users lounge

Der Podcast für mehr IT-Sicherheit

#02 Vertraulichkeit Part 1

Kennwörter

22.09.2023 35 min René Geppert & Michael Kornmann

Zusammenfassung & Show Notes

Wir starten in den Bereich "Technische und Organisatorische Maßnahmen". Genauer gesagt geht es um Vertraulichkeiten und hier ist einer der größten Punkte das Kennwort. Wie wird dieses verwaltet? Solltest du es wohl unter deine Tastatur kleben? Was denkst du? 😉

Wir sprechen über Datenschutz und Vertraulichkeit – mit besonderem Fokus auf technische und organisatorische Maßnahmen. Wir diskutieren die Bedeutung von Vertraulichkeit, Zugriffsmanagement und Passwortsicherheit sowie die Herausforderungen und Lösungen im Umgang mit Passwörtern in Unternehmen. Dabei betonen wir, wie wichtig komplexe Passwörter und der Einsatz von Passwortmanagern sind, um die Sicherheit zu erhöhen. Zudem heben wir die Rolle der Multifaktor-Authentifizierung hervor, die den Zugriff auf Unternehmensdaten zusätzlich absichert. Abschließend empfehlen wir den Einsatz eines Passwortmanagers – nicht nur zur Verbesserung der IT-Sicherheit, sondern auch, um den Komfort für die Benutzer zu steigern.

Takeaways
  • Vertraulichkeit ist ein zentrales Thema im Datenschutz.
  • Technische und organisatorische Maßnahmen sind entscheidend für die Sicherheit.
  • Zugriffsmanagement sollte zentralisiert und gut strukturiert sein.
  • Passwortsicherheit ist ein wichtiger Aspekt der IT-Sicherheit.
  • Länge und Komplexität von Passwörtern sind entscheidend für die Sicherheit.
  • Mitarbeiter sollten in der Passwortnutzung geschult werden.
  • Single Sign-On kann die Benutzerfreundlichkeit erhöhen.
  • Cloud-Lösungen bieten Vorteile in der Benutzerverwaltung.
  • Regelmäßige Passwortänderungen sind nicht immer notwendig.
  • Ein sicheres Passwort sollte nicht auf Papier geschrieben werden. Ein sicheres Passwort ist entscheidend für die IT-Sicherheit.
  • Regelmäßiger Passwortwechsel kann zu schwächeren Passwörtern führen.
  • Administratoren können Passwörter zurücksetzen, ohne sie einsehen zu können.
  • Multifaktor-Authentifizierung erhöht die Sicherheit erheblich.
  • Passwortmanager bieten eine einfache Lösung zur Verwaltung komplexer Passwörter.
  • Die Nutzung von Authenticator-Apps ist empfehlenswert.
  • Passwortmanager können auch im Unternehmenskontext effektiv eingesetzt werden.
  • Komplexe Passwörter sollten nicht leicht zu merken sein.
  • Die Sicherheit von Unternehmensdaten hängt von der richtigen Passwortverwaltung ab.
  • Investieren Sie in einen Passwortmanager für mehr Sicherheit und Komfort.

Transkript

Hallo und herzlich willkommen in der users lounge, dem Podcast, bei dem IT und Datenschutz im Fokus stehen. René und Michael starten in das Thema Vertraulichkeit im Sinne der technischen und organisatorischen Maßnahmen. Also schnappt euch eine Tasse Kaffee und macht es euch bequem.
René
00:00:31
Ja, moin Michael.
Michael
00:00:33
Moin René, hallo.
René
00:00:34
Heute zur zweiten Ausgabe nach der Vorstellung, das letzte Mal. Dann diesmal wirklich Start ins Thema oder in die Themen.
Michael
00:00:42
Heute geht es los, ja.
René
00:00:44
Genau. Diesmal, wie angekündigt, starten wir in die technischen und organisatorischen Maßnahmen und da mit dem Punkt Vertraulichkeiten. Da kannst du ja mal erzählen, was so allgemein in diesem Bereich mit reingehört.
Michael
00:00:59
Genau, ich gebe einen kurzen Überblick. Und zwar nochmal für alle die, die normlastig unterwegs sind. Wenn wir uns über technische und organisatorische Maßnahmen jetzt und in den nächsten users lounges unterhalten, beziehen wir uns immer auf die DSGVO 32, Sicherheit der Verarbeitung. Und da steht halt eben drin, dass angemessene technische und organisatorische Maßnahmen zu treffen sind. Und welche das sind, welche man treffen muss, welche man treffen sollte. Das ist so das Thema, was wir heute besprechen und das Thema, was wir in den nächsten Episoden besprechen. Und wir gucken uns heute die Vertraulichkeit an, also wir starten mit der Vertraulichkeit. Und ich glaube, wir kriegen auch heute nur einen kleinen Teil der Vertraulichkeit hin, weil die Vertraulichkeit auch sehr großbreit gefächert ist. Wenn wir uns über die Vertraulichkeit Gedanken machen, dann muss man sich im Großen und Ganzen erstmal Gedanken machen, wie stelle ich sicher, dass die Daten und Informationen, die ich in meinem Unternehmen habe, salopp gesagt auch in meinem Unternehmen bleiben und nur die Personen darauf zugreifen dürfen, die dazu berechtigt sind und die entsprechend vertraulich sind und auf vertrauliche Informationen zugreifen können. Das ist so das große Ganze zum Thema Vertraulichkeit. Das geht los bei, wie kommen Leute aufs Unternehmen, wie habe ich die Zutrippe ins Unternehmen geregelt, wer kann alles in mein Unternehmen rein, wer kann alles wie Zutritt oder Zugriff auf Informationen und personenbezogene Daten kriegen. Wir wollen uns aber heute einsteigen und wollen heute mal so mit einem Schritt weiter einsteigen und gucken uns heute mal an, wie wir eben Zugriffe und so mit Vertraulichkeiten regeln können auf IT-Systemen. Und da, denke ich, ist das Thema Passwort und wie das geregelt wird ein ganz gutes Thema, womit man mal so einen Einstieg finden kann in die Welt der Sicherheit der Verarbeitung.
René
00:02:57
Erster Punkt, glaube ich, ist da immer erstmal Anmeldung an den Rechner.
Michael
00:03:01
Genau. Wenn der Regulatorische von Passworten spricht, dann weiß der Techniker genau, was gemeint ist. Und zwar geht es darum, wie berechtige ich oder wie greifen oder wie können User auf IT-Systeme zugreifen. Das ist ja so das große Ganze, sage ich jetzt einfach mal. Ob es jetzt der Rechner ist oder die Cloud-Software oder der User-Account oder weiß der Teufel noch eins. Im großen Ganzen geht es darum, wie berechtige ich einen Mitarbeiter, Zugriff auf Daten zu kriegen. Und ich glaube, vom Thema her fangen wir an mit Computern. Ich glaube, so geht es los. Wir gucken gleich nachher mal. Es hat sich in meinen Augen und in meiner Welt und ich glaube in deiner auch ganz, ganz viel gedreht. Früher hat man einen Computer da stehen gehabt. Da hat man sich ganz brav mit Benutzernamen und Passwort angemeldet. Und da lagen doch alle Programme in irgendeiner Art und Weise auf dem Rechner und hast auf dem Rechner zu tun gehabt. Und inzwischen hat sich das ja gedreht. Ich komme ja später zu. Du hast ja so viele Software-Systeme, die inzwischen Cloud-basierend sind. Also du hast inzwischen eine Vielzahl von Anmeldungen und Accounts, die man halt früher nicht hatte. Oder sehe ich das falsch?
René
00:04:20
Das ist auf jeden Fall richtig. Also der Zettel, den man unter die Tastatur kleben muss für die Kollegen, der wird länger. Der wird länger, ja. Nein, also bloß nicht falsch verstehen. Bitte nicht machen, natürlich. Ja, es ist natürlich so, damals war es ganz viel, dass man, ich sage mal, man hat wirklich eine Anmeldung gehabt und dann hatte man Zugriff auf alles. Das ist halt heute schon anders. Die Systeme sind natürlich auch verteilt. Also nicht mehr alles nur noch lokal im Netzwerk, sondern auch viel ausgelagert. Aber es ist halt schwieriger, ja schwieriger ist eigentlich der falsche Ausdruck dafür. Es ist so, dass wir jetzt durch die Sicherheiten, die wir schaffen, es ist natürlich für Mitarbeiter teilweise komplizierter geworden. Da ist zumindest oftmals der Eindruck gewesen. Deswegen haben sich auch so lange so viele davor gescheut. Mittlerweile gibt es da viele Möglichkeiten, die man hat, um dann doch sehr einfach an die Systeme ranzukommen und trotzdem, also auch an die Anwendungen und so, und trotzdem eben die Sicherheit zu gewährleisten.
Michael
00:05:35
Ja, ich kann mich erinnern, das ist wahrscheinlich immer noch so, Zugriff auf den Computer, das ist, der Mitarbeiter fängt im Unternehmen an und dann kriegt der IT-Dienstleister eine Meldung. Hey, Lieschen Müller fängt jetzt ab sofort in der Personalabteilung an und dann läuft ein Automatismus los, beziehungsweise dann wird der User wo angelegt? Fangen wir mal bei Adam und Eva an.
René
00:06:01
Ja, das hängt ja ganz davon ab, wie die eigene Struktur ist. Ich rede immer viel aus der Windows-Welt. Das muss ich fairerweise sagen. Also Apple ist da nochmal wahrscheinlich ein anderer Part, aber Windows ist einfach das, was am weitesten verbreitet ist. Deswegen halten wir uns auch bei diesen Gesprächen sehr oft in dieser Welt auf. Also es gibt zwei Möglichkeiten, wenn man wirklich bei Windows bleibt. Entweder habe ich mein lokales Netzwerk mit einem lokalen Server, wo mein Active Directory installiert ist, das heißt meine Benutzerverwaltung liegt bei mir intern. Oder es gibt eben die zweite Möglichkeit, das Azure Active Directory, das heißt wir haben Microsoft 365 und unsere Benutzerverwaltung komplett dorthin ausgelagert. Das gibt es auch als Hybridstellung, ja, aber das sind eigentlich so die zwei Möglichkeiten, die man da hat.
Michael
00:06:57
Das heißt aber für mich schon als erstes, um mich mal runterzubrechen, das wird gar nicht auf dem Computer oder auf dem Endgerät eingerichtet, also auf dem NUC oder auf dem Desktop-PC, sondern das wird ganz zentral, nenn es mal auf dem Server, ob der Server hardwaremäßig im Unternehmen steht oder ob er ausgelagert ist mit einem externen Server. Aber das wird in einem Server zentral angelegt und da wird der Benutzer berechtigt.
René
00:07:23
Ja, also es gibt natürlich noch Unternehmen, warum auch immer, die sind dann irgendwo so 2005 stehen geblieben, da gibt es das einfach immer noch lokale Anmeldungen, aber die lassen wir jetzt mal außen vor, die sollten das schleunigst ändern. Aber ja, es ist auf jeden Fall eine zentrale Verwaltung, weil wir damit einfach noch viel mehr regeln können. Also nehmen wir mal den Datenschutz, alleine schon, wenn ich auf Dateien zugreife oder Änderungen vornehme, dann muss ja hinterlegt werden, wer hat diese Änderungen vorgenommen und wann hat er sie vorgenommen. Also diese Daten müssen verfügbar sein und deswegen zentral.
Michael
00:08:02
Da will ich hin, da will ich hin mit dir, weil wenn ich es zentral regle, habe ich ja auch, also nur dann habe ich ja die Möglichkeit, dem Benutzer, den ich anlege, entsprechend seiner Funktion eben Laufwerke freizugeben oder auch nicht. Wir sind in der Vertraulichkeit drin und dann geht es halt einfach darum, dass Lieschen Müller eben nicht Zugriff auf den Laufwerksordner von der Geschäftsleitung hat oder solche Spielereien, sondern dass die wirklich nur für die Rolle und für die Funktion, für die sie im Unternehmen auserkoren ist, entsprechende Zugriffe auf Netzwerke beziehungsweise auf Serverlandschaften bekommen, die halt für sie geeignet sind und nicht mehr und nicht weniger. Das kriege ich halt wirklich nur vernünftig abgebildet, wenn ich den User in einem Active Directory anlege und entsprechend da drüber verweise. Genau.
René
00:08:59
Wenn ich aus technischer Sicht darauf nochmal eingehen darf, wo der Unterschied zwischen dem lokalen Server und der Microsoft-Variante oder der Cloud-Variante, wenn ich das gegenüberlege, dann ist es so, dass der Vorteil bei der Cloud-Variante darin liegt, dass wir ein sogenanntes Single Sign-On haben. Das heißt, wenn ich wirklich meine lokale Domäne nicht mit Microsoft gekoppelt habe, also wenn es nicht eine Hybridstellung ist oder in der Cloud liegt, dann habe ich zwei getrennte Systeme. Das heißt, einmal habe ich meine Benutzerverwaltung intern und wenn ich darüber hinaus noch Dienste von Microsoft nutze, dann ist das eine ganz separate Benutzerverwaltung. Das bedeutet, ich müsste an beiden Seiten zum einen administrieren und zum anderen Berechtigung logischerweise vergeben und ich habe den Nachteil, dass ich dann auch die Anmeldung separat durchführen muss. Das heißt, meine Anmeldung in der Cloud kann eine ganz andere sein als lokal bei mir im Netzwerk. Deswegen ist jetzt mittlerweile bei ganz vielen Unternehmen der Weg wirklich ins Azure Active Directory gegangen, weil wir dann eben das Single Sign-On haben. Das heißt, ich melde mich an meinem Rechner an und die Anmeldung wird durchgeschliffen. Und zwar in dem Browser, wo ich mich an alle Microsoft-Anwendungen, also an dem Portal und was weiß ich was anmelde und genauso eben Teams, Outlook und so weiter. Die ganzen Anmeldungen werden durchgeschliffen und da habe ich dann noch Möglichkeiten. Also ich sage mal, wenn ich zum Beispiel eine Multifaktor-Authentifizierung haben möchte, würde ich auch immer empfehlen, ist in der Azure Active Directory sehr elegant gelöst.
Michael
00:10:58
Das durchziehende Anmelden, ganz kurz, funktioniert am Mac genauso gut. Das heißt, wenn du über die Azure Cloud den Account angelegt hast und loggst dich einmal in deinem User-Account ein, dann bist du automatisch auf dem System. Egal ob Teams, Word, Excel, da bist du in der Microsoft 365 Welt, funktioniert ganz gut. Zum Thema Passwort ist super Überleitung. Wenn ich in meiner Beratung bin, habe ich immer so zwei Dinge, wo ich schmunzeln muss. Und zwar sage ich immer, Sie müssen sichere Passwörter verwenden oder Sie müssen sicherstellen, dass die Mitarbeiter sichere Passwörter nutzen. Jetzt können wir lange und breit über sichere Passwörter reden, wenn wir uns jetzt das BSI-Empfehlungen dran nehmen. Die sind im Moment bei acht Charaktere. Ich sage, alles unter zwölf sollte man nicht tun. Über die Komplexität kommen wir gleich noch zu. Und dann kriege ich als erste Aussage gesagt, wo soll ich das denn einstellen? Wie soll ich denn sicherstellen, dass meine Mitarbeiter auch wirklich zwölf Zeichen eingeben? Das ist so der erste Running Gag, wo du mir gleich sagen wirst und helfen wirst und das erklären wirst, wie es funktioniert. Und der zweite Running Gag, den ich immer habe, ist, dass die Mitarbeiter nochmal aufgefordert werden, ihr Passwort auf ein Stück Papier zu schreiben. Das soll in den Briefumschlag rein. Der Briefumschlag wird unterschrieben und kommt in einen Tresor mit der Begründung, damit man an den Computer kann, wenn der Mitarbeiter mal nicht da ist, beziehungsweise krank ist, so als Notfalldecker. Und das sind immer so zwei Dinge, wo ich so das Schmunzeln kriege. Es gibt noch andere Dinge. Aber die zwei Mythen, nenn es mal wirklich Mythen, die vielleicht bei vielen Unternehmen noch bestehen, nämlich ich weiß nicht, wo ich oder wie stelle ich sicher, dass die Passwortkomplexität angemessen ist und warum muss ich nicht das Passwort in einem Briefumschlag im Tresor liegen haben?
René
00:12:48
Ja, du hast dem Ganzen schon den richtigen Drive gegeben. Das ist natürlich möglich, Komplexität vorzugeben. Also einmal in der Zeichenlänge oder wie lang das Kennwort an sich sein soll. Und man kann auch vorgeben, ob alle Symbole, also Zeichen, Ziffern und Zahlen verwendet werden. Nein, Quatsch. Buchstaben, Zeichen und Ziffern verwendet werden müssen oder eben ob man dann eben nur zwei von diesen Kennzeichen nimmt oder wie auch immer. Also man hat da sehr viele Möglichkeiten. Das geht immer in den Gruppenrichtlinien, ob im Azure Active Directory oder im lokalen Active Directory. Das funktioniert auf beiden Seiten ähnlich. Klar, im Azure Active Directory ist es nochmal ein bisschen anders, aber an sich ist es immer die Gruppenrichtlinie, die das vorgibt. Da kann sich auch niemand tatsächlich vorsträuben, weil bei der Anmeldung diese Gruppenrichtlinie immer wieder geladen wird. Das heißt, ich könnte sogar lokal versuchen zu überschreiben. Das geht einfach gar nicht.
Michael
00:13:55
Also halten wir fest, Passwortlänge und Komplexität lege ich zentral auf dem Server fest. Ich sage mal laienhaft, auf dem Server fest, egal ob es lokal ist oder gehostet ist. Und damit kriege ich sehr charmant meine Mitarbeiter genau in die Richtung, sich darüber Gedanken zu machen, wie sie ihr Passwort wählen. Und ich kann somit sicherstellen, dass jemand, der das nicht macht, eben auf Deutsch gesagt keinen Zugriff mehr kriegt. Ich habe kein Passwort, was komplex genug ist, wurde einfach nicht angenommen. Und somit kann ich sagen, ich für mich in meinem Unternehmen halte zwölf Zeichen für angemessen, kann das entsprechend ausrollen und habe damit die zentrale Verwaltung und die zentrale Regulierung von oben runter. Genau.
René
00:14:40
Also wir sind mittlerweile zu 16 übergegangen. Das ist so die Norm, die wir so einführen. Wenn der Kunde selber sagt, okay, ich möchte jetzt aber lieber 12 machen, kommen wir auch mit klar. Aber wir empfehlen in der Regel ab 16. Was ich auf jeden Fall da auch noch zusagen kann, ist, dass wir nicht ausschließlich die Länge und die Komplexität, das ist nicht das Einzige, was ich da vorschreiben würde. Es ist auch so, dass wir in der Regel vorgeben, dass aufeinanderfolgende Zeichen, Ziffern, Zahlen, wie auch immer, dass sie eben nicht sechs Stück in Folge sein dürfen, also dass sie gleich bleiben. Ich kenne es aus der Kundschaft ganz, ganz oft, da wo diese Regel nicht drin war, ändert sich am Ende nur die Zahl. Also zum Beispiel, dann ändern die die Jahreszahl und das, nehmen wir mal an, das Quartal. Dann steht da hinten dran 2301, beim nächsten Mal 2302, aber an sich das Kennwort davor ist immer das Gleiche.
Michael
00:15:56
Ich habe einen Minus gemacht. Ich komme ja auch aus dem angestellten Verhältnis raus. Wir hatten immer Firmenname und Jahreszahl. Es war so einfach, Firmenname und Jahreszahl. Auch das muss man nicht machen, aber das hat man früher noch gemacht. Wir hatten so die Herausforderung, wir mussten alle sechs Wochen ändern. Dann hast du halt hinten ein Minus 1, Minus 2, Minus 3, immer wenn der irgendwas wollte, hast du halt da hinten eine Zahl hochgezählt.
René
00:16:25
Aber das mit den sechs Wochen ist auch ein gutes Stichwort. Man hat ja ursprünglich immer so gesagt, man sollte alle drei Monate wechseln. Was sagst du denn dazu?
Michael
00:16:35
Also packen wir das Thema Passwort, packen wir den Elefanten im Raum bei den Hörnern. Also meine Empfehlung geht, wenn ich in die Beratung reingehe, meine Empfehlung geht ganz klar 12+, mindestens 12. Ich sage, Länge schlägt Komplexität. Also ich habe viel lieber, der macht 16, 20, 13, 14, was auch immer 12+, mit nur Buchstaben und Zahlen und hat keine Sonderzeichen dabei, wie dass er sagt, ich will es sechsstellig haben und ich finde es hochkomplex. Also da schlägt Länge einfach Komplexität, weil du halt mit jedem Zeichen, die du hinten dran hast, das Ganze einfach im Faktor X verkompliziert zu knacken. Deswegen Länge schlägt Komplexität. Gerne alle drei Charaktere, also wie du schon gesagt hast, Zahlen, Buchstaben, Sonderzeichen. Ab 12 aufwärts ist alles gut. Und wenn du ein sicheres Passwort hast und das Passwort komplex ist und den Anforderungen entspricht, kannst du dir den Voodoo sparen, das alle sechs Wochen, alle halbe Jahr oder einmal mehr zu nutzen. Ein sicheres Passwort ist ein sicheres Passwort, wenn es sicher gehandelt wird. Schreibst du das Ding unter die Tastatur, pinst es an den Computer, der im Erdgeschoss steht und die Blickrichtung aus dem Fenster raus hast, wirst du es entsprechend auch wechseln müssen, beziehungsweise ist es nur lohnichtig, aber hast du ein vernünftiges Passwort, gehst vernünftig damit um, kannst du dir diesen Wechsel Voodoo sparen. Das ist auch so die einhellige Meinung, weil das Problem an der Sache ist genau das, was wir gerade besprochen haben. Minus eins, minus zwei. Das heißt, gehst du in einen regelmäßigen Wechsel rein, wirst du dir immer Passwörter wählen, die du dir so leicht merken kannst und wirst die immer so idiotensicher für dich selbst machen, weil du halt alle regelmäßig wechseln musst. Dann zähle ich hoch, mache eins, zwei, drei oder sonst irgendwas rein, um es mir behalten zu können und wenn du dir einmal ein komplexes ausdenkst mit einer Satzkombination und Anfangsbuchstaben zum Beispiel, dann ist das so komplex, dass du es laufen lassen kannst. Das ist so meine Empfehlung.
René
00:18:42
Genau. Dann würde ich auch nochmal zurück auf den ominösen Briefumschlag kommen.
Michael
00:18:48
Ja, Teil zwei.
René
00:18:50
Bevor wir es vergessen. Also auch das natürlich totaler Quatsch. Es sollte niemand so machen. Ja, Unternehmensdaten hin oder her. Es ist überhaupt nicht notwendig, dass das irgendwo hinterlegt wird. Also der Administrator, der, der die Benutzerkonten verwaltet, kann jederzeit ein Kennwort im Notfall zurücksetzen und kann somit auch einen Zugriff auf die Daten bereitstellen.
Michael
00:19:18
Ich breche ganz kurz rein, weil das dann auch viele Kunden sagen. Der Administrator sieht nicht das aktuell gesetzte Passwort. Der hat da auch gar keinen Zugriff drauf, aber ein Administrator hat jederzeit die Möglichkeit zu sagen, ich setze diesem User jetzt ein neues Passwort. Bedeutet in der Praxis, wenn der Mitarbeiter Skiunfall, was weiß ich, ein Lotto gewinnt und morgen sagt, ich komme nicht mehr, dann hat der, der IT-Administrator jederzeit die Möglichkeit, das aktuelle Passwort, was er nicht einsehen kann, zu resetten und ein neues zu vergeben. Genau.
René
00:19:56
Man muss auch dazu sagen, es ist gar nicht in jedem Fall wirklich notwendig, das Kennwort zurückzusetzen. Das war ja auch immer so ein Ding, ich muss an die E-Mails, ich muss, was weiß ich, ein paar Dateien liegen auf dem Rechner. All das ist zum Beispiel im Azure Active Directory gar nicht mehr notwendig, also in der Microsoft 365 Welt. Entschuldigung. Ich kann in solchen Fällen, wenn die Daten zum Beispiel zu Microsoft ausgelagert sind, dann kann ich einer Person den Zugriff auf diese Dokumentenbibliothek geben, also da heißt es Dokumentenbibliothek, nicht Netzlaufwerk, ohne dass sie Zugriff auf den Rechner bekommt. Ich kann auch genauso gut sagen, okay, das Postfach, das weise ich demjenigen jetzt für diese Zeit zu. Das kann ich sogar zeitlich schon begrenzen, sodass ich im Nachgang nicht nochmal ran muss, sondern nach 60 Tagen ist das Postfach aus dem Outlook wieder verschwunden. Also da gibt es ganz viele Möglichkeiten. Anwendungen sind natürlich ein Punkt, da müsste man den Zugriff auf das Endgerät herstellen, aber an sich gibt es ganz viele Dinge, wo das überhaupt nicht notwendig ist.
Michael
00:21:08
Also zur E-Mail machen wir einen separaten Blog oder ein separates Thema, von daher vertiefen wir das Thema jetzt nicht, sonst verquasseln wir uns in die dritte und vierte Stunde rein. Aber auch der Mythos ist auch hinfällig. Ich sage dann immer zum Kunden, nein, ich sage dem IT-Admin Bescheid, er resetet das Passwort und dann ist es gut. Und wie du auch eben schon gesagt hast, ich drücke es mal vorsichtig aus, es ist häufiger bei Unternehmen anzutreffen, deren Geschäftsleitung ein Zeitalter mitgemacht hat, wo es noch lokale Computer gab, um es mal dezent auszudrücken. Und der Drops ist halt einfach auch gelutscht. In einem normalen Firmenumfeld und im Normalfall liegen auf einem Computer, an dem der Mitarbeiter arbeitet, keine Daten mehr, sondern die Daten liegen alle auf dem Server. Und dieser Computer, mit dem der Mitarbeiter arbeitet und wo er sich anmeldet und auf den Knopf er da morgens drauf drückt, der ist dafür da, um Zugriff auf den Server zu kriegen. Und für sonst nichts mehr. Da liegt lokal nichts mehr. Und das ist auch das, wo sich die Mitarbeiter disziplinieren sollten. Das Ding ist leer. Da mag mal auf dem Desktop, ich meine, wollen wir die Welt mal ein bisschen schöner reden, wie sie ist, da mag auf dem Desktop mal eine Word-Datei liegen oder mal ein Excel-File von der aktuellen Lohnabrechnung oder von der aktuellen Tabelle, die gemacht worden ist. Aber das sind Unternehmendaten, die liegen auf dem Server. Das kann auch geregelt werden. Ja, genau.
René
00:22:47
Ja, ich glaube, das Thema Passwort, Kennwort könnten wir jetzt nochmal abrunden mit der Multifaktor-Authentifizierung.
Michael
00:22:55
Ja, auf jeden Fall. Damit sollte man es abrunden, weil wir haben jetzt über komplexe Passwörter gesprochen und haben gesagt, zwölf Zeichen und und her. Aber der eigentliche Trend oder das eigentliche Gute ist, dass es ja inzwischen zwei Faktor-Authentifizierungen gibt, die in den letzten zwei Jahren, glaube ich, immer mehr Einzug gehalten haben, auch in der IT-Technik. Ich weiß, seit 10 Jahren, 20 Jahren beim Online-Banking ist das schon aktuell. Früher gab es eine TAN-Liste. Kennst du noch TAN-Listen? Ja, oder gibt es das noch? Ich weiß das gar nicht mehr.
René
00:23:32
Ich kenne es aus der Kundschaft. Ich selber habe es aber nie groß im Eindruck gehabt.
Michael
00:23:37
Es war so ein DIN-A4-Blatt, da waren irgendwie 50 TANs drauf und dann hast du beim Online-Banking eingegeben, bitte geben Sie jetzt TAN 25 ein oder irgendwas. Dann musstest du auf ein Blatt Papier gucken, TAN 25. Ja, hast du dann durchgestrichen, hast du eingegeben und damit kannst du online gehen. Auch das war schon zwei Faktor. Aber wenn wir in zwei Faktor-Authentifizierung reingehen, dann bleiben bei den Banken, dann ist das ja jetzt eher der QR-Code-Reader oder der Barcode-Reader oder das Gerät, was du einfach von der Bank hast, um dich zusätzlich zu authentifizieren.
René
00:24:11
Oder mit dem Smartphone sogar noch Face-ID, Touch-ID, wenn wir jetzt bei Apple bleiben oder Fingerabdruck halt. Das kann man damit ganz gut machen.
Michael
00:24:22
Das heißt, Zwei-Faktor-Authentifizierung besteht immer aus zwei Faktoren, um es mal wirklich so zu erklären für alle, dass wir die mal richtig abholen können, mindestens zwei Faktoren. Der eine Faktor ist das Passwort, das, was ich mir schon festgelegt habe, die zwölf Zeichen. Und der zweite Faktor ist, René, hilft mir technisch?
René
00:24:44
Ja, da haben wir mehrere Möglichkeiten. Es gibt SMS klassisch noch oder einen Anruf. Das sind so die zwei Möglichkeiten. Damit kann man es irgendwo auf dem Handy oder auf eine Rufnummer legen, ist aber immer ein bisschen schwierig, würde ich nicht empfehlen. Hat schlichtweg damit zu tun, dass auch eine Telefonanlage angegriffen werden kann oder auch SMS. Die Rufnummer im Account einmal ändern, dann haben wir es auch irgendwo anders hin. E-Mail wäre noch ein Punkt, wäre möglich. Auch das kann geändert werden. E-Mail gibt es tatsächlich auch noch als zweiten Faktor, aber auch da, wenn wir im Account drin sind, ein bisschen schwierig. Was ich meistens empfehlen würde, ist eine Authenticator App oder mit TOTP. Es gibt Systeme, TOTP ist auch ein Einmalcode. Das kann man in Passwortmanagern zum Beispiel hinterlegen, da wird der sofort mit angezeigt, der wird jedes Mal neu generiert, den können wir eintragen. In der Authenticator App ist es so, Microsoft macht es zum Beispiel, wenn wir dann versuchen, uns anzumelden, dann ploppt auf dem Handy sofort in dieser App eine Meldung auf, wir gehen da rein und dann kommt so ein kurzer Code, den man dann eben da einträgt. Bei Microsoft ist das glaube ich jetzt eine zweistellige Zahl, die man dann eben dort einträgt und dann hat man sich quasi authentifiziert.
Michael
00:26:18
Und die Zahl, bleiben wir mal bei so einer Authenticator App, die Zahl wechselt regelmäßig, also die hast du so alle 20, 30 Sekunden gibt es eine neue Zahl und das macht das halt so sicher in Anführungsstrichen, weil die halt eben nicht statisch ist, die sucht man sich nicht selbst aus, sondern das ist eine freie Zahl, die alle 30 Sekunden oder alle 40 Sekunden eben wechselt.
René
00:26:43
Genau, also da ist es auch nicht mal notwendig, dass ich mit meinem Endgerät online sein muss, weil diese Zahl, also der QR-Code, den ich gescannt habe, so richten wir die in der Regel ein, da ist es halt so, dass der Ablauf der Codes gleichzeitig in dem Dienst stattfindet und eben in meiner Authenticator App. Das heißt, die sind immer gleich, da liegt so ein Algorithmus hinter und dieser Algorithmus, der ist halt nicht bekannt und dementsprechend.
Michael
00:27:10
Auch das ganz wichtig, auch das ganz wichtig nochmal, was du gesagt hast, eine Authenticator App zieht kein Datenvolumen vom Handy, sondern die läuft autark. Du richtest einen Zahlencode in diese App ein, darüber läuft ein Logarithmus und das läuft im Netz unabhängig, auch ohne Internet, komplett einfach in der App runter ohne Kontakt zum Netz. Und von der regulatorischen Sache her, ich bin immer wieder Firmen, die eine schöne Trennung haben zwischen privat und dienstlich, die dann sagen, Mitarbeiter würde gerne so eine App drauf machen auf sein Privathandy, ist das denn von einem Datenschutz zugelassen? Ja, wenn sie eine Authenticator App haben und sie haben ein Passwort und so weiter, sie haben den QR-Code, scannen sie es mit dem privaten Handy ab und dann ist gut, das funktioniert, da gehen keine Daten rüber, sondern das ist einfach nur ein Logarithmus, der runterläuft und darüber kann der Mitarbeiter sich nichts beitragen. Wenn er das möchte.
René
00:28:08
Genau. Und das wäre zum Beispiel Smartphone, da gibt es natürlich noch viele Möglichkeiten, also ob es jetzt ein Hardware Key ist, wir arbeiten da zum Beispiel mit YubiKey zusammen, das geht genauso. Also dann hat man wie so ein USB-Stick oder per NFC, also Nahfeldkommunikation, da könnte man dann eben auch diese Codes generieren. Das wäre sogar noch ein dritter Faktor, weil um deinen eigentlichen Code zu generieren oder anzeigen zu lassen, brauche ich erst noch dieses Gerät. Also das wäre schon, da sind wir nicht mehr bei der Zwei-Faktor-Authentifizierung, sondern wirklich im Multifaktor-Bereich.
Michael
00:28:46
Also ich persönlich bin ein Freund davon, den zweiten Faktor im Passwort-Manager-Leaden zu haben, also einfach einen vernünftigen Passwort-Manager zu betreiben und das ist auch glaube ich, wenn wir so langsam zum Ende oder so langsam zum Resümee kommen und reden über Vertraulichkeiten, reden über Passwörter, dann kann der Appell eigentlich nur sein in der heutigen Zeit, wo man an so vielen Stellen Passwörter verwendet und so viel sich Gedanken machen muss und natürlich nicht überall das Gleiche sein soll, machen sie sich Gedanken über einen gescheiten Passwort-Manager. Kaufen Sie sich einen, investieren Sie Geld, das wenige Geld, was er kostet, in einen gescheiten Passwort-Manager rein, der kann Ihnen, ich glaube, ich bin bei 25 oder 30 irgendwas, ich kann es gelten. Also von den Charakteren her und ich kenne auch nicht mehr jedes Passwort, sondern das ist in einem Manager drin, das ist hochkryptisch und da liegt auch der zweite Faktor drin und damit komme ich wieder sehr elegant in eine sehr hohe technische Sicherheit rein und habe doch einen sehr hohen Komfort. Vor in der Bedienbarkeit, weil ich einfach nur meinen Tresor beim Arbeiten mit zwei Faktoren öffnen muss, also Touch-ID bei Mac oder Face-ID oder Windows Hello? Windows Hello kann es auch heißen. Das läuft in der Software und bietet mir das an. Das ist so das, oder? Das ist, glaube ich, jetzt so, wenn man es richtig machen will, beziehungsweise wenn man das machen will, ohne dass man Schmerzen hat und ohne dass man sich den Zorn der Mitarbeiter drauf holt, weil Authenticator-App hier, komplexes Passwort da, für jedes Ding ein anderes Passwort merken, dann ist, glaube ich, so ein Passwort-Manager wirklich der angenehme Exit aus dem Leiden, oder?
René
00:30:42
Ja, es ist ja auch so, da gibt es ja auch sehr unterschiedliche Systeme und was da, denke ich, so einen riesen Mehrwert auch für ein Unternehmen ist, ist ganz klar, dass es Passwort-Manager gibt, wo ich wirklich im Unternehmen mitarbeiten kann. Das heißt, ich habe einen persönlichen Bereich für meine Accounts und kann aber auch Kennwörter mit den Kollegen teilen oder Kolleginnen natürlich auch, sodass ich auch da teamübergreifend oder auch personenübergreifend dann diese Accounts eben im gleichen Passwort-Manager habe und brauche dann eben nicht den Kollegen ansprechen und habe da auch nicht das Problem, dass wenn ich es auf einen Zettel schreiben würde, dass es dann weniger komplex sein soll. Also ein Passwort-Manager ist auf jeden Fall so, dass wir dann sowas, also dann, wenn wir mit einem Passwort-Manager arbeiten, wir bei uns zum Beispiel intern, da ist es so, wir haben einen Passwort-Manager, der ist auch, wie ich gerade schon mal gesagt habe, mit dem Yubi-Key abgedeckt und unten im Smartphone, das heißt, wir haben da drei Faktoren und unsere Kennwörter dahinter sind 32 Stelle. Und die sind dann Buchstaben, Zeichen, Ziffern, also da haben wir wirklich dann alles drin, was es zu holen gibt, weil es einfach, dann macht es keinen Sinn mehr darauf zu achten, ob es leicht ist oder nicht.
Michael
00:32:08
Dann ist es auch egal, also es ist egal, ob es drei oder 35 sind, weil es macht eh die Software, die fügt es automatisch ein, wenn im Extremfall ist es ein Copy-Paste und ob du zwei Zahlen copiest oder machst 35 an der Stelle, also es ist echt, das nimmt halt echt Leid weg und es macht, es erhöht den Komfort unwahrscheinlich und es hilft einfach in der IT-Sicherheit.
René
00:32:30
Und nehmen wir mal die Sicht vom Administratoren, im besten Fall ist das auch noch ein Passwort-Manager, wo die Mitarbeiter das Kennwort gar nicht einsehen können. Sie können nur auf Kopieren klicken, sie können sie aber nicht an jeder Stelle einfügen, sondern nur da, wo es hingehört und das war es. Also administrativ ist das mit Sicherheit die beste Lösung, weil so komme ich nicht mal in die Gefahr, dass ein Mitarbeiter das Unternehmen verlässt und die Kennwörter mitnimmt.
Michael
00:32:54
Er sieht sie gar nicht, der kann da einfach nur, man sieht die Punkte, kannst auf Kopieren drücken, kannst drüben auf Einfügen drücken und dann hat sich die Sache erledigt.
René
00:33:02
Aber auch nur an der entsprechenden Stelle, das ist ja ganz wichtig, weil sonst, ne.
Michael
00:33:06
Kannst es im Word einfügen, ja.
René
00:33:08
Genau, aber das gibt es tatsächlich als Funktion, da ist das so nicht möglich, also das ist schon dann eine sehr gute Sache.
Michael
00:33:16
Super, dann würde ich sagen, beschließen wir das erstmal, vorerst das Thema Passwörter. Wir hoffen, der eine oder andere konnte was mitnehmen, für Fragen, Anregungen, gerne jederzeit. Wir haben eine Webseite www.users-lounge.de, da sind unsere Kontaktdaten drauf und Sie möchten sehr gerne bei uns melden. Vielen lieben Dank. Ich freue mich aufs nächste Mal. Alles klar, tschüss René.
René
00:33:46
Danke, ciao.
Einleitung
00:33:53
Und damit nähern wir uns leider schon wieder dem Ende der users lounge. Wir hoffen, ihr konntet spannende Einblicke gewinnen und etwas Neues mitnehmen. Vergesst nicht, uns auf allen möglichen Social Media Plattformen zu abonnieren bzw. zu folgen. Besucht auch gerne unsere Website. Wir hören uns in der nächsten Episode der users lounge. Macht's gut und bis zum nächsten Mal. Untertitel im Auftrag des ZDF für funk, 2017

Feedback geben

Dir gefällt der Podcast und Du möchtest das mal loswerden? Du hast Tipps für neue Themen oder magst über den Inhalt bestimmter Folgen diskutieren? Dann wähle im Formular die jeweilige Episode aus und schreib uns eine Nachricht. Vielen Dank für Dein Feedback!

Mit einem Klick auf "Nachricht absenden" erklärst Du Dich damit einverstanden, dass wir Deine Daten zum Zwecke der Beantwortung Deiner Anfrage verarbeiten dürfen. Die Verarbeitung und der Versand Deiner Anfrage an uns erfolgt über den Server unseres Podcast-Hosters LetsCast.fm. Eine Weitergabe an Dritte findet nicht statt. Hier kannst Du die Datenschutzerklärung & Widerrufshinweise einsehen.

★★★★★

Gefällt Dir die Show?
Bewerte sie jetzt auf Apple Podcasts