#02 Vertraulichkeit — Kennwörter

[René] Moin Michael.

[Michael] Moin René, hal­lo.

[René] Heute zur zweit­en Aus­gabe nach der Vorstel­lung, das let­zte Mal, dann dies­mal wirk­lich Start ins The­ma oder in die The­men.

[Michael] Heute geht’s los.

[René] Genau. Dies­mal, wie angekündigt, starten wir in die tech­nis­chen und organ­isatorischen Maß­nah­men und da mit dem Punkt Ver­traulichkeit­en. Und da kannst du ja mal erzählen, was so all­ge­mein in diesen Bere­ich mit rein gehört.

[Michael] Genau, ich gebe einen kurzen Überblick. Und zwar nochmal für alle die, die norm­lastig unter­wegs sind. Wenn wir uns über tech­nis­che und organ­isatorische Maß­nah­men jet­zt und in den näch­sten users lounges unter­hal­ten, beziehen wir uns immer auf GOBD DSGVO 32, Sicher­heit der Ver­ar­beitung. Und da ste­ht halt eben drin, dass angemessene tech­nis­che und organ­isatorische Maß­nah­men zu tre­f­fen sind und welche das sind, welche man tre­f­fen muss, welche man tre­f­fen sollte. Ist so das The­ma, was wir heute besprechen und das The­ma, was wir in den näch­sten Episo­den besprechen. Und wir guck­en uns heute die Ver­traulichkeit an. Also wir starten mit der Ver­traulichkeit. Und ich glaube, wir kriegen auch heute nur einen kleinen Teil der Ver­traulichkeit hin, weil die Ver­traulichkeit doch sehr groß und bre­it gefächert ist. Wenn wir uns über die Ver­traulichkeit Gedanken machen, dann muss man sich im Großen und Ganzen erst mal Gedanken machen — Wie stelle ich sich­er, dass die unter die Dat­en und Infor­ma­tio­nen, die ich in meinem Unternehmen habe, salopp gesagt, auch in meinem Unternehmen bleiben und nur die Per­so­n­en drauf zugreifen dür­fen, die dazu berechtigt sind und die entsprechend ver­traulich sind und auf ver­trauliche Infor­ma­tio­nen zugreifen kön­nen. Das ist so das große Ganze zum The­ma Ver­traulichkeit. Das geht los bei wie kom­men Leute aufs Unternehmen, wie habe ich die Zutritte ins Unternehmen geregelt, wer kann alles in mein Unternehmen rein, wer kann alles wie Zutritt oder Zugriff auf Infor­ma­tio­nen und per­so­n­en­be­zo­gene Dat­en kriegen. Wir wollen uns aber heute ein­steigen und wollen heute mal so mit der mit dem Schritt weit­er ein­steigen und guck­en uns heute mal an, wie wir eben Zugriffe und so mit Ver­traulichkeit­en regeln kön­nen auf IT-Sys­te­men. Und da denke ich, ist das The­ma Pass­wort und wie das geregelt wird ein ganz gutes The­ma, wom­it man mal so einen Ein­stieg find­en kann in die Welt der Sicher­heit der Ver­ar­beitung.

[René] Erster Punkt glaube ich ist da immer erst­mal Anmel­dung an den Rech­n­er.

[Michael] Genau. Wenn der Reg­u­la­torische von Pass­worten spricht, dann weiß der Tech­niker genau was gemeint ist und zwar geht es darum, wie berechtige ich oder wie greifen oder wie kön­nen User auf IT-Sys­teme zu greifen. Das ist ja so das große und ganze, sage ich jet­zt ein­fach mal. Ob es jet­zt der Rech­n­er ist oder… oder die Cloud-Soft­ware oder der User-Account oder weißt der weiß der Teufel noch eins. Im Großen und Ganzen geht es darum, wie berechtige ich einen Mitar­beit­er Zugriff auf Dat­en zu kriegen. Und ich glaube, das sind wir, vom The­ma her, fan­gen wir an mit Com­put­ern. Ich glaube, so geht es los. Ja, wir guck­en gle­ich nach­her mal. Es hat sich in meinen Augen und in mein­er Welt und ich glaube, in dein­er auch ganz, ganz viel gedreht. Früher hat man einen Com­put­er das ste­hen gehabt da hat man sich ganz brav mit Benutzer­nahme und Pass­word angemeldet und da lagen doch alle Pro­gramme in irgen­dein­er Art und Weise auf dem auf dem Rech­n­er und hast auf dem Rech­n­er zur Ver­fü­gung gehabt und inzwis­chen hat sich das ja gedreht ich komme ja später zu dass der so viele Soft­waresys­teme die inzwis­chen Cloud-basierend sind, also du hast inzwis­chen eine Vielzahl von Anmel­dun­gen und Accounts die man halt früher nicht hat­te oder sehe ich das falsch?

[René] Das ist auf jeden Fall richtig. Also der Zettel, den man unter die Tas­tatur kleben muss für die Kol­le­gen, der wird länger.

[Michael] Der wird länger, ja.

[René] Nein, also bloß nicht falsch ver­ste­hen. Bitte nicht machen, natür­lich. Ja, also es ist natür­lich so, damals war es ganz viel, dass man, ich sag mal, man hat wirk­lich eine Anmel­dung gehabt und dann hat­te man Zugriff auf alles. Das ist heute schon anders. Die Sys­teme sind natür­lich auch verteilt. Also nicht mehr alles nur noch lokal im Net­zw­erk, son­dern auch viel aus­ge­lagert. Aber es ist halt schwieriger. Schwieriger ist eigentlich der falsche Aus­druck dafür. Es ist so, dass wir jet­zt durch die Sicher­heit­en, die wir schaf­fen, es ist natür­lich für Mitar­beit­er teil­weise kom­pliziert­er gewor­den. Da ist zumin­d­est oft­mals der Ein­druck gewe­sen. Deswe­gen haben sich auch so lange so viele davor gescheut. Mit­tler­weile gibt es da viele Möglichkeit­en, die man hat, um dann doch sehr ein­fach an die Sys­teme ranzukom­men und trotz­dem, also auch an die Anwen­dun­gen und so, und trotz­dem eben die Sicher­heit zu gewährleis­ten.

[Michael] Ja, ich kann mich erin­nern, das ist wahrschein­lich immer noch so. Zugriff auf den Com­put­er. Das ist… Der Mitar­beit­er fängt im Unternehmen an und dann kriegt der IT-Dien­stleis­ter eine Mel­dung, hey, Lieschen Müller fängt jet­zt ab sofort in der Per­son­al­abteilung an und dann läuft ein Automa­tismus los bzw. dann wird der User wo angelegt? Fan­gen wir mal bei Adam und Eva an.

[René] Ja, das hängt ja ganz davon ab, wie die eigene Struk­tur ist. Also es gibt jet­zt, ich sag mal. Ich rede immer viel aus der Win­dows-Welt, das muss ich fair­erweise sagen. Also Apple ist da nochmal wahrschein­lich ein ander­er Part, aber Win­dows ist ein­fach das, was am weitesten ver­bre­it­et ist. Deswe­gen hal­ten wir uns auch bei diesen Gesprächen sehr oft in dieser Welt auf. Also es gibt zwei Möglichkeit­en, wenn man wirk­lich bei Win­dows bleibt. Entwed­er habe ich mein lokales Net­zw­erk mit einem lokalen Serv­er, wo mein Active Direc­to­ry instal­liert ist. Das heißt, meine Benutzerver­wal­tung liegt bei mir intern. Oder es gibt eben die zweite Möglichkeit, das Azure Active Direc­to­ry. Das heißt, wir haben Microsoft 365 und unsere Benutzerver­wal­tung kom­plett dor­thin aus­ge­lagert. Das gibt es auch als Hybrid­stel­lung, ja. Aber das sind eigentlich so die zwei Möglichkeit­en, die man da hat.

[Michael] Das heißt aber für mich schon als erstes, um es mal run­terzubrechen, das wird gar nicht auf dem Com­put­er oder auf dem Endgerät ein­gerichtet. Also auf dem… auf dem NUC oder auf dem Desk­top PC, son­dern das wird ganz zen­tral, nenn es mal auf dem Serv­er, ob der Serv­er hard­waremäßig im Unternehmen ste­ht oder ob er aus­ge­lagert ist mit einem exter­nen Serv­er. Aber das wird in einem Serv­er zen­tral angelegt und da wird der Benutzer berechtigt.

[René] Ja, also es gibt natür­lich noch Unternehmen, warum auch immer, die sind dann irgend­wo so 2005 ste­hen geblieben. Da gibt es das ein­fach immer noch lokale Anmel­dun­gen, aber die lassen wir jet­zt mal außen vor, die soll­ten das schle­u­nigst ändern. Aber ja, es ist auf jeden Fall eine zen­trale Ver­wal­tung, weil wir damit ein­fach noch viel mehr regeln kön­nen. Also nehmen wir mal den Daten­schutz. Alleine schon, wenn ich auf Dateien zugreife oder Änderun­gen vornehme, dann muss ja hin­ter­legt wer­den, wer hat diese Änderun­gen vorgenom­men und wann hat er sie vorgenom­men. Also diese Dat­en müssen ver­füg­bar sein. Zen­tral.

[Michael] Da will ich hin. Da will ich hin mit dir. Weil wenn ich es zen­tral regle, habe ich ja auch, also nur dann habe ich ja die Möglichkeit, dem Benutzer, den ich anlege, entsprechend sein­er Funk­tion eben Laufw­erke freizugeben oder auch nicht. Das ist ja, wenn wir, wenn wir sind in der Ver­traulichkeit drin und dann geht es halt ein­fach darum, dass Lieschen Müller eben nicht Zugriff auf den Laufw­erk­sor­d­ner von der Geschäft­sleitung hat. Oder solche Spiel­ereien, son­dern dass die wirk­lich nur für die Rolle und für die Funk­tion, für die sie im Unternehmen auserko­ren ist, entsprechende Zugriffe auf Net­zw­erke beziehungsweise auf Server­land­schaften bekom­men, die halt für sie geeignet sind und nicht mehr und nicht weniger. Und das kriege ich halt wirk­lich nur vernün­ftig abge­bildet, wenn ich den User in einem Active Direc­to­ry anlege und entsprechend darüber ver­walte.

[René] Genau. Wenn ich aus tech­nis­ch­er Sicht darauf noch mal einge­hen möchte oder darf.

[Michael] Ja, sehr gerne.

[René] Wo der Unter­schied zwis­chen dem lokalen Serv­er und der Microsoft Vari­ante oder der Cloud Vari­ante, wenn ich das gegenüber­lege, dann ist es so, dass der Vorteil bei der Cloud Vari­ante darin liegt, dass wir ein soge­nan­ntes Sin­gle Sign-On haben. Das heißt, wenn ich wirk­lich meine lokale Domäne nicht mit Microsoft gekop­pelt habe, also wenn es nicht eine Hybrid­stel­lung ist oder in der Cloud liegt, dann habe ich zwei getren­nte Sys­teme. Das heißt, ein­mal habe ich meine Benutzerver­wal­tung intern und wenn ich darüber hin­aus noch Dien­ste von Microsoft nutze, dann ist das eine ganz sep­a­rate Benutzerver­wal­tung. Und das bedeutet, ich müsste an bei­den Seit­en zum einen admin­istri­eren und zum anderen Berech­ti­gung logis­cher­weise vergeben. Und ich habe den Nachteil, dass ich dann auch die Anmel­dung sep­a­rat durch­führen muss. Das heißt, meine Anmel­dung in der Cloud kann eine ganz andere sein als lokal bei mir im Net­zw­erk. Und deswe­gen ist jet­zt mit­tler­weile bei ganz vie­len Unternehmen der Weg halt wirk­lich ins Azure Active Direc­to­ry gegan­gen, weil wir dann eben das Sin­gle Sign-On haben. Das heißt, ich melde mich an meinem Rech­n­er an. Und die Anmel­dung, die wird durchgeschlif­f­en und zwar in dem Brows­er, wo ich mich an alle Microsoft Anwen­dun­gen, also an dem Por­tal und was weiß ich was anmelde und genau­so eben Teams, Out­look und so weit­er. Also die ganzen Anmel­dun­gen wer­den durchgeschlif­f­en und da habe ich dann noch Möglichkeit­en. Also ich sag mal, wenn ich zum Beispiel eine Mul­ti­fak­tor-Authen­tifizierung haben möchte. würde ich auch immer empfehlen, ist in der Azure Cloud oder Azure Active Direc­to­ry sehr ele­gant gelöst.

[Michael] Ja, das durchziehende Anmelden, ganz kurz, funk­tion­iert am Mac genau­so gut. Das heißt, wenn du über die Azure Cloud den Account angelegt hast, du log­gst dich ein­mal in deinem User Account ein, dann bist du automa­tisch auf dem Sys­tem. Egal ob Teams, Word, Excel, da bist du in der Microsoft 365 Welt drin. Funk­tion­iert ganz gut. Zum The­ma Pass­wort ist super Über­leitung.

[Michael] Wenn ich in mein­er Beratung bin, habe ich immer so zwei Dinge, wo ich schmun­zeln muss. Und zwar sage ich immer, Sie müssen sichere Pass­wörter ver­wen­den oder Sie müssen sich­er­stellen, dass die Mitar­beit­er sichere Pass­wörter nutzen. Jet­zt kön­nen wir lange bre­it über sichere Pass­wörter reden. Wenn wir uns jet­zt das BSI Empfehlung dran nehmen, die sind im Moment bei acht Charak­tere. Ich sage alles unter zwölf, das sollte man nicht tun. Über die Kom­plex­ität kom­men wir gle­ich noch zu. Und dann kriege ich als erste Aus­sage gesagt, ja, wo soll ich das ein­stellen? Wie soll ich denn sich­er­stellen, dass meine Mitar­beit­er auch wirk­lich zwölf Zeichen eingeben? Ja, das ist so der erste Run­ning Gag, wo du mir gle­ich sagen wirst und helfen wirst und das erk­lären wirst, wie es funk­tion­iert. Und der zweite Run­ning Gag, den ich, den ich immer habe, ist, dass die Mitar­beit­er nochmal aufge­fordert wer­den, ihr Pass­wort auf ein Stück Papi­er zu schreiben. Das soll in einen Briefum­schlag rein. Der Briefum­schlag wird unter­schrieben und kommt in einen Tre­sor. Mit der Begrün­dung: damit man an den Com­put­er kann, wenn der Mitar­beit­er mal nicht da ist bzw. krank ist als Not­fall­back­up. Und das sind immer so zwei Dinge, wo ich so das Schmun­zeln kriege. Ja, es gibt noch andere Dinge, die kom­men. Aber so die zwei Mythen, nenn es mal wirk­lich Mythen, die vielle­icht bei vie­len Unternehmen noch beste­hen, näm­lich ich weiß nicht, wo ich oder wie stelle ich sich­er, dass die Pass­wortkom­plex­ität angemessen ist und warum muss ich nicht das Pass­wort in einem Briefum­schlag in einem Tre­sor liegen haben? Bitte schön.

[René] Ja, du hast dem Ganzen schon den richti­gen Dri­ve gegeben. Das ist ein­fach so. Also ja, klar. Also es ist natür­lich möglich, Kom­plex­ität vorzugeben. Also ein­mal in der Zeichen­länge oder wie lang das Ken­nwort an sich sein soll. Und man kann auch vorgeben, ob alle Sym­bole, also Zeichen, Zif­fern und Zahlen ver­wen­det, nein Quatsch, Buch­staben, Zeichen und Zif­fern ver­wen­det wer­den müssen oder eben ob man dann eben nur zwei von diesen Kennze­ichen nimmt oder wie auch immer. Also man hat da sehr viele Möglichkeit­en, das geht immer in den Grup­pen­richtlin­ien, ob im Azure Active Direc­to­ry oder im lokalen Active Direc­to­ry, also es funk­tion­iert auf bei­den Seit­en ähn­lich. Klar im Azure Active Direc­to­ry ist noch mal ein biss­chen anders. Aber an sich ist es immer die Grup­pen­richtlin­ie, die das vorgibt. Und da kann sich auch nie­mand tat­säch­lich vor streuben, weil bei der Anmel­dung diese Grup­pen­richtlin­ie immer wieder geladen wird. Das heißt, ich kön­nte sog­ar lokal ver­suchen zu über­schreiben, es geht ein­fach gar nicht.

[Michael] Also hal­ten wir fest, Pass­wortlänge und Kom­plex­ität lege ich zen­tral auf dem Serv­er fest, ich sag mal lei­hen­haft, auf dem Serv­er fest, egal ob es lokal ist oder gehostet ist. Und damit kriege ich sehr char­mant meine Mitar­beit­er genau in die Rich­tung, sich darüber Gedanken zu machen, wie sie ihr Pass­wort wählen. Und ich kann somit sich­er­stellen, dass jemand, der das nicht macht, halt eben auf Deutsch gesagt, keinen Zugriff mehr kriegt. Habt ihr kein Pass­wort, was kom­plex genug ist, wird halt ein­fach nicht angenom­men. Und somit kann ich sagen, ich für mich in meinem Unternehmen halte zwölf Zeichen für angemessen, kann das entsprechend aus­rollen und hab damit die zen­trale Ver­wal­tung und die zen­trale Reg­ulierung von oben runter.

[René] Genau. Also wir sind mit­tler­weile zu 16 überge­gan­gen. Das ist so die Norm, die wir so ein­führen. Wenn der Kunde sel­ber sagt, okay, ich möchte jet­zt aber lieber so 12 machen. Ja, kom­men wir auch mit klar. Aber wir empfehlen in der Regel ab 16. Was ich auf jeden Fall da auch noch zu sagen kann, ist, dass wir nicht auss­chließlich die Länge und die Kom­plex­ität, das ist nicht das einzige, was ich da vorschreibe würde. Es ist auch so, dass wir in der Regel vorgeben, dass aufeinan­der­fol­gende Zeichen, Zif­fern, Zahlen, wie auch immer, dass die eben nicht sechs Stück in Folge sein dür­fen. Also dass die gle­ich bleiben, weil auch da kenne ich es aus der Kund­schaft. Wenn die Regel nicht drin war, ändert sich am Ende nur die Zahl. Also zum Beispiel ändern die die Jahreszahl und das Quar­tal. Dann ste­ht da hin­ten dran 2301 und beim näch­sten Mal 2302, aber an sich das Ken­nwort davor ist immer das Gle­iche.

[Michael] Ich habe ein Minus gemacht. Ich komme ja auch aus einem Angestell­tenver­hält­nis raus und wir hat­ten immer Fir­men­name und Jahreszahl. Das war so ein­fach. Fir­men­name Jahreszahl. Und wir hat­ten auch das muss man nicht machen, aber das hat man früher noch gemacht. Wir hat­ten so die Her­aus­forderung, wir mussten alle sechs Wochen ändern. Und dann hast du halt hin­ten ein minus eins, minus zwei, minus drei, immer wenn der irgend­was wollte, hast du halt auf hin­ten eine Zahl hochgezählt. Und ja, genau.

[René] Aber das mit den sechs Wochen ist auch ein gutes Stich­wort. Man hat ja ursprünglich immer so gesagt, man sollte alle drei Monate wech­seln. Was sagst du denn dazu?

[Michael] Genau.

[Michael] Also pack­en wir das The­ma Pass­wort, pack­en wir den Ele­fan­ten im Raum bei den Hörn­ern. Also meine Empfehlung geht, wenn ich in die Beratung reinge­he, meine Empfehlung geht ganz klar zwölf plus, min­destens zwölf. Ich sage, Länge schlägt Kom­plex­ität. Also ich habe viel lieber, der macht 16, 20, 13, 14, was auch immer, mit nur Buch­staben und Zahlen und hat keine Son­derze­ichen dabei, wie dass er sagt, ich will es sechsstel­lig haben und ich nehme es hochkom­plex. Also da schlägt Länge ein­fach Kom­plex­ität, weil du halt mit jedem, mit jed­er, mit jedem Zeichen, die du hin­ten dran hast, das Ganze ein­fach im Fak­tor x verkom­pliziert zu knack­en. Deswe­gen Länge schlägt Kom­plex­ität. Gerne alle drei Charak­tere, also wie du schon gesagt hast, Zahlen, Buch­staben, Son­derze­ichen. Ab 12 aufwärts ist alles gut. Und wenn du ein sicheres Pass­wort hast und das Pass­wort kom­plex ist und den Anforderun­gen entspricht, kannst du dir den Voodoo sparen, das alle sechs Wochen, alle halbe Jahr oder ein­mal im Jahr zu wech­seln. Ein sicheres Pass­wort ist ein sicheres Pass­wort, wenn es sich­er gehan­dled wird. Schreib­st du das Ding unter die Tas­tatur, pinst es an den Com­put­er, der im Erdgeschoss ste­ht und die Blick­rich­tung aus dem Fen­ster raus hast, wirst du es entsprechend oft wech­seln müssen, beziehungsweise ist es null und nichtig. Aber hast du ein vernün­ftiges Pass­wort, gehst vernün­ftig damit um, kannst du dir diesen Wech­selvoodoo sparen. Das ist auch so die ein­hel­lige Mei­n­ung, weil das Prob­lem an der Sache ist, genau das was wir ger­ade besprochen haben, minus eins, minus zwei, das heißt gehst du in einen regelmäßi­gen Wech­sel rein, wirst du dir immer Pass­wörter wählen, die du dir so leicht merken kannst, und wirst die immer so idioten­sich­er für dich selb­st machen, weil du halt alle regelmäßig wech­seln muss. Das heißt, ich will es jet­zt ein­fach vergessen. Dann zäh­le ich hoch, mache eins, zwei, drei oder son­st irgend­was rein, um es mir behal­ten zu kön­nen. Und wenn du dir ein­mal ein kom­plex­es aus­denkst mit ein­er Satzkom­bi­na­tion, einen Anfangs­buch­staben zum Beispiel, dann ist das so kom­plex, dass du es laufen lassen kannst. Das ist so meine Empfehlung.

[René] Genau.

[René] Dann würde ich auch nochmal zurück auf den ominösen Briefum­schlag kom­men.

[Michael] Ja, Teil zwei.

[René] Bevor wir es vergessen. Ja. Also auch das natür­lich totaler Quatsch. Es sollte nie­mand so machen. Ja, Unternehmens­dat­en hin oder her. Es ist über­haupt nicht notwendig, dass es irgend­wo hin­ter­legt wird. Also der Admin­is­tra­tor, der, der die Benutzerkon­ten ver­wal­tet, kann jed­erzeit ein Ken­nwort im Not­fall zurück­set­zen und kann somit auch einen Zugriff auf die Dat­en bere­it­stellen.

[Michael] Aber ich breche ganz kurz rein, weil das dann auch viele Kun­den sagen. Der Admin­is­tra­tor sieht nicht das aktuell geset­zte Pass­wort, der hat da auch gar keinen Zugriff drauf, aber ein Admin­is­tra­tor hat jed­erzeit die Möglichkeit zu sagen, ich set­ze diesem User jet­zt ein neues Pass­wort. Bedeutet in der Prax­is, wenn der Mitar­beit­er einen Ski­un­fall, was weiß ich, im Lot­to gewin­nt und mor­gen sagt, ich komme nicht mehr, dann hat der IT-Admin­is­tra­tor jed­erzeit die Möglichkeit, das aktuelle Pass­wort, was er nicht ein­se­hen kann, zu reset­ten und ein neues zu vergeben.

[René] Genau. Man muss auch dazu sagen, es ist gar nicht in jedem Fall wirk­lich notwendig, das Ken­nwort zurück­zuset­zen. Das war ja auch immer so ein Ding, ich muss an die E‑Mails, ich muss, was weiß ich, ein paar Dateien liegen auf dem Rech­n­er. All das ist zum Beispiel im Azure Active Direc­to­ry gar nicht mehr notwendig, also in der Microsoft 365 Welt, weil ich kann, ich kann in solchen Fällen… Wenn die Dat­en zum Beispiel zu Microsoft aus­ge­lagert sind, dann kann ich ein­er Per­son den Zugriff auf diese Doku­menten­bib­lio­thek geben, also da heißt es Doku­menten­bib­lio­thek nicht Net­zlaufw­erk, ohne dass sie Zugriff auf den Rech­n­er bekommt. Ich kann auch genau­so gut sagen, okay, das Post­fach, das weise ich dem­jeni­gen jet­zt für diese Zeit zu. Das kann ich sog­ar zeitlich schon begren­zen, so dass ich im Nach­gang nicht nochmal ran muss, son­dern nach 60 Tagen ist das Pass­wort, das, Post­fach aus dem Out­look wieder ver­schwun­den. Also da gibt es ganz viele Möglichkeit­en. Anwen­dun­gen sind natür­lich ein Punkt, da müsste man den Zugriff auf das Endgerät her­stellen, aber an sich gibt es ganz viele Dinge, wo das über­haupt nicht notwendig ist.

[Michael] Also zu E‑Mail machen wir einen sep­a­rat­en Block oder ein sep­a­rates The­ma. Von daher ver­tiefen wir das The­ma jet­zt nicht, son­st verquas­seln wir uns in die dritte und vierte Stunde rein. Aber auch das der Mythos ist auch hin­fäl­lig. Ich sag dann immer zum Kun­den Nein, ich sag dem IT-Admin Bescheid, der reset­tet das Pass­wort und dann ist gut. Und wie du auch eben schon gesagt hast, das kommt auf nen­nt mal ich drück’s mal vor­sichtig aus, ist häu­figer bei Unternehmen anzutr­e­f­fen, deren Geschäft­sleitung ein Zeital­ter mit­gemacht hat, wo es noch lokale Com­put­er gab. Um es mal dezent auszu­drück­en. Und der Drops ist halt ein­fach auch gelutscht. In einem nor­malen Fir­menum­feld und im Nor­mal­fall liegen auf einem Com­put­er, an dem der Mitar­beit­er arbeit­et, keine Dat­en mehr, son­dern die Dat­en liegen alle auf dem Serv­er. Und dieser Com­put­er, mit dem der Mitar­beit­er arbeit­et und wo er sich anmeldet und auf den Knopf mor­gens drauf drückt, der ist dafür da, um Zugriff auf den Serv­er zu kriegen. Und für son­st nichts mehr. Da liegt lokal nichts mehr. Und das ist auch das, wo sich die Mitar­beit­er diszi­plin­ieren soll­ten. Das Ding ist leer. Da mag mal auf dem Desk­top, ich meine, wollen wir mal die Welt mal nicht schön­er reden, wie sie ist. Da mag auf dem Desk­top mal eine Word-Datei liegen oder mal ein Excel-File von der aktuellen Lohnabrech­nung oder von der aktuellen Tabelle, die gemacht wor­den ist. Aber das… Unternehmens­dat­en liegen auf dem Serv­er. Das kann auch geregelt wer­den.

[René] Genau.

[René] Ich glaube, das The­ma Pass­wort, Ken­nwort kön­nten wir jet­zt nochmal abrun­den mit der Mul­ti-Fak­tor-Authen­tifizierung.

[Michael] Ja, auf jeden Fall. Auf jeden Fall. Damit sollte man es abrun­den, weil wir haben jet­zt über kom­plexe Pass­wörter gesprochen und haben gesagt, zwölf Zeichen, hin und her. Aber der eigentliche Trend oder das eigentliche Gute ist, dass es ja inzwis­chen Zwei-Fak­tor-Authen­tifizierung gibt. Die in den let­zten zwei Jahren, glaube ich, immer mehr Einzug gehal­ten haben auch in die IT-Tech­nik. Ich weiß seit 10 Jahren, 20 Jahren, beim Online-Bank­ing ist das schon aktuell. Früher gab es eine TAN-Liste. Kennst du noch TAN-Lis­ten? Ja, oder gibt es das noch? Ich weiß das gar nicht mehr.

[René] Ich kenne es aus der Kund­schaft, ich sel­ber hat­te es aber nie groß im Ein­satz gehabt.

[Michael] Ich hat­te es. War so ein DIN A4-Blatt, da waren irgend­wie 50 TANs irgend­wie drauf. Und dann hast du beim Online-Bank­ing eingegeben, bitte geben sie jet­zt TAN 25 ein oder irgend­was, dann musstest du auf dem Papi­er guck­en, TAN 25. Die hast du dann durch­strichen, die hast du eingegeben und damit kannst du online buchen. Aber wenn wir, auch das war schon Zwei-Fak­tor. Aber wenn wir in Zwei-Fak­tor-Authen­tifizierung reinge­hen, dann bleiben wir bei den Banken, dann ist das ja jet­zt eher der QR-Code-Read­er oder der Bar­code-Read­er oder das Gerät, was du ein­fach von der Bank hast, um dich zusät­zlich zu authen­tifizieren. Ja, und erzähl uns mal.

[René] Oder auf dem Smart­phone sog­ar noch Face ID, Touch ID, wenn wir jet­zt bei Apple bleiben oder Fin­ger­ab­druck halt oder Gesicht halt ein­mal, kann man damit ganz gut machen.

[Michael] Das heißt, Zwei-Fak­tor-Authen­tifizierung beste­ht immer aus zwei Fak­toren, um es mal wirk­lich so zu erk­lären für alle, dass wir die mal richtig abholen kön­nen, min­destens zwei Fak­toren. Der eine Fak­tor ist das Pass­wort, das was ich mir schon fest­gelegt habe, die 12 Zeichen. Und der zweite Fak­tor ist René, hilf mir tech­nisch.

[René] Ja, da haben wir mehrere Möglichkeit­en. Also es gibt SMS klas­sisch noch oder einen Anruf. Also das sind so die zwei Möglichkeit­en, die immer so damit kann man es irgend­wo auf dem Handy oder auf eine Rufnum­mer leg­en. Ist aber immer ein biss­chen schwierig, würde ich nicht nicht empfehlen. Hat schlichtweg damit zu tun, dass auch eine Tele­fo­nan­lage ange­grif­f­en wer­den kann oder auch SMS. Ja, die Rufnum­mer im Account ein­mal ändern, dann haben wir es auch auf woan­ders hin. E‑Mail wäre noch ein Punkt, wäre möglich. Auch das kann geän­dert wer­den. Also E‑Mail gibt es tat­säch­lich auch noch als zweit­en Fak­tor. Aber auch da, wenn wir im Account drin sind, ein biss­chen schwierig. Was ist eigentlich immer, also was ich meis­tens empfehlen würde, ist eine Authen­ti­ca­tor App oder mit TOTP. Also es gibt Sys­teme, TOTP ist auch ein Ein­mal­code. Da ist es halt so, das kann man in Pass­wort-Man­agern zum Beispiel hin­ter­legen. Da wird der sofort mit angezeigt, der wird jedes Mal neu gener­iert, den kön­nen wir ein­tra­gen. Und in der Authen­ti­ca­tor-App ist es so, Microsoft macht zum Beispiel, wenn wir dann ver­suchen, uns anzumelden, dann ploppt auf dem Handy sofort in dieser App eine Mel­dung auf, wir gehen da rein und dann kommt so ein kurz­er Code, den man dann eben da ein­trägt. Also bei Microsoft ist das glaube ich jet­zt eine zweis­tel­lige Zahl, die man dann eben dort ein­trägt und dann hat man sich qua­si authen­tifiziert.

[Michael] Und die Zahl oder bleiben wir mal bei so ein­er Authen­ti­ca­tor-App. Die Zahl wech­selt regelmäßig, also so alle 20 bis 30 Sekun­den gibt es eine neue Zahl. Und das macht das halt so sich­er in Anführungsstrichen. Weil die halt eben nicht sta­tisch ist, die sucht man sich nicht selb­st aus, son­dern das ist eine freie Zahl, die alle 30 Sekun­den oder alle 45 Sekun­den eben wech­selt.

[René] Genau. Da ist es auch nicht mal notwendig, dass ich mit meinem Endgerät online sein muss, weil diese Zahl, also der QR-Code, den ich ges­can­nt habe, so richt­en wir die in der Regel ein. Da ist es halt so, dass der Ablauf der Codes gle­ichzeit­ig in dem Dienst stat­tfind­et und eben in mein­er Authen­ti­ca­tor-App. Das heißt, die sind immer gle­ich. Da liegt so ein Algo­rith­mus hin­ter. Und dieser Algo­rith­mus, der ist halt nicht bekan­nt.

[Michael] Auch das ganz wichtig, was du gesagt hast, eine Authen­ti­ca­tor-App zieht kein Daten­vol­u­men vom Handy, son­dern die läuft autark. Du richt­est einen Zahlen­code in diese App ein, darüber läuft ein Log­a­rith­mus und das läuft Netz unab­hängig, auch ohne Inter­net, kom­plett ein­fach in der App, runter ohne Kon­takt zum Net­zw­erk. Und von der reg­u­la­torischen Sache her, ich bin immer in Fir­men, die eine schöne Tren­nung haben zwis­chen pri­vat und dien­stlich, die dann sagen, ja, Mitar­beit­er würde gerne so eine App drauf machen auf sein Pri­vathandy, ist das denn von der Daten­schutz zuge­lassen? Ja, wenn sie eine Authen­ti­ca­tor-App haben und sie haben ein Pass­wort und sie brauchen also sie haben den QR-Code, scan­nen sie mit dem pri­vat­en Handy ab und dann ist gut, das funk­tion­iert, da gehen keine Dat­en rüber, son­dern das ist ein­fach nur ein Log­a­rith­mus, der run­ter­läuft und darüber kann der Mitar­beit­er sich den zweit­en Fak­tor machen, wenn er das möchte. Genau.

[René] Und das wäre zum Beispiel Smart­phone, da gibt es natür­lich noch viele Möglichkeit­en. Also ob es jet­zt ein Hard­ware Key ist, also wir arbeit­en da zum Beispiel mit Yubiko zusam­men. Ja, das geht genau­so. Also dann hat man wie so ein USB Stick oder per NFC, also Nah­feld­kom­mu­nika­tion. Da kön­nte man dann eben auch diese Codes gener­ieren. Das wäre sog­ar noch ein drit­ter Fak­tor, weil ich um den eigentlichen Code zu gener­ieren oder anzeigen zu lassen, brauche ich erst noch dieses Gerät. Also das wäre schon, da sind wir nicht mehr bei ein­er Zwei-Fak­tor-Authen­tifizierung, son­dern wirk­lich im Mul­ti­fak­tor-Bere­ich.

[Michael] Also ich per­sön­lich bin ein Fre­und davon, den zweit­en Fak­tor im Pass­wort­man­ag­er liegen zu haben. Also ein­fach einen vernün­fti­gen Pass­wort­man­ag­er zu betreiben. Und das ist auch glaube ich, wenn wir so langsam zum Ende oder so langsam zum Resümee kom­men und reden über Ver­traulichkeit­en, reden über Pass­wörter, dann kann der Appell eigentlich nur sein in der in der heuti­gen Zeit, wo man an so vie­len Stellen Pass­wörter ver­wen­den und so viel sich Gedanken machen muss und natür­lich nicht über­all das gle­iche sein soll, machen Sie sich Gedanken über einen gescheit­en Pass­wort­man­ag­er. Kaufen Sie sich einen, investieren Sie Geld, das wenige Geld, was er kostet, in einen gescheit­en Pass­wort­man­ag­er rein, der kann Ihnen… Ich glaube, ich bin bei 25 oder 30 irgend­was. Ja, also von den Charak­teren her und ich kenne auch nicht mehr jedes Pass­wort. son­dern das ist eine Man­ag­er drin, das ist hoch kryp­tisch und da liegt auch der zweite Fak­tor drin. Und damit komme ich wieder sehr ele­gant in eine sehr hohe tech­nis­che Sicher­heit rein und habe doch einen sehr hohen Kom­fort in der Bedi­en­barkeit. Weil ich ein­fach nur meinen Tre­sor beim Arbeit­en mit zwei Fak­toren öff­nen muss. Also Touch­ID bei Mac oder FaceID oder Win­dows Hel­lo?

[René] Win­dows Hel­lo kann es auch.

[Michael] Wenn der Tre­sor ein­mal auf ist, dann geht der halt eben über die Soft­ware-Sys­teme und bietet mir schon entsprechende Benutzer­name, Login und dann halt auch den zweit­en Fak­tor. Also dieses Authen­ti­ca­tor-Ding was run­ter­läuft, läuft in der Soft­ware und bietet mir das an. Das ist so das, oder? Das ist, glaube ich, jet­zt so, wenn man es richtig machen will, beziehungsweise wenn man das machen will, ohne dass man Schmerzen hat und ohne dass man sich den Zorn der Mitar­beit­er. draufholt, weil Authen­ti­ca­tor-App hier, kom­plex­es Pass­wort da, für jedes Ding ein anderes Pass­wort merken, dann ist glaube ich so ein Pass­wort­man­ag­er wirk­lich der angenehme Exit aus dem Lei­den, oder?

[René] Ja, es ist ja auch so, da gibt es ja auch sehr unter­schiedliche Sys­teme und was da, denke ich, so ein Riesen Mehrw­ert auch für ein Unternehmen ist, ist halt ganz klar, dass es Pass­wort­man­ag­er gibt, wo ich wirk­lich im Unternehmen mit arbeit­en kann. Das heißt, ich habe einen per­sön­lichen Bere­ich für meine Accounts und kann aber auch Ken­nwörter mit den Kol­le­gen teilen oder Kol­legin­nen natür­lich auch, sodass ich auch da teamüber­greifend oder auch per­so­n­enüber­greifend dann diese Accounts eben im gle­ichen Pass­wort­man­ag­er habe und brauche dann eben nicht den Kol­le­gen ansprechen und habe da auch nicht das Prob­lem, dass wenn ich es auf dem Zettel schreiben würde, dass es dann weniger kom­plex sein soll. Also Pass­wort­man­ag­er ist auf jeden Fall so, dass wir dann sowas, also dann, wenn wir mit einem Pass­wort­man­ag­er arbeit­en, wir bei uns zum Beispiel intern, da ist es so, wir haben Pass­wort­man­ag­er, der ist auch, wie ich ger­ade schon mal gesagt habe, mit dem Yubikey abgedeckt und unten im Smart­phone, das heißt, wir haben da drei Fak­toren und unsere Ken­nwörter dahin­ter sind 32-stel­lig. Die merkt sich kein Men­sch mehr. Und die sind dann Buch­staben, Zeichen, Zif­fern. Also da haben wir wirk­lich dann alles drin, was es zu holen gibt, weil es ein­fach dann macht es keinen Sinn mehr drauf zu acht­en, ob es leicht ist oder nicht.

[Michael] Dann ist es auch egal. Also es ist egal, ob es drei oder 35 sind, weil es macht die Soft­ware, die fügt es automa­tisch ein. Wenn im Extrem­fall ist, ist es ein Copy Paste und ob du zwei Zahlen kopierst oder machst 35 an der Stelle, also es ist echt. Das das nimmt halt echt Leid weg. Und es ist es macht es erhöht den Kom­fort unwahrschein­lich und es hil­ft ein­fach in der IT-Sicher­heit.

[René] Nehmen wir mal die Sicht von Admin­is­tra­toren. Im besten Fall ist das auch noch ein Pass­wort­man­ag­er, wo die Mitar­beit­er das Ken­nwort gar nicht ein­se­hen kön­nen. Sie kön­nen nur auf Kopieren klick­en, sie kön­nen sie aber nicht an jed­er Stelle ein­fü­gen, son­dern nur da, wo es hinge­hört. Und das war’s. Also admin­is­tra­tiv ist das mit Sicher­heit die beste Lösung. So komme ich nicht mal in die Gefahr, dass ein Mitar­beit­er das Unternehmen ver­lässt und die Ken­nwörter dann mit­nimmt.

[Michael] Genau, weil er sieht sie gar nicht. Der kann da ein­fach nur, man sieht die Punk­te, kannst auf kopieren drück­en, kannst drüben auf ein­fü­gen drück­en und dann hat sich die Sache erledigt.

[René] Aber auch nur an der entsprechen­den Stelle. Das ist ja ganz wichtig, weil son­st, ne.

[Michael] Kannst du das, kannst du das in Word ein­fü­gen, ja.

[René] Genau. Aber das gibt es tat­säch­lich als Funk­tion, da ist das so nicht möglich. Also das ist schon dann eine sehr gute Sache.

[Michael] Super. Dann würde ich sagen, beschließen wir das erst mal, vor­erst zum The­ma Pass­wörter. Wir hof­fen, der Eine oder Andere kon­nte etwas mit­nehmen. Für Fra­gen, Anre­gun­gen, gerne jed­erzeit. Wir haben eine Web­seite www.users-lounge.de. Da sind unsere Kon­tak­t­dat­en drauf, wenn Sie möcht­en, sehr gerne bei uns melden. Vie­len lieben Dank.

[René] Ich freue mich aufs näch­ste Mal.

[Michael] Alles klar. Tschüss René.

[René] Dank dir. Ciao.