Leserbriefe Juni 2024

2FA selbst betreiben

(Sicherheit: Eigene Server mit Pushauthentifizierung schützen; iX 5/2024, S. 62)

Schöner Artikel! Es geht mit PrivacyIDEA auch (fast ganz) ohne die üblichen Big Player.

Es fehlt noch der Hinweis, wenn schon Duo kurz eingangs erwähnt wurde, dass es da unlängst einen Sicherheitsvorfall gab. Steckt halt Cisco dahinter, was ist da anders zu erwarten.

Und zwei, drei andere Hinweise:

ssh geht auch direkt mit 2FA TOTP (nicht Google Authentication, sondern RFC 6238), dann halt pro Gerät.
Je größer und automatisierter die Infrastruktur, desto eher wird nur noch mit Jumphosts gearbeitet.
TOTP geht auch ohne Smartphone und App mit jedem KeePass-XC-Passwortmanager. Ideal für Arbeitsgruppen oder Abteilungen, die sich eine solche KeePass-Datei gemeinsam teilen und synchron halten. Zusätzliche Sicherheit bekommt man da mit einer Schlüsseldatei, die nur im Intranet verfügbar ist.

Was ich aktuell im Mittelstand beobachte: Da wird dank der immer weiter um sich greifenden TOTP-Verbreitung bei Einkaufs-/Bieter-Portalen und B2B-/SAP-Websites ein KeePass XC immer mehr zur Pflicht. Die überall verbreiteten Excel-Tabellen oder gelben Outlook-Notizzettel sterben Gott sei Dank aus.

Tomas Jakobs, aus dem iX-Forum

Ohne Passwörter ins Passkey-Elend

(Sicherheit: Mehr Sicherheit durch risiko- und kontextbasierte MFA; iX 5/2024, S. 52)

Wer verwaltet und speichert denn dann meine Zugänge? Was mache ich, wenn das Zugangsdevice gerade nicht da ist oder permanent weg ist? Wie synchronisiere ich das zwischen verschiedenen Devices? Wie mache ich ein Backup? Mal so, mal so. Mehrere Lösungen parallel. Standard geht anders.

Der ganze Wust aus unterschiedlichen Zugangsregelungen ist jetzt schon unüberschaubar – und da soll ich jetzt noch eine weitere „Lösung“ hinzufügen, die für die meisten User dann auch noch maximal intransparent ist?

Ich habe hier eine Liste mit den wichtigen Zugängen, und da muss ich ständig neue Spalten hinzufügen, da es nicht mehr nur Account und Passwort sind, sondern unterschiedliche PINs zusätzlich, mehrere Zwei-Faktor-Regelungen (Mail, SMS, on Device, physisches Gerät), Sicherheitsfragen, zusätzliche Kennungen und alles in unterschiedlichen Kombinationen oder gar pro Dienst (insbesondere Banken) mit unterschiedlichen Zugriffsrechten, je nach angefragter Funktion oder benutztem Gerät.

bloodflash, aus dem iX-Forum

Neues iX Special „Der iX-Notfallguide“

Ransomware ist laut BSI die größte Bedrohung für die deutsche Wirtschaft. Aber Unternehmen, Organisationen und Verwaltungen sind solchen Verschlüsselungs- und Erpressungsangriffen nicht hilflos ausgesetzt: Je besser man auf solche Angriffe vorbereitet ist, umso weniger Schaden richten sie an und umso schneller kann man in den normalen Alltag zurückfinden.

Der iX-Notfallguide beleuchtet alle Aspekte rund um Cyberangriffe – die häufigsten Angriffsarten, wie man sie erkennt, was im Ernstfall als Erstes zu tun ist und was man unbedingt vermeiden sollte, wo man Hilfe bekommt und wie man die Spuren des Angriffs analysiert. Außerdem behandelt das Heft das wichtige Thema Krisenkommunikation: Denn wie man insbesondere nach außen gegenüber Kunden und Zulieferern kommuniziert, entscheidet über die Reputation einer angegriffenen Organisation. Ein weiterer wichtiger Themenkomplex betrifft die Vorbereitung auf solche Angriffe: von Notfallplänen und Krisenübungen über Backups bis hin zu Notfallumgebungen in der Cloud. Wer hier gewappnet ist, kann die Folgen des Angriffs besser, schneller und weniger teuer bewältigen. Mehrere Checklisten im Heft helfen dabei, sich effizient auf den Vorfall vorzubereiten und im Ernstfall schnell das Richtige zu tun.

Das Heft ist Bestandteil des iX-Abos, alle Abonnenten erhalten es also zusätzlich zu den Monatsheften. Alle anderen finden es ab dem 14. Juni im Zeitschriftenhandel und wahlweise digital oder als Printversion im heise shop.

iX-Jubiläumsrätsel: Auflösung und Gewinner

Als Lösungswort gesucht war „DeepThought“, der Schachcomputer, der im Gründungsjahr der iX die Gemüter bewegte. 482 Teilnehmerinnen und Teilnehmer kamen auf die korrekte Lösung.

Über den Mähroboter smart SILENO life von Gardena im Wert von rund 1000 Euro kann sich Mathias Glander freuen. Den Mini-Server LESv4 von der Thomas-Krenn.AG im Wert von rund 550 Euro hat Jens Hansen gewonnen.

Büchergutscheine vom dpunkt.verlag gehen an Tobias Neumann, Thomas Langer, Christoph Niemann, Peter Weiland und Mirza Mujagic.

Jeweils ein Buch vom Rheinwerk Verlag gewinnen Jochen Stein, Carsten Meyer, Rainer Goersch, Gregor Zurowski und Bok-Him Lin.

Die Redaktion gratuliert allen Gewinnerinnen und Gewinnern.

Ergänzungen und Berichtigungen

Rechtliche Unsicherheit beim Coding mit KI; iX 3/2024, S. 86

Im Absatz zur Apache-Lizenz heißt es, neue Software dürfe nur dann unter die Apache-Lizenz gestellt werden, wenn die Apache Software Foundation (ASF) dem zustimmt. Das ist nicht richtig. Software darf unter Apache-Lizenz veröffentlicht werden, ohne die ASF fragen zu müssen.

Die iX-Redaktion behält sich Kürzungen und auszugsweise Wiedergabe der Leserbriefe vor. Die abgedruckten Zuschriften geben ausschließlich die Meinung des Einsenders wieder, nicht die der Redaktion.

Der direkte Draht zu iX

Direktwahl zur Redaktion: 0511 5352-387

Redaktion iX | Postfach 61 04 07
30604 Hannover | Fax: 0511 5352-361
E-Mail: post@ix.de | Web: www.ix.de

Für E-Mail-Anfragen zu Artikeln, technischen Problemen, Produkten et cetera steht die Redaktion gern zur Verfügung.

Listing-Service:
Sämtliche in iX seit 1990 veröffentlichten Listings sind über den iX-FTP-Server erhältlich: ftp.heise.de/ix/