Datenschutz

Qualität bei Kennwörtern ist wichtiger denn Quantität

Veröffentlicht am

In vielen Organisationen ist es leidige Pflicht: Der regelmäßige Kennwortwechsel nach zwei oder drei Monaten. Die MitarbeiterInnen begegnen dem oft auf Ihre Weise. Sie suchen sich ein für sie zu merkendes Kennwort passend zu den vorgegebenen Regeln und modifizieren es. Zum Beispiel werden die Kennworte einfach herauf gezählt. Dann kommen solche Dinge wie Geheim#01, Geheim#02 und so weiter heraus. Damit ist zwar der Pflicht zum regelmäßigen Kennwortwechsel genüge getan. Bei einer gezielten Kennwort-Attacke sind diese regelkonformen Kennworte oftmals schnell geknackt.

Schon seit einiger Zeit empfehlen deshalb Sicherheitsforscher anstelle des krampfhaften Zwangs zum Kennwortwechsel mit entsprechend schwachen Passworten die wohlüberlegte Wahl schwer zu erratender Kennworte. Die leisten dann bei einem Angriff deutlich mehr Widerstand und müssen auch nicht regelmäßig gewechselt werden. Zwei Dinge gilt es allerdings auch hier zu beachten: Nach einem (erfolgreichen) Angriff ist der Kennwortwechsel Pflicht, insbesondere dann, wenn dasselbe Kennwort bei mehreren Diensten verwendet wurde. Letzteres sollte Benutzer als zweite regel unbedingt vermeiden. Lieber einen Password-Manager einsetzen, oder ein anderes Verfahren für mehrere sichere Kennworte wählen. Dazu passt dann auch gut, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) jüngst die Anforderung zu regelmäßigen Wechsel des Kennwortes aus ihren Anforderungen gestrichen hat (ORP.4.A8 Regelung des Passwortgebrauchs [Benutzer, IT-Betrieb] (B))

Datenschutz

Ich setze Antivirensoftware ein – dann ist doch alles sicher, oder nicht?

Veröffentlicht am

Die Nachrichten der letzten Tage auf heise.de lassen vermuten, dass Antivirensoftware auf Arbeitsplätzen ohne Zweifel notwendig ist, aber nicht in jedem Fall greift. Das liegt zum einen natürlich in der Natur der Sache. Antiviren-Programme können nur bekannte Angriffsszenarien erkennen, gegen einen ganz neuen Angriff sind sie nicht gut aufgestellt. Auch bereits bekannte Angriffe werden nicht immer zuverlässig erkannt. So scheint die im Fall des Kammergerichts Berlin eingesetzte Endpoint Protection Lösung von McAfee den dort herum wütendenden Emotet-Trojaner nicht erkannt zu haben. Bei Mitsubishi Electric war es Trend Micro Office Scan, in dem eine Sicherheitslücke klaffte; blöd, wenn gerade die Antiviren-Software fehlerhaft ist.

Deshalb ist es wichtig, dass die Antiviren-Software immer mit dem aktuellsten Update versorgt ist, sowohl was das Programm angeht, wie auch die sogenannten Signatur-Updates. Eine Herausforderung für kleine und mittelständische Unternehmen ohne eigene IT-Abteilung. Gegebenenfalls kann hier eine externe IT-Beratung weiterhelfen.

Zu guter Letzt berichtete heise.de am 28. Januar 2020 auch noch darüber, dass der Antiviren-Software Herstelle Avast Antivirus offensichtlich massenhaft Browser-Daten seiner Nutzer an andere Unternehmen verkauft hat. Da wird dann sogar eine Software, die das Unternehmen eigentlich schützen soll zum Problem! Auch wenn Avast damit der gesamten Branche einen Bärendienst erwiesen hat, geht es nicht ohne Antiviren-Scanner auf dem Rechner. Dabei muss es nicht unbedingt eine zusätzlich gekaufte Software sein. Auch schon der standardmäßig mit Microsoft Windows ausgelieferte Defender macht seine Sache so schlecht nicht. Am Ende zählt jedoch neben aller Technik eine regelmäßige Schulung und Sensibiliserung aller Mitarbeiterinnen und Mitarbeiter. Der verseuchte Mail-Anhang oder die präparierte Web-Seite sind immer noch die beliebtesten Einfallstore.

Datenschutz

Konfigurationsfehler sorgt bei Buchbinder für Datenleck

Veröffentlicht am

Am 22. Januar 2020 berichteten das Magazin heise.de und zeit.de über ein kapitales Datenleck bei dem Autoverleiher Buchbinder. Auf einem Server im Internet lagen für jeden frei zugänglich die Daten von 3 Millionen Kunden. Ursache hierfür war ein versehentlich offen gelassener Port, genauer der Port 445. Dieser ist für die Verbindung von Netzwerklaufwerken unter Windows zuständig (SMB-Dienst). So reichte lediglich die IP-Adresse des Servers aus, um an die Daten gelangen zu können. Leider sind solche falsch konfigurierten Server und Router gar nicht so selten. Ob Ihr System betroffen ist, können Sie gerne mit unserem Port-Scan testen.
Für Buchbinder ist der Ärger mit dem Schließen des Ports noch lange nicht vorbei. Neben zahlreichen Auskunftsanforderungen von Betroffenen wird sich sicherlich auch die zuständige Landesdatenschutzbehörde ausgiebig mit diesem Fall befassen. 

 

Datenschutz

Datenschutzgrundverordnung: 2018 europaweit über 160.000 Verstöße

Veröffentlicht am

Über 160.000 Verstöße in Europa gegen die Datenschutzgrundverordnung (DSGVO) hat die Rechtsanwaltkanzlei DLA Piper in ihrem aktuellen Datenschutzreport 2020  gezählt. Deutschland ist dort mit 37.636 gemeldeten Verstößen auf Platz zwei. Deutsche Datenschutzbehörden verhängten dem Bericht nach im Zeitraum von Mai 2018 bis Januar 2020 Strafen in Höhe von über 24 Millionen Euro.

IT-Sicherheit

Windows 7 wird zur potenziellen Gefahr

Veröffentlicht am

Mit dem endgültigen Support-Ende am 14. Januar 2020 für Microsoft Windows 7 wird der weitere Einsatz riskant. Microsoft stellt keine Sicherheits-Updates mehr zur Verfügung. Mögliche, neu entdeckte Schwachstellen bleiben somit in Windows 7-Systemen bestehen. Ein gefundenes Fressen für alle Angreifer. Sie sollten deshalb wo immer möglich ihre bestehenden Windows 7-Rechner auf Windows 10 umrüsten. Wo dies nicht so ohne weiteres möglich ist, beispielsweise bei Rechnern, die mit digitalen Röntgengeräten quasi eine Einheit bilden, müssen entsprechende Schutzmechanismen im Netzwerk gewählt werden. Dazu gehören zum Beispiel keine Verbindung des Rechners zum Internet, sondern nur im (segmentierten) lokalen Netzwerk, Minimierung der verwendeten Anwendungen auf dem Windows 7-Rechner und so weiter. Mit solchen Maßnahmen kann das neue Sicherheitsrisiko „Windows 7“ zumindest verringert werden. An einem kurzfristigen Wechsel des Betriebssystems führt aber kein Weg vorbei.