Hacker, Phishing-Mails, Ransomware – IT Sicherheit und Information Security spielen mittlerweile für alle Unternehmen eine entscheidende Rolle. Für uns als Softwareentwickler noch einmal mehr, da wir nicht nur unsere internen Systeme absichern, sondern auch die von uns entwickelte Software immer wieder auf die neusten Sicherheitsstandards hin anpassen müssen.
Unser Chief Information Security Officer (CISO) arbeitet übergreifend mit allen Teams zusammen. Im besonders engen Austausch befindet er sich mit dem IT-Operations und dem Entwicklerteam, um gemeinsam an der Sicherheit von Software und der mytracekey Cloud zu arbeiten. In der täglichen Arbeit verfolgen wir einen risikobasierten Ansatz. Das bedeutet, dass stehts geschaut wird, welche neuen Sicherheitsrisiken bekannt sind, wie wir mit unserer Software und den von uns genutzten Anwendungen aufgestellt sind und welche Maßnahmen sich daraus ableiten lassen. Zudem wird stets der Austausch mit der Geschäftsführung gesucht, um Risiken zu bewerten und Maßnahmen zu priorisieren, da deren Unterstützung und Kommittent für die Umsetzung von IT-Security entscheidend ist.
„Auch wenn die grundlegenden Sicherheitsprinzipien universell sind, müssen Cloud-Infrastrukturen anders abgesichert werden als On-Premise-Systeme. Die rasanten Entwicklungen in der IT erfordern eine tägliche Neubewertung unserer Sicherheitslage, um den Schutz sowohl interner als auch externer Systeme zu gewährleisten.“ – Lennart Lorenz, Chief Information Security Officer bei tracekey solutions
Sichere Passwörter – intern wie extern: IT-Sicherheit
Bei den technischen und organisatorischen Maßnahmen, die sich aus den Risiken ableiten, sind vor allem auch die Basics essentiell. Dazu gehört neben der Sensibilisierung für aktuell genutzte Angriffsstrategien, wie Phishing-Mails, auch das Erstellen sicherer Passwörter.
Analysen von Datenlecks zeigen immer wieder, dass Passwörter wie „123456“, „Passwort“ oder „hallo“ immer noch zu den meistgenutzten Passwörtern gehören. Dabei ist es gar nicht schwierig, sichere Alternativen zu erstellen. Hier ein paar Tipps unseres CISO:
Tipp 1: Nutzen Sie einen Passwortmanager. So müssen Sie sich nur ein sehr sicheres Passwort merken. Bei den vielen Anwendungen, die wir heutzutage nutzen, ist es nicht mehr möglich, sich an alle Passwörter zu erinnern. Dabei ist es wichtig, dass jedes Mal ein einzigartiges Passwort verwendet wird. Bei einem Datenleck ist so nur eine Anwendung betroffen, nicht mehrere. Mit einem Passwortmanager lassen sich außerdem ganz einfach randomisierte und sichere Passwörter erstellen, Sie müssen sich keine mehr selbst ausdenken.
Tipp 2: Wenn Sie Passwörter selbst erstellen müssen, folgen Sie den Empfehlungen des BSI. Da gibt es zwei Möglichkeiten. Die erste sind kurze, 8-12 Zeichen lange Zeichenfolgen, bestehend aus vier verschiedenen zufällig aneinandergereihten Zeichenarten, Groß- und Kleinschreibung, Zahlen und Sonderzeichen. Die zweite sind lange, weniger komplexe Passwörter. Diese sind mindestens 25 Zeichen lang und bestehen aus zwei Zeichenarten. Das können beispielsweise mehrere Wörter sein, die jeweils durch ein Zeichen getrennt sind.
Tipp 3: Nutzen Sie immer die Zwei-Faktor-Authentifizierung (2FA), wenn sie verfügbar ist. Am besten sollten Sie dabei auf SMS als zweiten Faktor verzichten, da SMS anfälliger für Angriffe wie SIM-Swapping oder Abfangen von Nachrichten ist. Stattdessen empfehlen sich sicherere Methoden wie Authentifikator-Apps (z.B. Google Authenticator, Microsoft Authenticator).
Pro-Tipp: Nutzen Sie passwortlose Anmeldemethoden wie Passkey, wenn sie verfügbar sind.
Passkey in der mytracekey Software
Für den Login in die mytracekey-Software stehen unseren Kunden zwei verschiedene Möglichkeiten zur Verfügung. Ganz klassisch mit Benutzername und Passwort oder über die Verwendung von Passkeys. Unter Passkeys versteht man passwortlose, digitale Anmeldeinformationen, die fest an ein Benutzerkonto und eine Website oder Anwendung gebunden sind. Sie können nicht erraten, wiederverwendet oder durch Phishing-Angriffe gestohlen werden. Sie stellen dadurch eine sicherere Alternative zu Passwörtern dar. Zusätzlich handelt es sich auch um eine Form der 2-Faktor-Authentifizierung, da der Passkey (digitale Anmeldeinformation) immer mit einem zweiten Faktor, wie Fingerabdruck, Gesichtserkennung oder einem Geräte-PIN verknüpft ist. Passkeys sind eine Erweiterung des FIDO2-Standards, der bereits seit 2019 bei tracekey als Alternative zur passwortbasierten Authentifizierung im Internet eingesetzt wurde.
„Wir waren eines der ersten Unternehmen und haben schon 2019 als sicherere Alternative zu Passwörtern den Vorläufer der Passkeys, die Security Keys auf Basis von FIDO2, als Log-In Option für unsere mytracekey Software angeboten.“ – Lennart Lorenz, Chief Information Security Officer bei tracekey solutions
Security Keys: Forschungsstudie von und mit tracekey Mitarbeitenden
2019 wurde die sehr sichere, passwortlose Login-Option für mytracekey mit FIDO2 Security Keys umgesetzt. Das sind konfigurierbare Sicherheitsschlüssel, die zum Beispiel über USB an den Laptop angeschlossen werden und als sicherer Passwortersatz dienen. Nur wer diesen, mit seinen Anmeldeinformationen verknüpften, Sicherheitsschlüssel besitzt, kann sich einloggen. Unter anderem zur Nutzerfreundlichkeit dieser Security Keys hat unser Chief Information Security Officer, Lennart Lorenz, an der Ruhr Universität geforscht. Die Implementierung in mytracekey und die Verwendung durch eine Gruppe von tracekey Mitarbeitenden war Teil des Forschungsprojekts. Über Login-Tagebücher, Interviews und Serverprotokolle sollten unter anderem Benutzerfreundlichkeit, wahrgenommene Sicherheit und Einsetzbarkeit untersucht werden. Als Barrieren für die Nutzung der Security Keys wurden die Angst vor Verlust des Tokens und damit vor dem Verlust des Systemzugangs, umständlichere Handhabung im Vergleich zur Benutzung von Passwortmanagern und Gewohnheit identifiziert.
Mehr Sicherheit durch passwortlose Authentifizierung
Wichtige Useability-Faktoren der passwortlosen Authentifizierung haben sich mit den Passkeys nun verbessert. Zum Beispiel bereitete die Möglichkeit den Sicherheitsschlüssel zu verlieren, den Nutzenden Kopfschmerzen, auch wurde das Einloggen als langsamer empfunden (s. Kasten). Mit den Passkeys ist kein haptischer Sicherheitsschlüssel mehr notwendig. Die Anmeldeinformation wird digital in einem sicheren Bereich auf dem Gerät des Users verschlüsselt gespeichert. Es gibt mit den Passkeys auch die Möglichkeit die Informationen mit der Cloud zu synchronisieren, sodass man bei der Verwendung nicht an ein Gerät gebunden ist. Der Schlüssel kann nicht mehr verloren gehen und auch die Login-Geschwindigkeit hat sich an die Nutzung von Passwörtern angeglichen. Durch die hohe Sicherheit der Anmeldemöglichkeit wird sie auch von Anbietern wie Google oder Microsoft gefördert.
„Um es noch einmal zusammenzufassen. Am sichersten bewegen Sie sich passwortlos im Internet, das funktioniert über Technologien wie Passkey. Weshalb wir unseren Kunden ans Herz legen, diese auch zu nutzen. Danach kommt die Verwendung eines Passortmanagers. Nochmal sicherer wird das, wenn man eine 2-Faktor-Authentifizierung mit einbindet. Ansonsten sollte man den Empfehlungen des BSI folgen.“ – Lennart Lorenz, Chief Information Security Officer bei tracekey solutions