Informationsecurity

Starke Passwörter – hoher Schutz

Passwort-Richtlinien

In den meisten Unternehmensrichtlinien wird den Anwendern die Nutzung von Passwörtern mit einer Mindestlänge von 8 Zeichen aus einer Mischung von Gross- und Kleinbuchstaben, Sonderzeichen und Zahlen vorgeschrieben. Darüber hinaus wir ein regelmäßiger Passwortwechsel (z.B. alle 30 bis 90 Tage) systemisch erzwungen. Dabei orientieren sich die Unternehmen oftmals an den Empfehlungen aus dem IT-Grundschutz-Kompendium des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Laut BSI soll jedes Jahr im Februar das IT-Grundschutz-Kompedium aktualisiert werden, um den technischen Fortschritt stand zu halten. Seit diesem Jahr verzichtet das BSI auf den regelmäßigen Zwang der Passwortänderung. Weiterhin bleibt jedoch die Empfehlung zur Verwendung von starken Passwörtern.

Der Verzicht auf regelmäßigen Passwortwechsel ist seit Langem überfällig. Denn die Erfahrung zeigt, dass die Anwender sich bei einem regelmäßigen Wechselzwang die Systeme austricksen (z.B. sie verwenden den gleichen Passwortkern und zählen das Passwort hoch) oder schreiben ihr Passwort auf einem digitalen oder konventionellen Spickzettel. Beide Workarounds schaden mehr als sie nutzen.

Schwache Passwörter

Für schwache Passwörter ist es charakteristisch, dass sie leicht zu erraten oder ermitteln sind. Beispiele hierfür gibt es viele und dennoch werden sie allzu oft verwendet. Das Hasso Plattner Institut ermittelt regelmäßig die meist verwendeten Passwörter in Deutschland:

Top 20 Passwörter in Deutschland (Quelle: HPI)

Top 20 Passwörter in Deutschland (Quelle: HPI)

All oben aufgeführten Passwörter sind schwache Passwörter. Der Schutz bei Verwendung solcher Passwörter ist gleich Null.

Ebenfalls auf keinen Fall verwenden, sollte man Namen aus seiner persönlichen Umgebung (bspw. Namen der Kinder oder der Haustiere), Geburtsdaten oder Jubiläumsdaten. Diese Passwörter sind dank sogenanntem „social engineering“ oder einem einfachen googeln leicht zu ermitteln oder erraten.

Zu schwachen Passwörtern gehören auch ganze Wörter. Der Hintergrund hierfür liegt in der Methode, wie Passwörter inzwischen geknackt werden. Anders als oft noch geglaubt, werden die Passwörter nicht durch „brute force“ Angriffe (Zeichen für Zeichen) geknackt, sondern sie werden mittels eines Vergleiches gegen riesige Datenbanken (mit Hash-Werten) ermittelt. Der Vorteil für die Hacker ist insbesondere eine höhere Geschwindigkeit, mit der ein Passwort ermittelt werden kann.

Starke Passwörter

Zu Erstellung von starken Passwörtern stehen uns alle Zeichen des Alphabets (Gross- und Kleinbuchstaben, Sonderzeichen) sowie die Zahlen zur Verfügung. Es ist offensichtlich, dass das Wort „Fahhrad“ mit angehängter Zahl (Bsp. „Fahhrad1“) ist einfacher zu merken als „%gTzuH/jK1q“. Jedoch ist es nicht so stark.

Nr. Passwort Zeichenlänge Qualität
1 Fahhrad1

8

38

2 %gTzuH/jK1q

11

71

3 Ich mag meine Pizza mit Pilzen und Salami aber ohne Zwiebel bitte!

66

285

4 IchmagmeinePizzamitPilzenundSalamiaberohneZwiebelbitte!

55

233

5 ImmPmP&SaoZb!

13

61

 

Wie aus der obigen Tabelle ersichtlich ist, nimmt die Passwort-Qualität mit der Passwortlänge aber auch mit der Kombination seiner Bestandteile zu. Natürlich ist das dritte Passwort komplex und scheint zumindest sehr sicher zu sein. Allerdings ist seine Verwendung sehr umständlich. Oder wer möchte einen ganzen Satz als sein Passwort alle fünf Minuten eingeben?

Dann doch lieber ein Kompromiss eingehen und das verkürzte Passwort (siehe 5. Beispiel in der obigen Tabelle) verwenden. Erfahrung zeigt, dass die Anwender sich Passwörter anhand eines ganzen Satzes (z.B. Lieblingslied oder eine schöne Erinnerung, usw.) besser merken können, als anhand rein kryptischer Zeichen.

Bei Verwendung mehrerer Passwörter ist der Einsatz von Passwortmanagern empfehlenswert (Bsp. KeePass). Solche Passwort-Manager haben ebenfalls die Möglichkeit selbst Passwörter zu generieren, die bei der jeweiligen Anwendung oder einer Webseite abgerufen werden können. Die Passwortdatenbank selbst ist zudem durch ein separates Passwort geschützt. So muss sich der Anwender nur ein starkes Passwort, und nicht mehrere, merken.

Grundsätzliche Empfehlung

  1. Wenn möglich, sollte eine zwei-Faktor-Authentifizierung (2FA) verwendet werden.
  2. Wo das nicht möglich ist, sollten starke Passwörter mit einer Mindestläge von 15 Zeichen verwendet werden (Kombination aus Gross- und Kleinbuchstaben, Sonderzeichen, einzelnen Ziffern).
  3. Wem es schwerfällt, sich mehrere Passwörter zu merken, sollte einen Passwortmanager nutzen (z.B. KeePass).

Wichtig: Passwörter sind ein sehr wichtiger Bestandteil der Informationssicherheit, jedoch nicht der einzige. In Unternehmen müssen auch andere Maßnahmen in Abhängigkeit vom jeweiligen Bedarf eingesetzt werden.

Kontaktieren Sie mich gerne bei Fragen und Anregungen.

Tomasz Lawicki_100x100

Tomasz Lawicki

Mehr über Tomasz Lawicki

 

Tomasz LawickiStarke Passwörter – hoher Schutz

it-sa 2019

Die it-sa gehört mit über 700 Ausstellern und knapp 16.000 internationalen Fachbesuchern aus 25 Ländern jährlich zu den größten Fachmessen im Bereich der IT-Sicherheit.

Neben internationalen Ausstellern wird die Messer gekonnt ergänzt durch qualifizierte Forenbeiträge sowie einem umfangreichen Kongressprogramm mit hochrangiger Beteiligung.

Es war mir daher eine besondere Freude, auf der it-sa 2019, einen Vortrag zum “Stand der Technik” in der IT-Sicherheit zu halten und anschließend mit den TeleTrusT-Vorständen, Prof. Norbert Pohlmann und RA Karsten Bartels LL.M., über die besonderen Anforderungen an die IT-Sicherheit in Zeiten der Digitalisierung zu diskutieren.

Tomasz Lawicki

Tomasz Lawicki

Mehr über Tomasz Lawicki

 

Tomasz Lawickiit-sa 2019

Seminar an der TU Dresden

Die Technische Universität Dresden (TU Dresden) ist mit rund 32.400 Studenten und rund 8.300 Beschäftigten aus 70 Ländern die größte Universität des Freistaates Sachsen. Es ist daher verständlich, dass bei einer Einrichtung dieser Größe ebenfalls eine umfassende IT-Infrastruktur eingesetzt wird.

Gemäß der europäischen Datenschutzgrundverordnung (DSGVO) müssen die eingesetzten technischen und organisatorischen Maßnahmen (TOM) regelmäßig überprüft und am „Stand der Technik“ ausgerichtet werden. Diese Verpflichtung gilt auch der TU Dresden.

Der Arbeitskreis „Stand der Technik“ beim Bundesverband IT-Sicherheit e.V., den ich leite, setzt zur Bewertung der in der Handreichung „Stand der Technik“ beschriebenen Maßnahmen eine standardisierte Methode ein. Im Rahmen eines Seminars konnte ich diese Methode den interessierten Administratoren und Administratorinnen der TU Dresden vorstellen. Anhand einiger Beispiele konnte ich die praktische Bestimmung des Stands der Technik erläutern.

Tomasz Lawicki

Tomasz Lawicki

Mehr über Tomasz Lawicki

Tomasz LawickiSeminar an der TU Dresden

European Forum Alpbach 2018

Das Europäische Forum Alpbach (European Forum Alpbach, EPA) findet seit 1945 alljährlich im August im Tiroler Bergdorf Alpbach statt. Referenten und Teilnehmer aus allen Teilen der Welt, von Wissenschaft, Wirtschaft und Politik, Experten und Studenten kommen zusammen, um aktuelle Themen zu diskutieren.

Innerhalb von zwei Wochen in August wird der kleine Ort Alpbach von ca. 6.000 Teilnehmern der Veranstaltung wörtlich überrannt. Es finden sehr viele, teilweise parallele, Veranstaltungen statt, die von allen Teilnehmern je nach Interesse besucht werden können. Die Teilnehmer kommen sehr schnell und ungezwungen ins Gespräch. Sie tauschen Ideen aus, lernen voneinander und vernetzen sich untereinander. Genau das ist auch gewollt.

Im Rahmen der sogenannten Technologiegespräche hielt ich einen Vortrag über die Bestimmung des “Stands der Technik” durch die Betreiber kritischer Infrastrukturen. Im Auditorium waren etwa 40 Studierende und auch Fachleute, die Interesse an diesem Thema hatten. 

Man sagt, dass der Geist des Europäischen Forums Alpbach lange in Erinnerung bleibt. Allzu gerne erinnere ich mich an die positive Stimmung der Veranstaltung.

 

Tomasz Lawicki_100x100

Tomasz Lawicki

Mehr über Tomasz Lawicki

 

Tomasz LawickiEuropean Forum Alpbach 2018

Was bedeutet “Stand der Technik”?

Aus der DSGVO resultiert die Verpflichtung der Verantwortlichen, geeignete technische und organisatorische Maßnahmen zu treffen, um den Schutz personenbezogener Daten sicherzustellen. Dabei soll der Stand der Technik dieser Maßnahmen berücksichtigt werden. Der Artikel zeigt einen methodischen Ansatz, um den Technologiestand der im Unternehmen eingesetzten Maßnahmen zu bestimmen und somit der aus der DSGVO geforderten Dokumentationspflicht nachzugehen.

Tomasz LawickiWas bedeutet “Stand der Technik”?

„Stand der Technik“ und DSGVO

Am 21. März 2018 sprach ich auf der Regionalveranstaltung des Bundesverbands IT-Sicherheit e.V. (TeleTrusT). Eingeladen hat Detack GmbH als TeleTrusT-Regionalstelle Stuttgart in das sehr imposante Residenzschloss zu Ludwigsburg.

Beim strahlenden Sonnenwetter und Frühlingstemperaturen in Ludwigsburger Schlossgarten sprach ich als Keyspeaker der Veranstaltung über den gesetzlich geforderten Technologiestand von technischen und organisatorischen Maßnahmen (TOM). Unterschieden wurden die Technologiestände “allgemein anerkannten Regeln der Technik”, “Stand der Technik” und “Stand der Wissenschaft und Forschung”.

Zeitaktuell zielte die Veranstaltung auf die europäische Datenschutzgrundverordnung (DSGVO, GDPR) ab, die im Artikel 32 die Berücksichtigung des “Stands der Technik” bei Anwendung der TOMs fordert. So wurden neben dem Verständnis und Verwendung der einzelnen Technologistände auch eine Methode zu ihrer Bestimmung hergeleitet. Im Nachgang wurden einige Beispiel für die Anwendung im Zusammenhang mit DSGVO besprochen.

Gerade die Beispiele ermöglichten dem Auditorium ein besseres Verständnis der einzelnen Technologiestände sowie ihre Abgrenzung  in der Praxis.

Ich bedanke mich bei Detack für die Einladung und die Organisation der Veranstaltung.

Dank der Organisation, den interessanten und konstruktiven Gesprächen mit den Teilnehmern (während und im Nachgang der Veranstaltung) sowie zu guter Letzt der ausserordentlichen Location, bleibt mir diese Veranstaltung für eine lange Zeit in einer sehr positiven Erinnerung.

Tomasz Lawicki

TOMASZ LAWICKI
Mehr über Tomasz Lawicki

Tomasz Lawicki„Stand der Technik“ und DSGVO

Fachvortrag beim Arbeitskreis EDV und Recht (AKEUR)

Durch die Vorgaben aus dem IT-Sicherheitsgesetz (IT-SiG) und der Datenschutzgrundverordnung (DSGVO) hat “Stand der Technik” weiter an Brisanz gewonnen. Beide Gesetze verlangen die Einhaltung oder mindestens die Berücksichtigung des “Stands der Technik” beim Einsatz technischer und organisatorischer Maßnahmen.
Obwohl „Stand der Technik“ in vielen Bereichen der Gesetzgebung seit Langem fest verankert ist, wird er regelmäßig von allen Beteiligten inkonsequent verwendet. In der Veranstaltung ordneten die Referenten den „Stand der Technik“ sachlich und nachvollziehbar zu und sie lieferten methodische Ansätze, um ihn von ähnlich lautenden Begriffen abzugrenzen.
Der Fachvortrag vor einem Fachpublikum aus öffentlich bestellten und vereidigten (ö.b.u.v.) Sachverständigen und Rechtsanwälten hat enorm Spaß gemacht. Durch kritische Fragen, konstruktiven Austausch und wertvolle Inhalte bleibt die Veranstaltung den Referenten und dem Fachpublikum für eine lange Zeit positiv in Erinnerung.
Tomasz LawickiFachvortrag beim Arbeitskreis EDV und Recht (AKEUR)

KES Sonderausgabe zu Cebit 2017

(Neu-) Entdeckung des “Stand der Technik”

Der „Stand der Technik“ als vermeidlich „neue“ Erfindung der aktuellen Gesetzgebung bringt Unternehmen in die schwierige Lage, etwas zu erfüllen, was nicht hinreichend definiert ist. Was jedoch nicht konkret definiert ist, bietet viel Raum für Interpretationen. Im Streitfall wird die Rechtsprechung entscheiden, ob das geforderte Sicherheitsniveau eingehalten wurde. Unternehmen können jedoch vorsorgen und sich mit dem Thema rechtzeitig auseinander setzen.

Tomasz LawickiKES Sonderausgabe zu Cebit 2017

Informationstag “Umsetzung des IT-Sicherheitsgesetzes in der Unternehmenspraxis”

Gelungene Veranstaltung mit aktuellen Inhalten

Fast täglich zeigen Meldungen zu IT-Sicherheitsvorfällen in Unternehmen und Behörden, dass auch in Deutschland dringender Handlungsbedarf besteht. Dennoch war es ein absoluter Zufall, dass ein Tag vor der lang geplanten TeleTrusT-Informationsveranstaltung am 29.11.2016 ein Hackerangriff auf die DSL-Router bekannt wurde. Somit war die Veranstaltung brand aktuell.

Initiiert wurde die Informationsveranstaltung durch den Arbeitskreis “Stand der Technik” des Bundesverbands für IT-Sicherheit, TeleTrusT und fokussierte die Vorgaben aus dem IT-Sicherheitsgesetz. An der Veranstaltung haben über 60 Besucher unterschiedlicher Branchen teilgenommen. Anhand von Beispielen haben die Referenten die Umsetzung der IT-SiG Vorgaben erläutert. Neben den spannenden Vorträgen konnten die Teilnehmer branchenübergreifende Kontakte knüpfen und sich über aktuelle Themen austauschen.

Die Moderation der Veranstaltung hat Spaß gemacht und gezeigt, dass die gewählten Themen zeitaktuell und der Bedarf am Informationsaustausch groß ist.

Den Link zur Veranstaltung, sowie die verwendeten Präsentationen finden Sie unter: https://www.teletrust.de/veranstaltungen/it-sicherheitsgesetz/

 

Tomasz Lawicki_100x100

TOMASZ LAWICKI
Mehr über Tomasz Lawicki

Tomasz LawickiInformationstag “Umsetzung des IT-Sicherheitsgesetzes in der Unternehmenspraxis”