von Oliver Gönner
Die Cloud ist in aller Munde und wird als die Lösung der lokalen Computerprobleme angepriesen. Leistung und Speicher sind on Demand verfügbar und müssen nicht lokal vorgehalten werden.
Die Idee ist grundsätzlich ja gut, aber zentralisierte Dienste bergen auch die Gefahr einer gewissen Abhängigkeit von Faktoren, die nicht mehr beeinflusst werden können. So hat ein Blitzeinschlag in Irland zu Ausfällen bei mehreren Cloud Diensten sowohl bei Amazon als auch bei Microsoft geführt. Grundsätzlich kann man sicher von hoch performanten und gut abgesicherten Cloud Rechenzentren ausgehen, aber im Ergebnis ist es erheblich schwieriger geworden, die Sicherheit von Systemen persönlich zu prüfen.
von Oliver Gönner
Die neue Firefox Extension HTTPS Everywhere leitet den Nutzer automatisch auf die jeweilige SSL-Ausgabe der Webseite weiter (Automatische SSL-Verbindung). Eine SSL-Verbindung verschlüsselt die Kommunikationsverbindung vom Webbrowser bis zum Internetangebot. Z.B. Bankverbindungen werden mit dieser Verschlüsselungsmethode gesichert.
Eine SSL-Verbindung kann man z.B. durch ein Schloss in der Adresszeile des Browsers erkennen. Besonders sichere Verbindungen werden zudem durch einen grünen Balken angezeigt.
Es ist immer empfehlenswert auf die SSL-Variante einer Webseite zu setzten, da so alle übertragenen Informationen geschützt werden.
von Oliver Gönner
Die Frage, wohin die Reise der Stiftung Datenschutz geht, ist sicherlich erlaubt. Diese Frage stellt aktuell die SPD-Fraktion in einer aktuellen Veröffentlichung auf ihrer Webseite: Koalition demonstriert erneut Handlungsunfähigkeit beim Datenschutz.
Auf eine Kleine Anfrage antwortete die Bundesregierung zur Stiftung Datenschutz.
Laut dieser Antwort sind die zentralen Ziele der Stiftung Datenschutz:
- Entwicklung eines Datenschutzzertifikats
- Bildung und Aufklärung
Aus Sicht der SICODA GmbH sind die hier beschriebenen Ziele sicherlich sinnvoll, die konkrete Umsetzung sollte aber schnellstmöglich erfolgen und sich den Anforderungen der Praxis anpassen.
Die Entwicklung eines Datenschutzzertifikats ist sicherlich eines der vordringlichsten Themen. Die private Wirtschaft verlangt in verschiedenen Bereichen nach einem solchen Zertifikat. Bei der Entwicklung eines solchen Zertifikats sollte darauf geachtet werden, dass es der betrieblichen Praxis entspricht. Das Zertifikat darf nicht zu einem Luxusgut für einige werden, sondern sollte ein erreichbarer Standard für die private Wirtschaft werden.
Unsere Forderung für die Ausgestaltung der Zertifizierung:
-
Unternehmenszertifikat:
Es muss ein Unternehmenszertifikat geben, dass die Einhaltung des Datenschutzrechts und der notwendigen Datensicherheit im gesamten Unternehmen nachweist.
-
Prozesszertifikat:
Gerade im Bereich Auftragsdatenverarbeitung sollte ein Prozesszertifikat entwickelt werden, das lediglich einzelne Prozesse im Unternehmen zum Inhalt hat und somit ein Mindestmaß an Sicherheit für Auftraggeber bring. Dieses Prozesszertifikat muss so ausgestaltet sein, dass es die nach § 11 BDSG erforderliche Auftragskontrollanforderung erfüllt.
- Produktzertifikat:
Als dritte Stütze der Zertifizierung sollte ein Produktzertifikat entwickelt werden, daß wie z. B. das ULD-Datenschutzgütesiegel auch, die datenschutzkonforme Einsatzmöglichkeit von Softwareprodukten und Onlineservices nachweist.
von Oliver Gönner
Nach Berichten des Wall Street Journal wurde nun ein südkoreanisches Social Network erfolgreich angegriffen und dabei massiv Log-in Daten ausgespäht. Vor dem Hintergrund dieser aktuellen Meldung und den IT-Sicherheitsgefahren der Vergangenheit stellt sich immer wieder die Frage, wie sicher Log-in Daten im Internet sind. User sollten bei der Wahl der Log-in Daten wie Username, Passwort und E-Mail-Adresse immer beachten, dass diese nicht kontrollierbaren Gefahren beim jeweiligen Anbieter ausgesetzt sind.
Sichere Speicherung der Log-in Daten
Die Speicherung des Passwortes z.B. ist eine besonders heikle, vom User aber nicht zu beeinflussende oder kontrollierbare Gefahr. Systeme können Passwörter unter Verwendung von sogenannten Hashfunktionen speichern. Wird die Hashgenerierung dann noch mit einem SALT abgesichert, wird es für mögliche Angreifer annähernd unmöglich sein, das Passwort aus diesem Prüfhash zu erstellen.
Vor allem alte Systeme speichern das Passwort im Klartext. Der User kann solche Systeme nur daran erkennen, dass diese bei Passwortverlust das Originalpasswort zusenden können. Wäre ein Prüfhash gespeichert, wäre das Passwort auch dem Betreiber nicht bekannt und er müsste einen Rücksetzlink versenden.
Eine Gefahr dieser Klartext Passworte ist, dass bei einem oft verwendeten Usernamen der Angreifer zudem eines der verwendeten Passworte kennt und sich so in anderen Systemen, schlimmstenfalls im Firmennetz, anmelden kann.
Als Schutz kann man hier nur empfehlen, niemals das gleiche Passwort zweimal zu verwenden.
von Oliver Gönner
Der neuerlich gemeldete Angriff auf die Kundendaten der Sammelbilder Tauschplattform der Webseite rewe.de zeigt, dass sich der Nutzer nicht auf die Sicherheit der IT-Systeme verlassen kann. Auch professionell betriebene Systeme sind der Gefahr des Datendiebstahls ihrer Kundendaten ausgesetzt. Gerade vor dem Hintergrund eines solchen Datendiebstahls ist die Frage der Passwortverwaltung umso wichtiger. Wenn jetzt Nutzer das Passwort dieser Plattform auf anderen Plattformen nutzen, besteht die Gefahr, dass sich Angreifer hier auch mit einem fremden Profil anmelden können.
Auch hier ist es ratsam sogenannte Passwort Safes einzusetzen, die es dem Nutzer möglich machen, für jedes Webangebot ein eigenes Passwort zu verwenden. Nur so kann der drohende Schaden bei einem Passwortverlust klein gehalten werden.
von Oliver Gönner
Single Sign On ist schon in Unternehmensumgebungen weit verbreitet. So ist es nicht mehr notwendig, sich an jeder Anwendung einzeln anzumelden. Hierdurch wird die Akzeptanz erhöht, sich ein starkes Passwort zu merken und zu verwenden.
Anders als in integrierten Systemen des Firmennetzes muss das Vertrauen in die Sicherheit dieses einen Berechtigungssystems bestehen. Hier hat z.B. der Angriff auf Sony gezeigt, dass auch große Konzerne mit den wiederkehrenden Angriffen konfrontiert sind.
Die Entscheidung, ob ein solches System wirklich neben der Praktikabilität auch ausreichend Sicherheit bietet, muss sich noch zeigen.
Eine Alternative in dem Wust der Passwörter kann eine Open Source Software wie Keepass bieten.