Die Debatte ist alt – was macht ein gutes und somit sicheres Passwort aus? In der Regel wird auf die Notwendigkeit komplexer Passwortregeln verwiesen, angereichert mit dem regelmäßigen Wechsel des Passworts. Ist dieses Paradigma wirklich angebracht und sorgt für sichere Authentisierung? Wir vertreten seit längerer Zeit einen diametralen Standpunkt, dass zu komplexe Passwörter und häufige erzwungene Passwortwechsel die Sicherheit schwächen, da die Passwörter unweigerlich notiert bzw. ungeschützt abgespeichert werden.
IT-Sicherheit
Kann ISIS12 Ransomware verhindern?
Eine gute Frage: Hätte die unterfränkische Gemeinde D. durch Einführung und Betrieb des Informationssicherheits Managementsystems (ISMS) ISIS12 die Ausbreitung des Computervirus Teslascript auf IT-Systemen der Stadtverwaltung verhindern können? Eine einhundert prozentige Sicherheit kann das Vorgehensmodell ISIS12 gegen die seit Monaten immer öfters aktiven Ransomware-Varianten nicht bieten. Jedoch sinkt das Risiko einer Infektion mit CryptoWall, Locky, PadCrypt, TelsaCrypt, TorrentLocker und anderer Malware erheblich.
Datenschutzkonforme Softwareentwicklung
Was gibt es bei datenschutzkonformer Softwareentwicklung zu beachten? Zuerst sind die allgemeinen Grundsätze des Datenschutzes zu berücksichtigen:
• Datensparsamkeit, soweit möglich
• Anonymisierung bzw. Pseudonymisierung, soweit möglich
• „Need to Know“ – differenziertes Berechtigungskonzept
• Zugriffsschutz der Daten bei Transport und Speicherung (Verschlüsselung)
• Löschkonzept, mit der Möglichkeit der automatisierten Löschung
• Protokollierung der Eingabe und Änderung personenbezogener Daten
• Datensicherungskonzept um Verlust der Daten auszuschließen
• Entwicklung mit Test- und Entwicklungssystem.
Das IT-Sicherheitsgesetz
Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, kurz IT-Sicherheitsgesetz, wurde am 24.07.2015 im Bundegesetzblatt veröffentlicht und ist somit rechtskräftig. Die Betreiber kritischer Infrastrukturen aus den Bereichen
- Energie,
- Informationstechnik und Telekommunikation,
- Transport und Verkehr,
- Gesundheit,
- Wasser,
- Ernährung sowie
- Finanz- und Versicherungswesen
sind damit verpflichtet zukünftig einen Mindeststandard an IT-Sicherheit zu etablieren bzw. aufrechtzuerhalten und weiter zu entwickeln. Gravierende IT-Sicherheitsvorfälle müssen nun verbindlich an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden. Die zuständigen Sicherheitsbehörden (BSI, BKA, BfV) werden mit mehr Geld und Personal ausgestattet.
Zwischenruf: Flash go home!
Es gibt Softwareprodukte die bei nüchterner Risikoeinschätzung am besten nie auf den Markt gekommen wären. Der Adobe Flash-Player gehört sicher dazu. Wie lange wird an diesem totkranken Patienten, mit extrem hoher Ansteckungsgefahr für den Benutzer, noch gebastelt. Selbst Facebook CSO, Alex Stamos, fordert von Adobe diese Produkt zu Grabe zu tragen. Beim Mozialla Browser Firefox wurde der Flash-Player auf die Blacklist gesetzt und bei der Ausführung blockiert. Was ist zu tun?