Off topic: IT-Sicherheit, Logins, Passworte, Verschlüsselung & Co.

Heute hatten wir in der Cogneon Akademie in Nürnberg das Treffen des Kernteams der Corporate Learning Community mit Charlotte, Karlheinz, Joachim, Jochen, Werner und mir (zum Inhalt später mehr). Im Rahmen der Diskussion zum Umgang mit der Sicherheit unserer Webseite colearn.de sind wir auch auf das Thema Logins, Passworte und Verschlüsselung gekommen.

Mein Eindruck in der Diskussion war, dass im letzten Jahr die DSGVO und der jüngste massenhafte Datenklau durch einen technisch nicht sonderlich versierten Schüler zu einem gesteigerten Bewusstsein zu dem Themenfeld Sicherheit geführt hat. Im folgenden drei Schritte, mit denen man sich dem Thema mal nähern kann:

Allgemeine Infos zum Einlesen:

• Informationssicherheit
• Verschlüsselung (Kryptographie, braucht man auch zum Verständnis von Blockchain, Bitcoin & Co.)
• Festplattenverschlüsselung
• Sichere Passworte: bsi.de, spiegel.de, sueddeutsche.de
• Password Safe
• 2-Faktor-Authentifizierung (2FA)
• Backup

Testen, ob Ihr betroffen seid:

• haveibeenpwned.com: hier könnt Ihr Eure E-Mail-Adressen eingeben und testen, ob Eure Passworte bei irgendeeinem Passwort-Klau schon betroffen waren.
• Für WordPress-Nutzer: unter hackertarget.com/wordpress-security-scan könnt Ihr Eure WordPress-URL eingeben und erhaltet eine Sicherheitseinschätzung Eurer Seite.

Tipps für konkrete Maßnahmen:

1. Verwendet sichere Passworte und niemals das gleiche Passwort bei verschiedenen Diensten (Twitter, LinkedIn, Gmail, Facebook etc.)
2. Verwendet niemals die eingebauten Passwort Safes von Browsern (z.B. Chrome, Firefox), sondern eine Passwort Safe App/Awendung (z.B. 1Password, Bitwarden, Keepass). Wenn Ihr doch den Browser als Passwort-Speicher verwendet, stellt sicher, dass ein Masterpasswort gesetzt ist, sonst werden Eure Passwort im Klartext auf der Festplatte gespeichert.
3. Verwendet für besonders kritische Dienste immer zwei Faktor Autentifizierung, z.B. mit Google Authenticator, One-Time-Password (OTP) per SMS, Yubikey etc. Das gilt z.B. für die E-Mail-Adressen, die Ihr für Passwort-Rücksetzung verwendet, Zugänge zu Personendaten, Zugängen zu File-Repositories (Dropbox & Co.), Bankkonten.
4. Verwendet auf Euren Endgeräten immer Full-Disc-Encryption (Verschlüsselung der Datenträger), z.B. Bitlocker oder Veracrypt bei Windows 10 und bei USB-Sticks (Achtung: Bitlocker gibt es nur in Windows 10 Pro/Enterprise und nicht in Windows 10 Home).

Am 1. Februar jeden Jahres ist Passwortwecheltag, eine gute Gelegenheit, die Checklisten oben mal anzugehen! Wer noch ein bisschen tiefer einsteigen will, kann z.B. mal eine Crypto-Party in seiner Nähe suchen oder sich zusammen in einem Learning Circle mal das Crypto-Party-Handbuch durcharbeiten. Happy hacking!