Passwörter sicher verwalten

Immer mal wieder taucht bei uns die Frage auf „Wie können Sie sich diese ganzen Passwörter ausdenken und merken?“. Ganz einfach, garnicht. Wir merken uns nur ein Passwort. Und ausdenken brauchen wir uns auch keins. Beides erledigt ein Passwortmanager.

Auf unseren Servern übernimmt dies das Tool pass von Jason A. Donenfeld. Dies dürfte für die meisten Nutzer etwas „unhandlich“ sein. Auf dem Desktop kommt bei uns Keepass zum Einsatz. Dieses Tool bietet im Gegensatz zu manchen Mitbewerbern den Vorteil das es für mehrere Plattformen1) verfügbar ist.

Keepass beinhaltet einen Passwort Generator der Standard Schlüssel generieren kann oder Passwörter nach Vorgaben bzw. Richtlinien generiert. Die gespeicherte Datei ist verschlüsselt und somit auch wenn diese verloren geht ohne das Masterpasswort oder die Schlüsseldatei nicht lesbar.

Wie sicher ist Keepass? Auf der Seite der Entwickler findet man eine Übersicht zur Sicherheit der Passwörter und des Programms selbst. Die Sicherheitsbeschreibungen betreffen das Programm also KeePass und nicht die Sicherheit ihres Computers!

Regel Nummer eins der 10 Unveränderliche Sicherheitsgesetze: „Wenn es jemand schafft, sein Programm auf Ihrem Computer auszuführen, ist es nicht mehr Ihr Computer“. Das heißt, läuft auf Ihrem Computer ein Keylogger oder ähnliches, nützt ihnen die Sicherheit der einzelnen Programme auch nichts mehr. Nur der Vollständigkeit halber die Sicherheitsgesetze für Benutzer

  1. Wenn ein Bösewicht Sie überreden kann, sein Programm auf Ihrem Computer auszuführen, ist es nicht mehr Ihr Computer
  2. Wenn ein Bösewicht das Betriebssystem auf Ihrem Computer ändern kann, ist es nicht mehr Ihr Computer
  3. Wenn ein Bösewicht physischen Zugriff auf Ihren Computer hat, ist er nicht mehr Ihr Computer
  4. Wenn Sie einem Bösen erlauben, Programme auf Ihre Website hochzuladen, ist dies nicht mehr Ihre Website
  5. Schwache Passwörter übertrumpfen eine starke Sicherheit
  6. Ein Computer ist nur so sicher, wie der Administrator vertrauenswürdig
  7. Verschlüsselte Daten sind nur so sicher wie der Entschlüsselungsschlüssel
  8. Ein veralteter Virenscanner ist nur unwesentlich besser als überhaupt kein Virenscanner
  9. Absolute Anonymität ist im realen Leben oder im Web nicht praktikabel
  10. Technologie ist kein Allheilmittel

Zu finden ist das ganze im Original auf den Microsoft technet Seiten. Falls der Link nicht mehr funktioniert, einfach eine E-Mail an mail@reichardt.it.

Administratoren und Entwickler haben natürlich auch Gesetze. Ebenfalls zu finden auf den Microsoft docs Seiten.

→ Weiterlesen...

2018/12/19 10:06 · Dominik Reichardt

Wo befindet sich meine Webseite

Manche Kunden gehen (gingen) davon aus, dass wenn sie eine .de Domain besitzen, Ihre Webseite auch in Deutschland liegt. Die Domainendung hat jedoch nichts mit dem Land beziehungsweise dem Standort des Servers zu tun. So liegt zum Beispiel unsere Reichardt.it Domain nicht in Italien sondern in Deutschland.

Je nachdem wo Ihr Provider die Domain mietet oder besser betreut, kann sie durchaus in einem Drittland außerhalb der EU liegen. Doch warum ist das wichtig?

Die DSG-VO beschreibt den Umgang mit Personenbezogenen Daten, darunter auch der Punkt „Datenübermittlung in ein Drittland“. Liegt Ihre Webseite jetzt auf einem Server in China oder der Schweiz, greifen diese Paragraphen. Haben Sie auf Ihrer Webseite auch noch ein Kontaktformular, wo Sie Namen und auch noch Adressen abfragen, werden diese Personenbezogenen Daten in Drittländern gespeichert. Je nachdem ob das betreffende Land ein Abkommen mit der EU hat (zum Beispiel Amerika mit dem EU-US Privacy Shield) ändert sich natürlich der Aufwand.

Daraus ergeben sich natürlich andere Anforderungen an das Verfahrensverzeichnis oder das anzunehmende Risiko. Je nachdem wie der Auftragsdatenverarbeiter (in diesem Falle das Rechenzentrum im Ausland) mit Ihren Daten umgeht oder Ihnen einen Umgang nach DSG-VO zusichern kann.

Auch sollte man bei der Nutzung einer Webanwendung wie zum Beispiel eines ERP Systems prüfen, wo denn der Server steht auf dem Daten gespeichert werden.

Doch wie findet man heraus wo ein Server steht? Es gibt mehrere Webseiten die diesen Dienst anbieten. Die bekannteste unter ihnen ist wohl utrace2). Leider wird an der Webseite schon länger nichts mehr gemacht. Weiterhin kann man das WhoIs-Tool3) von DomainTools oder IP Tracing and IP Tracking4) von Michael Paul nutzen.

Je nach dem welche Funktionen die Webseite oder das System auf Servern in Drittländern hat, muss man seine Unterlagen und gegebenenfalls Verträge an diesen Umstand anpassen und gegebenenfalls betreffende Personen informieren. Mehr zu diesem Thema findet man in der Datenschutz Grundverordnung im Kapitel 5 Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen. Zu den Verantwortlichkeiten kann man etwas im Kapitel 4 Verantwortlicher und Auftragsverarbeiter lesen.

→ Weiterlesen...

2018/12/08 18:52 · Dominik Reichardt