Meine persönlichen "Best Practices" für die Sicherheit

Lassen Sie mich zunächst einige Haftungsausschlüsse aus dem Weg räumen: Ich werde mich nicht als Sicherheitsexperte bezeichnen, und was ich hier erzähle, ist meine persönliche Meinung, die auf meinen persönlichen Erfahrungen beruht. Dieser Artikel spiegelt in keiner Weise die Meinung meines derzeitigen oder früheren Arbeitgebers wider, und ich stehe in keiner geschäftlichen Beziehung zu den Produkten oder Unternehmen, die ich hier erwähne (oder profitiere davon).

Nachdem das geklärt ist, möchte ich Ihnen einige sicherheitsrelevante Praktiken vorstellen, die ich im Laufe der Jahre eingeführt habe. Mir werden manchmal Fragen zu diesen Themen gestellt, und ich hoffe, dass Sie diesen Artikel informativ finden.

Lassen Sie mich mit Passwörtern beginnen:

Wir brauchen Passwörter für eine ganze Reihe von Dingen in unserem beruflichen oder privaten Leben. Die Anforderungen an die Komplexität von Passwörtern sind gestiegen, und es ist unmöglich, dass wir uns alle Passwörter merken können, die wir regelmäßig (oder nicht so regelmäßig!) verwenden müssen. Es gibt mehrere Anbieter von Single-Sign-On (SSO)-Lösungen im Internet, die im Wesentlichen ein Master-Passwort festlegen (das Sie sich hoffentlich merken KÖNNEN) und Sie dann automatisch bei Ihren Webanwendungen anmelden oder Ihre Passwörter nachschlagen lassen. So weit, so gut. Allerdings müssen Sie sich darauf verlassen können, dass der Anbieter dieser Lösung Ihre Daten zu 100 % schützt und dafür sorgt, dass seine Mitarbeiter sich nicht an Ihren Passwörtern bedienen.

Daher lehne ich alle diese Arten von Lösungen ab und bevorzuge diejenigen, bei denen ich die Sicherheit und Verschlüsselung der Passwortdatei selbst kontrollieren kann. Und anscheinend habe ich Recht, wenn man den jüngsten Hack von LastPass (http://www.engadget.com/2015/06/15/lastpass-hacked/). Ich habe im Laufe der Jahre verschiedene Apps verwendet - zuerst auf dem iPhone (http://www.apple.com/iphone/). Es war eWallet von einem Anbieter namens Ilium Software, und ich mochte die Tatsache, dass es eine Windows-Begleit-App gab, mit der ich die Dateien mit dem PC synchronisieren konnte.

Zurzeit benutze ich ein Windows Phone (http://www.windowsphone.com/en-US/) und verwende ein Produkt namens SkyWallet (http://skywallet.net/). Es funktioniert, indem ich eine Datei auf einer Freigabe habe (ich verwende OneDrive (https://onedrive.live.com/), und Sie können den Kryptoschlüssel zur Sicherung dieser Masterdatei selbst generieren und festlegen. Es gibt auch eine Desktop-Begleitanwendung, so dass alle Ihre Passwörter zwischen den Geräten synchronisiert bleiben. Es bietet kein SSO, aber ich habe kein Problem damit und kann einfach die App starten, nachsehen, was ich brauche, und mich dann anmelden. Das Wichtigste ist, dass kein Dritter meinen Hauptschlüssel speichert und die Passwortdatei selbst verschlüsselt ist.

Was ist mit Dateien?

Es gab Zeiten, da befanden sich all Ihre Dateien, Fotos und Musik auf Ihrem PC und Sie mussten von Zeit zu Zeit CD-ROMs oder DVDs erstellen, um Ihre Daten zu sichern. Das war wirklich mühsam. Später fügte ich sekundäre Festplatten hinzu, um mich vor Festplattenausfällen zu schützen, indem ich eine RAID-Konfiguration einrichtete, aber das schützte mich nicht vor dem totalen physischen Ausfall meines PCs im Falle von Wirbelstürmen, Hausbränden, Überschwemmungen oder anderen bösen (aber sehr unwahrscheinlichen) Überraschungen.

Ich habe mit einem Produkt namens HandyBackup (http://www.handybackup.com/), das mir gefiel, weil ich damit einfach meine Daten sichern konnte. Ich hatte einen Webhosting-Dienst für 5 Dollar pro Monat mit praktisch unbegrenztem Speicherplatz, den ich für diesen Zweck nutzte, und HandyBackup erlaubte mir, meine eigene Verschlüsselung der Daten mit dem Blowfish-Algorithmus (https://en.wikipedia.org/wiki/Blowfish_(cipher)) .

Das funktionierte recht gut, hatte aber zwei große Mängel: Da ich mich für eine Verschlüsselung der Daten entschieden hatte, konnte ich mit handybackup keine tatsächliche Dateisynchronisierung konfigurieren und ich konnte nicht einfach von einem öffentlichen Terminal oder einem mobilen Gerät auf meine Dateien zugreifen. Nun, es war eine Backup-Lösung und eine gute dazu. Ich habe es mehrere Jahre lang verwendet, musste aber in dieser Zeit nie etwas wiederherstellen.

Endlich habe ich Gefallen an der Online-Dateispeicherung gefunden (ich verwende OneDrive, aber es gibt auch viele andere Lösungen). Mein Problem war auch hier, dass ich keinem Unternehmen wirklich vertraue, dass meine persönlichen Daten vor neugierigen Blicken geschützt sind, daher ist Verschlüsselung für mich der Schlüssel. Anfangs speicherte ich nur Fotos und persönliche Videos auf dem Dienst und bewahrte meine Finanzen und Steuererklärungen auf meinem lokalen Rechner und der Handybackup-Lösung auf. Dann entdeckte ich BoxCryptor (https://www.boxcryptor.com/en), eine Softwarelösung eines deutschen Anbieters, mit der man alle seine Daten automatisch in einer Cloud-Lösung verschlüsseln kann.

Was mir daran gefällt, ist, dass Sie damit auch Ihre persönliche Schlüsseldatei erstellen können, die niemals auf einem Cloud-Dienst eines Drittanbieters gespeichert wird. Das passt mir sehr gut und jetzt sind alle meine persönlichen Daten zu 100 % von BoxCryptor verschlüsselt und auf OneDrive gespeichert (und synchronisiert). Der BoxCryptor-Client ist für alle meine mobilen Geräte verfügbar, so dass ich jetzt sofortigen Zugriff auf alle meine Daten mit einem hohen Maß an Datenschutz genieße. Es gibt zwar die Möglichkeit, den Kryptoschlüssel beim Cloud-Dienst des Anbieters zu speichern, aber ich habe mich dafür entschieden, ihn selbst zu verwalten. Sollte ich ihn jemals verlieren, kann er nicht wiederhergestellt werden, so dass hier eine zusätzliche persönliche Verantwortung besteht.

Was ist mit meinem PC?

Hier gibt es nicht viel zu sagen. Windows 8.1 / Windows 10 mit BitLocker (http://windows.microsoft.com/en-US/windows7/products/features/bitlocker). Genug gesagt. Wenn jemand den Laptop stiehlt oder meinen Desktop-PC in die Hände bekommt, dann viel Spaß beim Entschlüsseln der Daten. Ich habe keine Ahnung, ob jemand versucht hat, BitLocker mit Brute-Force-Techniken zu knacken, aber ich glaube nicht, dass es eine andere Alternative gibt, die auch nahtlos in die Benutzererfahrung integriert werden kann. Andererseits sind alle Dateien, die ich habe, immer noch mit BoxCryptor verschlüsselt, sogar im Ruhezustand auf dem lokalen Rechner, also denke ich, dass ich gut dastehe.

Ich persönlich kann es kaum erwarten, bis Intels RealSense und Windows Hello Technologie allgemein verfügbar sind, um einfach mein hübsches Ich als Passwort zu verwenden 🙂 .

Was ist mit BYO-Sachen für Unternehmen?

Dies könnte sich zu einem Streitgespräch auswachsen, daher werde ich versuchen, mich kurz zu fassen. Einige Unternehmen haben BYO-Richtlinien eingeführt, nach denen die Mitarbeiter ihre eigenen mobilen Geräte, Laptops und PCs mit zur Arbeit bringen dürfen. Die Idee war, dass die Mitarbeiter einfach das Gerät auswählen können, das ihnen gefällt, und in einigen Fällen stellt der Arbeitgeber einen Zuschuss zu den Kosten zur Verfügung. Ich habe das immer für eine großartige Idee gehalten, und als Arbeitgeber würde ich grundsätzlich ein zentrales Anwendungshosting mit Terminalservern, Citrix (www.citrix.com), Vmware(www.vmware.com) usw. und virtuellen Desktops.

Ich würde die Dinge so konfigurieren, dass keine Unternehmensdaten auf das Gerät des Benutzers kopiert werden können. Diese Technologien sind heutzutage so ausgereift und der Internetzugang ist so allgegenwärtig, dass dies leicht erreicht werden kann, ohne die Erfahrung des Endbenutzers zu beeinträchtigen. Früher galt alles, was sich innerhalb eines Gebäudes befand, als sicher (weil das Gebäude über Zugangskontrollen und physische Sicherheit verfügte). Ich denke, die neue Philosophie muss lauten, dass alles, was sich in einem Büroraum befindet, als nicht sicher gilt und nur das, was sich im eigentlichen Rechenzentrum befindet, als sicher angesehen wird).

Die Realität sieht jedoch manchmal ein wenig anders aus. Eine Gruppe, die ich während meiner Zeit als Citrix-Berater kennengelernt habe, hat sich weit auf die Seite der Benutzerfreundlichkeit geschlagen und es den Mitarbeitern erlaubt, jedes Gerät im Netzwerk ohne jegliche Einschränkungen zu nutzen. Die Mitarbeiter konnten sowohl Unternehmens- als auch private Anwendungen installieren und auch alle Unternehmensdaten frei auf ihre persönlichen Geräte herunterladen. Vertrauen statt drakonischer Sicherheitsmaßnahmen war angesagt! Dies funktionierte bis zu dem Tag, an dem eine Mitarbeiterin kündigte und im Grunde alle ihre Arbeitsdaten mitnahm (keine Chance für den Rest des Teams, ihre Projekte fortzusetzen).

Dies ist auch unter dem Gesichtspunkt problematisch, dass Mitarbeiter manchmal zu Konkurrenten wechseln, und wenn sie Zugang zu wichtigen internen Daten haben, ist das nur eine Einladung zum Ärger. Diese Gruppe erlaubte es auch ausscheidenden Mitarbeitern, ihre Laptops zu behalten, für die das Unternehmen bezahlt hatte (vor allem, wenn sie zwei Jahre oder älter waren, da diese auch nicht wirklich an neue Mitarbeiter weitergegeben werden konnten). Wiederum mit all den Daten, E-Mail-Archiven usw. Interessanterweise erzählte mir mein dortiger Kollege eines Tages, dass eines seiner Teammitglieder gekündigt und zu einem Konkurrenten gewechselt hatte. Er tat das Richtige und gab seinen (unternehmenseigenen) Laptop ab und war ehrlich und offen über seinen Wechsel.

Der Vorgesetzte benachrichtigte die Personalabteilung und die IT-Abteilung, der Zugang wurde gesperrt, und alles schien in Ordnung zu sein, bis die IT-Abteilung den Vorgesetzten der betreffenden Person ausfindig machte und eine vollständige forensische Analyse verlangte (die der Vorgesetzte durchführen sollte, wohlgemerkt), um festzustellen, welche Dateien möglicherweise von dem Gerät kopiert oder per E-Mail an ein persönliches Konto gesendet wurden usw. Irrsinnig. Vor allem in Anbetracht der ansonsten sehr offenen Richtlinien.

Sicherheit ist also nie wirklich kostenlos, aber es gibt immer einen Kompromiss zwischen Sicherheit und Komfort. Glücklicherweise machen viele Anbieter unser Leben wirklich bequem, und die Unternehmen verfügen über gute Praktiken und Werkzeuge, um das richtige Gleichgewicht zu finden - wenn sie es wollen.

Florian
Twitter: @florianbecker