ten von innen dro­hen kön­nen. Unab­hän­gig ob Fahr­läs­sig­keit oder Absicht, so soll­ten Sie als Unter­neh­mer und Unter­neh­men die­se Bedro­hung nicht aus dem Blick ver­lie­ren. In fast einem Vier­tel aller Fäl­le sind Mit­ar­bei­ter der Grund für Daten­ab­fluss aus dem Unter­neh­men.

In Zei­ten von Spei­cher­sticks mit immer grö­ße­rer Spei­cher­ka­pa­zi­tät und Foto­han­dys mit meh­re­ren Mega­pi­xeln Auf­lö­sung erschreckt es teil­wei­se, wie lax der inter­ne Umgang in Unter­neh­men sein kann.

  • Nut­zungs­richt­li­ni­en und Pro­fil­sper­ren für die Nut­zung von USB Sticks sind oft Fehl­an­zei­ge. Daten kön­nen in gro­ßen Men­gen kopiert und unauf­fäl­lig in der Hosen­ta­sche aus­ser Haus gebracht wer­den.
  • Foto­han­dys wer­den teil­wei­se sogar vom Unter­neh­men den Mit­ar­bei­tern zur Ver­fü­gung gestellt. Die hohen Auf­lö­sun­gen erlau­ben detail­ge­treue Wie­der­ga­ben beim Abfo­to­gra­fie­ren wich­ti­ger und gehei­mer Doku­men­te. Nütz­lich ist die oft­mals zusätz­lich ein­ge­rich­te­te Inter­net­flat, um die Foto­do­ku­men­ta­ti­on gleich noch unauf­fäl­lig  zu ver­sen­den.

Doch dies sind nur zwei aus­ge­wähl­te Mög­lich­kei­ten, wie schüt­zens­wer­te Daten das Unter­neh­men ver­las­sen kön­nen. Die­se set­zen selbst­ver­ständ­lich noch ein gewis­ses Maß an kri­mi­nel­ler Ener­gie bei Ihren Mit­ar­bei­tern vor­aus. Aber wer kennt schon den genau­en Preis, ab dem Loya­li­tät in den Hin­ter­grund tritt?

Auch unbe­wuß­te Gefah­ren … Weiterlesen