Datenschutz und -Sicherheit fängt an Ihrem Arbeitsplatz an

Fragen zum Datenschutz und zur Daten-Sicherheit gehören zu den ersten, die uns gestellt werden. Wir nehmen diese Themen extrem ernst. Allerdings fängt Datensicherheit und Datenschutz schon am Rechner des jeweiligen Anwenders an. Auch wenn wir alles für eine sichere Plattform geben, einige Risiken können nur die Anwender:innen selbst verhindern.

Ein Must-Read für alle VIA-Anwender:innen, die die es werden wollen und eigentlich für alle Internet-Nutzer

Das größte Risiko sind Sie (sorry)

Alle Nutzer:innen von VIA werden zu Beginn von uns geschult. Ein Teil dieser Schulung ist auch immer das Thema Datensicherheit, Datenschutz und Passwort-Sicherheit und hier kommunizieren wir auch sehr direkt, wie wichtig starke Passwörter sind, wie Sie sich diese ausdenken können und was passiert wenn ein Passwort nicht sicher ist.

Das Passwort der jeweiligen Nutzer:innen ist die einzige Schranke zwischen dem weiten, „bösen“ Internet und den schützenswerten Daten in VIA. Zwar haben wir eine ganze Reihe weiterer Schutzmechanismen (mehr dazu unten), den Wichtigsten haben Sie dennoch in ihrer Hand (oder besser – in Ihrem Kopf) – Ihr Passwort.

Kurz gesagt, können wir uns noch so sehr mit der Sicherheit der Plattform beschäftigen; wenn Sie kein starkes Passwort haben oder es jemand Anderes kennt, können wir kaum verhindern, dass eine fremde Person sich als Sie ausgibt und sich anmeldet.

Passwort-Sicherheit als Nummer-1 Problem

Sie alle kennen die üblichen Passwort-Regeln, die sagen:

  • Sonderzeichen, Groß-und-Kleinbuchstaben, Zahlen nutzen
  • mindestens 8 Stellen
  • keine echten Wörter verwenden
  • Passwörter nach 90 Tagen ändern

Um ganz offen zu sein: die meisten Regeln sind völliger Quark. Das hat übrigens auch das NIST bestätigt, die sich diese Regeln Anfang der 90er Jahre ausgedacht haben.
Das sind die Gründe dafür:

Passwörter mit Sonderzeichen, Groß-und-Kleinschreibung und Zahlen bringen keine zusätzliche Sicherheit

Klar ist es gut sein Passwort aus möglichst unterschiedlichen Zeichen zusammen zu setzen. Für einen Computer sind aber alle Zeichen nur Zahlen-Kombinationen. Ein Computer, der Ihr Passwort versucht zu knacken, probiert alle Zeichenarten gleichermaßen. Ein großes „A“ ist in binär einfach „01000001“, ein kleines „a“ ist „01100001“. Klar sind das unterschiedliche Zahlen, für einen Computer ist es aber völlig egal welche Zahlenkette da zum Knacken ausgetestet wird. Groß- und Kleinschreibung machen keinen Unterschied und ebenso sieht es mit Zahlen („9“ = „10010000“ binär) und Sonderzeichen aus („+“ = „00101011“).

Komplizierte Passwörter, die sich nicht leicht merken lassen, führen zudem dazu, dass wir sie uns irgendwo notieren müssen und damit unsicher ablegen. Wie auf Schreibtisch-Unterlagen, in Passwort-Büchlein oder auf Post-its am Monitor. Wenn Sie sich hier angesprochen fühlen: ändern Sie bitte sofort Ihr Passwort!

Passwort mit mindestens acht Stellen ist eigentlich zu wenig

Klar, Passwörter mit mindestens acht Stellen sind absolute Pflicht. Dennoch sind acht Zeichen zu wenig. Wie eben erläutert, ist es kaum relevant, ob ich viele exotische Zeichen in einem Passwort verwende, für Computer sind alle Zeichen einfach nur Zahlen.

Viel wichtiger ist, dass wir die Kombinationsmöglichkeiten erhöhen. Und das geht nur mit längeren Passwörtern. Darum sind acht Zeichen als Minimum okay, aber eigentlich sollten wir Passwörter  mit zwölf, sechzehn oder mehr Zeichen verwenden. Nur das erhöht deren Sicherheit.

Passwörter dürfen keine echten Wörter verwenden stimmt nur teilweise

Diese Forderung ist einigermaßen sinnvoll. Passwort-Angriffe auf Systeme werden meist mit Listen von häufig verwendeten Passwörtern durchgeführt. Oder es wird versucht mit privaten Informationen über den Nutzerkonto-Inhaber dessen Passwörter zu erraten.

Passwörter, die also auf unsere allgemeine Sprache aufsetzen, sind unsicherer. Das trifft aber nur zu, wenn wir diese Wörter als Reintext verwenden. Verketten wir Wörter zu langen Passwörtern, können wir auch Wörter aus dem Duden nehmen, weil solche Listen-Angriffe dann nicht mehr möglich sind.

Viel wichtiger an dieser Stelle ist nämlich, dass wir keine Passwörter nehmen,

  1. die in irgendeiner persönlichen Verbindung zu uns stehen (Geburtsdaten, Hochzeitstag, Hausnummern, Namen der Haustiere, Kinder oder Partner, etc.) und
  2. die in dieser oder ähnlicher Form auf anderen Portalen schonmal verwendet wurden. Wenn das fremde Portal kompromittiert ist und Ihr Passwort dort geklaut wurde, wäre der Zugang zu VIA auch ungeschützt.

Trifft dies auf eines Ihrer Passwörter zu, ändern Sie dieses bitte sofort.

Passwörter nach 90 Tagen zu ändern führt eher zu Problemen

Das Ändern von Passwörtern ist nur dann sinnig, wenn wir die Befürchtung haben, dass es ein Fremder herausgefunden haben könnte. Ist das nicht der Fall, ist Ihr Passwort auch am 91. Tag noch sicher.

Müssen wir unsere Passwörter nach einer gewissen Zeit ändern, führt das nur dazu, dass wir uns dieses Passwort gar nicht erst merken, irgendwo notieren und dass wir es einfach „fortschreiben“. Aus „s1cheres_Passw0rt“ wird dann nach 90 Tagen „s1cheres_Passw0rt_1“ und so weiter. Das erhöht die Sicherheit nicht, ganz im Gegenteil.

Außerdem: wenn ein Fremder mein Passwort herausfindet, dann reichen 90 Tage durchaus dazu aus, diese Sicherheitslücke auszunutzen. Ein nach Wochen geändertes Passwort macht dann nur noch wenig Unterschied.

Zum Thema Passwortsicherheit können Sie hier weiterlesen:

Aufmerksamkeit und kritisches Hinterfragen sorgen für mehr Sicherheit

Ein weiteres Einfallstor für Angreifer ist unsere Unaufmerksamkeit. Angreifer werden bei sog. „Phishing-Angriffen“ immer raffinierter. Dabei versenden Angreifer harmlos wirkende E-Mails mit Datei-Anhängen, die ein Nutzer öffnet und die dann Schadcode auf den PC geladen werden. Das ist eine reelle Gefahr, deren Opfer sowohl Verwaltungen als auch große Unternehmen schon wurden.

Quelle: Wikipedia, Beitrag zum Phishing
Quelle: Wikipedia, Beitrag zum Phishing – eine gefälschte E-Mail mit dem Ziel Ihre Login-Daten abzugreifen. Der Link „meine.deutsche-bank.de“ sieht nur so aus, er zeigt in Wirklichkeit auf eine andere URL. Man kann die Link-URL hinter Text verstecken. Schauen Sie hier: https://www.google.de

 

Ihre IT-Abteilung kann einen ganzen Teil dieser Angriffe schon abfangen. 100% werden sie aber nicht filtern können. Darum ist der einzige wirksame Schutz nur Ihre persönliche Aufmerksamkeit:

  • Öffnen Sie  keine  Dateianhänge von Absendern, denen Sie nicht vertrauen oder die Sie nicht kennen.
  • MS Word und MS Excel sind extrem anfällige Programme. Öffnen Sie niemals Office-Dateien mit aktivierten Makros.
  • Misstrauen Sie E-Mails grundsätzlich. Keine Bank, kein Unternehmen schickt Ihnen Arbeits-E-Mails und fordert Sie zur Eingabe eines Passworts auf. Auch wir nicht.
  • Öffnen Sie keine privaten E-Mail-Accounts auf Arbeitsgeräten.
  • Bevor Sie auf einen Link klicken, prüfen Sie, ob der Link auf eine Seite des sendenden Unternehmens geht oder ob die URL dahinter „komisch“ aussieht.

Weitere Informationen zu Phishing:

Fehler direkt offen kommunizieren

In der Vergangenheit gab es einige sehr öffentliche Vorfälle bei denen Verwaltungen (Stadt Frankfurt, mehrere Bundesbehörden) und Unternehmen lahmgelegt wurden, oder wo schützenswerte Daten abgegriffen wurden. Ein aktuelles Beispiel ist die Luca-App zur Covid-19 Kontakt-Nachverfolgung. Hier gelang es IT-Sicherheitsexperten erst kürzlich nicht nur personenbezogene Daten zu entwenden, sondern sogar Schadsoftware bei Gesundheitsämtern auszuführen.

Sie sehen also, es kann sehr schnell passieren und die Anzahl der möglichen Einfallstore ist groß. Es ist darum keine Schande, wenn Ihnen das passiert und wenn Sie vorher immer sogfältig waren. Wichtig in einem solchen Fall ist aber, dass Sie schnell handeln und offen kommunizieren.

  • Haben Sie den Verdacht, dass Ihr Passwort unsicher ist, ändern Sie es.
  • Befürchten Sie, dass ein Dritter Zugang zu VIA gehabt haben könnte, melden Sie das uns und Ihren Vorgesetzten, wir können sehr tief schauen, wann welche Daten abgerufen wurden.
  • Finden Sie eine E-Mail suspekt, teilen Sie dies Ihrem System-Admin mit, damit er diese oder Ähnliche zukünftig bannen kann.
  • Versuchen Sie Vorkommnisse nicht zu ignorieren, nur so können wir dauerhaft die Sicherheit der Plattform gewährleisten.

Diese Sicherheits-Mechanismen bringt VIA mit

Natürlich stehen Sie nicht alleine da. Die VIA-Cloud-Plattform bringt eine ganze Reihe an Schutzmechanismen mit.

  • Passwörter werden nicht Reintext gespeichert, sonder in kryptografisch abgewandelter Form und sind für niemanden lesbar oder „zurückrechenbar“.
  • DDOS-Angriffe werden gefiltert und von der Plattform abgelenkt.
  • Geo-Blocking verhindert, das Nutzer aus anderen Ländern zugreifen können.
  • Die Zugriffs-Protokollierung ist sehr granular und lässt das Finden und Aussperren von nicht berechtigen Personen zu.
  • VIA-Instanz und Datenbank werden auf getrennten Servern betrieben.
  • Alle Daten werden permanent auf zwei Rechenzentren verteilt, geht eines ungeplant vom Netz, sind die Daten auf dem zweiten weiterhin verfügbar.
  • VIA hat einen Passwort-Generator, der sehr starke aber leicht zu merkende Passwörter generiert und der Unsichere ablehnt.
  • Wir führen demnächst eine 2-Faktor-Authentifizierung ein.

Fazit

Eingangs habe ich gesagt, dass Sie der größte Unsicherheits-Faktor sind. Präziser wäre aber die Aussage, das Sie der wichtigste Sicherheitsfaktor sind.

Denn wir tun alles für eine stabile und sichere Plattform und stecken viel Zeit und Energie (und Geld) darein. Mit Ihrer Hilfe sind die Daten in VIA darum weiterhin gut geschützt, wenn Sie sich an unsere drei Regeln halten:

  1. Sichere Passwörter verwenden.
  2. Immer aufmerksam sein und Dateien/Nachrichten kritisch hinterfragen.
  3. Mögliche Schwachstellen sofort melden und schließen (lassen).
Unsere Anwendung VIA hilft Ihnen bei allen Aufgaben der kommunalen Schülerbeförderung
freigestellter Schülerverkehr
ÖPNV
Kostenerstatter

Über den Autor

Lars Lehmann
Lars Lehmann

Lars Lehmann ist Mitgründer und Geschäftsführer bei Stadt.Land.Netz. Er hat zehn Jahre in verschiedenen Positionen regionaler Behörden gearbeitet und verantwortet die Bereiche Produkt und Entwicklung bei SLN.

Neueste Beiträge

Kategorien