Technologischer Datenschutz

Hier können Ansätze und Lösung zur Implementierung von Datenschutz durch Technik diskutiert werden.

2 Likes

In Artikel 32 (Sicherheit der Verarbeitung) wird sich auf den aktuellen Stand der Technik bezogen. Ich weiß, dass der BfDI schon auf der Liste hat das BSI zu informieren, aber dennoch:

Das BSI schreibt auf seiner Website:

Informationen, die nicht mehr den aktuellen Stand der Technik entsprechen. (Artikel von 2020)
In vielen Antworten von Unternehmen bekam ich als Antwort, dass 8 Zeichen Passwörter mit selbst ausgedachter Entropie (was in dem Falle sehr sinnlos ist) lt. BSI Website absolut reichen.

Jedoch sind dort sehr viele Informationen nachweislich veraltet:

  • 8 Zeichen Passwörter waren bereits 2008 sehr leicht knackbar
  • heutzutage verwendet man das Diceware Verfahren für die Erstellung und denkt sich keine Merksätze aus (KI / Der Mensch ist berechenbar)
  • Das beste Passwort ist lt. BSI 25 Zeichen, jedoch sind wir in der Praxis bereits bei 32 Zeichen angelangt (je länger umso besser)
  • und der Hinweis, dass man Passwörter ändern sollte fehlt. Ich weiß in dem Punkt vertreten inzwischen - auch das BSI (wobei wie gesagt die Infos nicht gerade aktueller Stand sind), die Meinung, dass es nicht mehr notwendig ist. Ich vertrete jedoch die Meinung, auf jeden Fall einmal im Jahr ändern. Warum? Im Sicherheitsbereich kennt man leider genug unternehmen, wo die Admins zufällig für eine Gewisse Zeit Passwörter im Klartext abspeichern oder eine gewisse Zeit ein Schlupfloch hatten und Daten wurden abgegriffen und anschließend die User nicht informieren (ja das gibt es noch trotz DSGVO). Daher wäre mein Rat an alle User und auch an alle Admins → Passwörter regelmäßig ändern.

Worauf ich eigentlich hinaus will. Das ist nachweisbar nicht aktueller Stand der Technik, wenn das BfDI so einen Fall bekommt, wo sich auf das BSI bezogen wird, aber Fachkreise und Artikel dagegen sprechen…zu welchem Gunsten wird der Fall ausgelegt?

Zu “Stand der Technik” kenne ich viele Definitionen, z.B. “bewährt in der Praxis und verfügbar”. Da dürfte es schwierig werden, eine einheitliche Aussage zu erhalten. Und der “aktuelle Stand von Forschung und Wissenschaft” ist möglicherweise nicht sinnvoll für das BSI abzubilden.

Aber klar: 8 Zeichen mit selbst ausgedachter Entropie bei Admin-Accounts sind definitiv nicht Stand der Technik.

Die Aufgabe des alten 8-Zeichen-Dogmas resultiert m.W. aus Untersuchungen an US-Unis, wonach es ab einer bestimmten Kombi aus Länge, Komplexität und Wechselhäufigkeit zu unerwünschten Gegeneffekten kommt… die Leute schreiben sich dann Passwörter auf oder verwenden einfach zu merkende Muster. Da ist dann für die Sicherheit nichts gewonnen.

Wenn ich Audits mache, schaue ich daher, ob die Authentifizierungsvorgabe zum Schutzbedarf passt. Gelegentlich stößt man ja auch auf ältere Systeme, die keine langen Passwörter zulassen. Muss man halt kompensieren.

1 Like

Kamen die 8 Zeichen nicht ursprünglich vom Cracken der Windows Passwörter (um 2000?), bei denen unabhängig von der Länge des Passworts die zu knackenden Hashes sich immer auf Zeichenketten von 8 Zeichen bezogen?

(Ist lange her…)

Hier ist übrigens die CNIL Recommendation von 2017 - https://www.cnil.fr/sites/default/files/atoms/files/recommandation_passwords_en.pdf

Das ist wie immer eine Einzelfallentscheidung. Es kommt also auf die konkreten Umstände an.

Dann ist das aber ein interessanter Ansatz @isjagut d. h. ja es ist völlig ok, dass sich das BSI gegen die “Wissenschaft” stellt? Von in der Praxis 8 Zeichen, mag stimmen ist aber nicht Stand der Technik und ziemlich sinnfrei nach heutigen Sicherheitsanforderungen.

Daher würde ich auch sagen, “bewährt” in der Praxis, wenn man das seit Jaaaaahren (ich glaube selbst 2006 gab es bei heise eine Empfehlung von 16 Zeichen), nicht mehr tun sollte.

1 Like

Gegen die Wissenschaft war nicht gemeint. Das BSI wird m.E. schon mit Blick auf die Ressourcen kaum in der Lage sein, stets die neuesten Trends abzubilden; außerdem ist für eine Behörde vielleicht auch ein wenig Zurückhaltung für Trends angezeigt, die von einzelnen Anbietern gepusht werden.
Es geht darum, was wir als Stand der Technik verstehen und vorgeben. Natürlich auf der einen Seite “was ist technisch möglich”, aber eben auch auf der anderen Seite “was ist produkthaft fertig, was hat sich in der Praxis als wirksam gezeigt, was ist finanziell leistbar”. Stand der Wissenschaft ist ersteres, Stand der Technik m.E. letzteres. TeleTrust hat zum Stand der Technik eine Handreichung herausgegeben (2020), in der sie den Unterschied deutlich machen.
Auch für mich ist es keine Frage, dass ich je nach Schutzbedarf (z.B. Domain Admin) entsprechende Vorkehrungen erwarte; wenn es um Authentifizierung geht, dann Passwortmanager, MFA o.ä.
Authentifizierung ist aber auch nur ein Pfeil im Köcher, und wie gesagt: sie muss von den Anwendern umgesetzt werden. Und wenn ich mir das in der betrieblichen Realität ansehe, glaube ich kaum, dass die Zukunft der Authentifizierung in immer längeren Passwörtern steckt.

@anabanana Das würde aber heißen, wenn ich selbst nicht viel Ahnung hätte, dann dürfte das Verlassen auf das BSI nie schädlich sein …

1 Like

…und genau da ist gerade der Fall. Menschen ohne Ahnung bekommen alte Informationen über Sicherheit von der Behörde, die dafür zuständig ist. Die wurden auch schon mehrfach online darauf hingewiesen. Da wäre wirklich interessant, wie das die Datenschutzbehörden bewerten würden, wenn man wirklich einfach z. B. in einem Krankenhaus einen Hackerangriff hat, man hat 8 Zeichen Passwörter verwendet, schlecht gesichert und dann bezieht man sich auf das BSI oder jmd. anderen.

Ich kann nur hoffen, dass die die Informationen endlich einmal verbessern.

2 Likes

Passwörter sind einerseits eine Frage der Technik, andererseits eine Frage menschlicher Bequemlichkeit und der Handhabbarkeit. Hier sind andere technische Lösungen gefragt, die das Passwort z.B. mit einem Schlüssel oder einer anderen Prüfmöglichkeit verbinden.
Schon bei 8 Zeichen ist die Merkfähigkeit noch dazu bei zeitlicher Befristung für Passwörter deutlich eingeschränkt. Ein Beispiel aus der Praxis möge dies belegen: Kein Grundschüler kann und wird sich ein wechselndes kryptische Passwort für die Lernplattform merken. Also wird er (oder die Eltern) das aufschreiben. Deshalb sind hier andere Authentifizierungsmethoden gefragt, die z.B. über einen USB-Stick mit Schlüssel gehen oder über per Email verschickte Links nach Anmeldung.
Die reine Technik hilft nur, wenn auch die Handhabbarkeit durch die Menschen sichergestellt wird, sonst wird die eine Lücke im System durch oft viele andere konterkariert. Auch das Design der Anwendung spielt dabei eine entscheidende Rolle.

…und genau das ist eines der Gründe warum das BSI dringend updaten sollte.

Also so stimmt das nicht:

  • Passwörter sollen NICHT merkfähig sein.
  • Warum sollte man sich ein Passwort für eine Lernplattform merken müssen? Das ist komplett veraltetes Wissen.

In der Praxis merkt man sich genau ein Passwort. Das für seinen Passwortmanager, der auch am besten Open Source sein sollte und kein kommerzielles Produkt.

Ein Grundschüler kann in der Regel sehr gut mit Rechnern umgehen (siehe mein Aufruf in Versammlungen). Die einzige Aktion, die der nämlich machen müsste wäre Strg+Alt+A drücken, wenn er Keypass nutzt oder irgendeine Taste, die eingestellt wurde.

Das ist extrem Nutzerfreundlich. Über E-mail verschickte Links sind nur bedingt und unter bestimmten Voraussetzungen empfehlenswert. Auch hier liegen hier noch einige (gerade kleine) Anbieter hinter dem Berg, zusätzlich zu dem Problemen die sich durch E-Mail Server Blacklisting (Microsoft) ergeben.

Die Handhabbarkeit ist schon lange vorhanden, die Menschen sind das Problem.

1 Like

Jup, aber dieses Passwort sollte es dann in sich haben. Leider es gibt immer noch Lehrkräfte (auch an Hochschulen), die vor Passwortmanagern warnen.

Doch man kann sie nicht überall einsetzen, zB nicht in abgesicherten (Arbeits-)Umgebungen, in denen nur bestimmte Applikationen existieren. In diesen Fällen muss sich das Passwort gemerkt werden und schwierig wird es bei regelmäßigen Änderungen (90 Tage etc.). Diese Passwortänderungen haben sich als sicherheitsmindernd herausgestellt, weil die Leute nur Ziffern hochzählen, leicht zu erratende Passwörter nehmen oder es unter die Kaffeetasse kleben und anderen Unsinn machen, auf den man selbst nie kommen würde.
CNIL empfiehlt die Änderungen noch. Ich meine, das NIST hatte den offiziellen Sinneswandel hervorgerufen: “Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers SHALL force a change if there is evidence of compromise of the authenticator.” (NIST Special Publication 800-63B). Dessen Empfehlungen werden in Unternehmen vielfach genutzt und vermutlich auch vom BSI. Darin steht das Minimum von 8 Zeichen und ein Maximum von 64 Zeichen, nach selbst gewählter Komplexität. Aber sie schreiben auch, dass die Anzahl der Fehlversuche limitiert werden soll: “limit consecutive failed authentication attempts on a single account to no more than 100” scheint mir ein wenig viel. 3 Versuche bei 8 Zeichen sind ausreichend…

Korrekt, aber das ist pauschalisiert und zeigt, dass man sich mit dem Thema nicht auseinander gesetzt hat. Gibt es Passwortmanager von denen ich dir persönlich abraten würde? Auf jeden Fall. Sind alle Passwortmanager schlecht? Nein. Welche Passwortmanager würde ich nicht empfehlen? Alle Kommerziellen, alle die einen Online-Zugang benötigen oder etwas in der Cloud speichern (z. B. auch der gern empfohlene One-Password - sorry, aber das hat nichts mit Datenschutz zu tun). Kann man auch ein KeepassXC “falsch” bedienen? Ja, kann man wenn man die Einstellung anlässt, dass man Passwörter in die Zwischenablage kopieren kann (und diese dann von anderen neugierigen Programmen gelesen werden können). Grundsätzlich ist aber KeepassXC derzeit wohl das beste am Markt, wenn man es noch richtig einstellt.
Das Problem, was die Hochschule hat ist, dass die Bildung im Digitalbereich, wie auch an Schulen zu wünschen übrig lässt, allerdings steht das auf einem anderen Stück Papier und gehört weniger zu der BSI Problematik.

Ja, aber das ist doch ein menschliches Problem. Das sollte doch das BSI leisten können zu sagen, dass man es eben nicht ausdenken sollte. Die KI ist inzwischen soweit, dass ein Mensch so vorhersehbar ist. Des Weiteren fällt auch das mit einem Passwortmanager weg. Wer alle 90 Tage sein Passwort ändern muss (was auch durchaus sinnvoll ist), dann öffnest du alle 90 Tage deinen Passwortmanager und generierst dir ein neues Passwort, was du dir nicht merken musst. Niemand muss sich die Denkarbeit machen, die sowieso unsicher ist, einfach etwas hochzuzählen UND GENAU DAS muss in die Köpfe der Menschen und genau deshalb sollten diese Informationen auch aktualisiert werden.

Dann geht es aber auch hier gegen die aktuelle Sicherheitslage. Eine Änderungg von 90 Tagen ist absolut sinnvoll. Es gibt genug Firmen, die aus Angst vor schlechter Reputation Sicherheitsvorfälle bis heute nicht melden und auch die Mitarbeiter zu stillschweigen anweisen. Das heißt der Kunde bekommt von einer Kompromitierung nichts mit (und das passiert öfter als einem lieb ist und sorry, nicht immer machen die Datenschutzbehörden dagegen etwas, weil es nur Hinweise sind - ich habe hier selbst mal einen Fall eingereicht - 4 Jahre her, bis heute immer wieder nachgefasst, bist heute keine Konsequenzen oder nachgegangen).
Des Weiteren hat man das Problem, dass wenn es Kompromitiert ist, dann ist es schon zu spät. Prävention ist das Zauberwort.

Ein paar Rechenbeispiele:
Im Jahr 2016 war es schon möglich pro Sekunde 10 Mrd. Berechnungen zu machen und 6 Mrd. Kombinationen pro Sekunde zu versuchen.

Also nehmen wir mal folgendes Beispiel:

Hallo12. = hat 8 Zeichen, ein schwacher Rechner braucht dazu im Jahr 2016 (8 Tage)
Wenn wir jetzt minimal Komplexer werden, dafür aber 7 Zeichen verwenden: ByT0!34 (ist das in 2 Stunden geknackt)

Nehme ich jetzt meinen Passwort-Manager und der generiert mir etwas, dann sind wir bei Milliarden-Jahre bis zum Knackpunkt, wobei das Passwort-Manager generierte auch nicht mehr ganz aktuell ist, denn aktuell setzt man eher auf das Diceware-Verfahren, dann umgeht man auch mögliche Passwort-Manager KI / Alogrhytmen oder ähnliches.

Sichere Passwörter: Viele der herkömmlichen Sicherheitsregeln bringen nichts | heise online langae Passphrasen (2017), keine Merksätze (2017)

Was ich eigentlich das Thema diesen Beitrages ist und von dem ich nicht ständig abschweifen möchte, denn das Thema ist eigentlich nicht sichere Passwörter sondern veraltete Informationen UND wenn diese “falsch” bzw. “veraltet” im Internet stehen und jemand beruht sich darauf, wenn etwas passiert, wer ist schuld? Die Behörde, die geschlafen hat? Der Verbraucher der sich nicht ausführlich informiert hat??

Oh, den Eindruck, ich bräuchte Informationen zu sicheren Passwörtern, wollte ich nicht erwecken. Auf das Thema dachte ich mit dem Hinweis auf die NIST Guideline geantwortet zu haben. Sorry.

@citizenK4te @anzolino
Ich möchte ergänzen, dass das BSI auf seiner Seite zu Passwörtern auch auf die 2-Faktor-Authentisierung als Ergänzung hinweist. Gut, steht erst am Ende des Beitrages.

Das stimmt schon, nur liest es keiner und fast alle Artikel des BSI verweisen auf nur 8 Zeichen Passwort.
Ich würde auch keine 8 Zeichen verwenden, wenn es einen zweiten Faktor geben würde.
Ich finde einfach, dass gehört von einer Behörde, die sich für IT Sicherheit einsetzt auch entsprechend aktualisiert, da auch Krankenhäuser etc. sich daran richten und die sind schon so schlecht gesichert, dass es einen gruseln kann.

Unwissenheit schützt vor Strafe nicht (oder mit den alten Römern: Ignorantia iuris non excusat).
Wer sich auf einen Artikel des BSI beruft, muss ihn auch schon zu Ende lesen. Andernfalls wird er in einem Rechtsstreit mit dem Argument “Aber das BSI hat das doch geschrieben” nicht durchdringen.

1 Like