avianex / Online Performance Marketing / Bereich "Know-How"

Beiträge aus der Kategorie Know-How

Sichere Passwörter – dieser Dauerbrenner kommt endlich zu den Akten!

Passwörter brauchen wir heute für alles – nicht nur im digitalen Leben, sondern immer öfter auch in unserem analogen Pendant. Wie ein sicheres Passwort auszusehen hat, weiß mittlerweile jeder – und dass dieses eine sichere Passwort nicht für alle Online-Accounts und -Aktivitäten genutzt werden sollte, ist auch ganz klar. Aber wie soll man individuelle vielstellige Passwort-Phrasen verwalten, ohne über deren Verwaltung schwermütig zu werden?

Oft wird u.a. in einem ersten Schritt zu „Passwortsätzen“ geraten. So bilden z.B. die Anfangsbuchstaben von komplexen, aber persönlich einfach zu merkenden Sätzen das Passwort zu einem Ihrer genutzten Services, sagen wir für Ihren Email-Account. Ist das gut (genug)? Das kommt natürlich wieder auf die Qualität des Satzes an, aber generell kan man sagen: für die spontane Vergabe eines neuen Passworts ist fast alles besser als der eigene Vorname, also eine sehr gute Idee. Dennoch bleibt auf Dauer die Frage, wie man sich Dutzende solcher Phrasen auf Dauer sicher merken kann.

Warum es also nicht gleich richtig machen? Nutzen sie einen Passwort-Safe wie das kostenlose Open-Source-Projekt Keepass (oder einen für Sie evtl. geeigneten Ableger). Mit einem einzigen -bitte sicheren!- Hauptpasswort nutzen sie nun die interne Möglichkeit eines solchen Programms zur Erstellung extrem sicherer Passwörter; ein separates, individuelles Passwort für jede Ihrer (Online-)Gelegenheiten.

Als einzige Aufgabe bleibt nun: jedes der Passwörter durch eindeutige Namensgebung und URL zum jeweiligen Service zuordenbar und schnell verfügbar innerhalb von Keepass abzulegen. Das Programm macht es Ihnen aber durch seine strukturierte, tabellenähnliche Übersicht sehr einfach und sie werden sich sicherlich schnell daran gewöhnt haben.

Sie brauchen die Passwörter aber immer und überall einfach zugänglich? Kein Problem, Programme wie Keepass gibt es sowohl für alle Systeme als auch für Ihr Smartphone.

Synchronisierung … in der Cloud?

Lokale Passwort-Verwaltungen wie Keepass nutzen nun meist eine wiederum verschlüsselte Passwort-Datei für alle Details, welche eben dort auf Ihrem Rechner liegt, wo sie das Pogramm erstellt. Wie synchronisieren Sie nun also  diese Inhalte sehr einfach überall dorthin, wo Sie Ihre Passwörter auch wirklich brauchen?

Eine Antwort: Sie können statt Keepass einen spezialisierten Online-Dienst nutzen, der für Sie Ihre Passwörter verwaltet. Damit machen Sie sich allerdings nach all Ihrer Mühe um individuelle Passwörter wiederum abhängig von einem Fremd-Dienst, der gehackt werden und damit abermals direkten Zugriff auf all Ihre individuellen Passwörter geben könnte.

An dieser Stelle also kein konkreter Tipp von uns für einen solchen Online-Dienst.

Eine andere (bessere!) Antwort: Gehen Sie mit Ihrer verschlüsselten Passwort-Datei in die Cloud. Ach so? Genau. Nutzen Sie ein lokales Programm wie Keepass und legen Sie die generierte Datei in Ihrem synchronisierten Dropbox-Ordner ab. Da die Keepass-Datei verschlüsselt ist, kann ein Dienst wie Dropbox mit deren Inhalt nichts anfangen. Nun können Sie von all Ihren Geräten aus Ihre Passwörter nutzen und aktuell halten – Sie müssen nur darauf achten, dass vor und nach Aktualisierungen diese Datei immer erst sauber synchronisiert wird. (Im schlimmsten Fall haben Sie ein Sync-Problem, aber Sie werden Ihre Datei nicht verlieren.)

Das Wichtigste für diese Art Nutzung: Sichern Sie Ihre Passwort-Datei in Keepass in diesem Fall nicht nur mit einem guten Master-Passwort, sondern auch mit einem sogenannten keyfile, also einer frei zu wählenden lokalen Datei, die von da an neben dem Haupt-Passwort zwingend zur Öffnung Ihres Passwort-Containers gebraucht wird. Dieses keyfile legen Sie nun auf all Ihren Geräten ab, auf denen Sie zukünftig Ihre Passswörter nutzen wollen (durchaus auch auf Smartphones, kein Problem) – aber bitte legen sie das keyfile selbst nicht auch über den Cloud-Service ab, sondern ausschließlich per direktem Kopiervorgang. Damit ist ein entschlüsselnder Zugriff auf diese Datei ohne eines Ihrer passenden Geräte (und dem Master-Passwort) für niemanden mehr möglich.

Herzlichen Glückwunsch! – sobald Sie gewohnt sein werden, über Keepass und dessen praktische Tastatur-Kürzel zu arbeiten, haben Sie eine sehr alltagstaugliche Lösung für beliebig viele hochkomplexe Passwörter für alle nötigen Gelegenheiten.

Sie sind ein fortgeschrittener Anwender? Dann ist eventuell sogar die eigene Cloud eine Lösung für Sie, um selbst auf Dienste wie Dropbox verzichten zu können. Unsere präferierte Lösung dafür ist Nextcloud – ein vollständiges, mittlerweile recht ausgereiftes Paket an nützlichen Cloud-Funktionen, das Sie auf Ihrem eigenen Server (gemietet oder selbst betrieben) installieren und anpassen können. Genaueres erklären wir Ihnen in einem weiteren Artikel bzw. helfen Ihnen sehr gerne dabei, eine solche Lösung passend für Sie aufzusetzen.

Sichere Kommunikation mit Klienten für Praxen und Kanzleien

Spätestens mit Inkrafttreten der neuen DSGVO vergangenen Mai dieses Jahres und der ursprünglich auf Mitte des Jahres befristeten Einführung von sicherer Kommunikation und sicheren Anwendungen im Gesundheitswesen auf Basis des E-Health-Gesetzes war und ist das Thema gesetzeskonforme Kommunikation mit Klienten und der dabei nötige Schutz von persönlichen Daten in aller Munde.

Es gelten seither eine strengere Definition was unter persönlichen Daten zu vestehen ist, als auch höhere Anforderungen an deren Sicherheit in der Kommunikation und Verarbeitung in Praxen, Kanzleien und Unternehmen. Besonders sensibel hier: die Anbahnung von Mandantenverhältnissen durch digitale Kanäle – hier mittlerweile oft per Email. Betroffen sind also Praxen und Kanzleien aller Art, die auch nur eine Kontakt-Email auf ihrer Webseite angeben.

Viele Branchen, für die bereits Software-Systemhäuser speziell auf den Beruf zugeschnittene, technische Gesamtlösungen vertreiben, sind in diesem Jahr den logischen nächsten Schritt gegangen und haben ein Modul zur sicheren Kommunikation ihrer Softwarelösung hinzugefügt, so etwa beim Elektronischen Anwaltspostfach für die Korrespondenz zwischen Kanzleien untereinander bzw. mit Justiz und Behörden oder vergleichbar auch der sogenannten Telematikinfrastruktur (TI) für das Gesundheitswesen, die eine umfassende sichere Infrastruktur verpflichtend für Praxen von Ärzten und Psychotherapeuten anstrebt, und deren Umsetzung ebenfalls durch die Systemhäuser der spezifischen Branchensoftware-Anbieter erfolgt, in Kooperation mit Hardware-Dienstleistern.

Die größten Nachteile solcher Branchenlösungen

  • Diese Lösungen müssen in kürzester Zeit regelkonform umgesetzt werden, was bei hoch komplexen Systemen nicht trivial ist: BeA mit gravierenden Sicherheitslücken bzw. TI-Anbindung problematisch
  • Die modulare Lösung ist integriert in eine Gesamtlösung, die als Ganzes bereits angeschafft sein muss – und entsprechend monatlich zu Buche schlägt
  • Es gibt wie überall so auch hier Marktführer und Konkurrenzprodukte, die untereinander inkompatibel sind
  • Zuguterletzt sollen solche Szenarien zwar den Großteil an Geschäftskorrespondenz sicher gestalten, aber eine initiale Klientenanfrage und der sich daraus ergebende Dialog mit Praxis, Kanzlei oder Unternehmen ist davon nicht umfasst und erfolgt im Zweifel nach wie vor ungeschützt

Was ist nun aber das Problem, auf der eigenen Praxis- oder Kanzlei-Webseite eine Kontakt-Email bereitzustellen?

Der Klient muss gesetzlich bereits bei Erstkontakt die Möglichkeit haben, seine Kommunikation abzusichern. Dies ist bei normaler Email nicht gegeben. Sie müssen also als Praxisinhaber gesondert sicherstellen, dass ihnen ihr (zukünftiger) Klient z.B. verschlüsselt Emails zukommen lassen kann. Wenn dies der Klient nicht in Anspruch nimmt, so ist das wiederum seine Sache, aber die prinzipielle Möglichkeit muss geschaffen sein.

Nun gibt es dafür seit über 25 Jahren eine Lösung: PGP, ein sogenanntes Pulbic-key-Verfahren, das auf Schlüsselaustausch zwischen zwei Parteien basiert. Das System ist durchaus weit verbreitet, doch ist es seit seiner Entstehung nicht einen Deut benutzerfreundlicher geworden. In jüngster Zeit mühen sich verschiedenste Interessensgruppen und Anbieter redlich, die Einrichtung zu vereinfachen oder gar zu automatisieren, doch ein Standard ist noch nicht in Sicht. Auch Methoden wie S/MIME schaffen hier nicht wirklich Abhilfe, da sie zwar Teilprozesse hilfreich automatisieren, doch das Gesamtkonzept immer noch administratives Verständnis erfordert.

Wir helfen Ihnen gerne dabei, Ihre Kommunikation mit Klienten inklusive Erstkontakt sicher zu gestalten – je nach Bedarf durch Beratung oder Installation, Einrichtung und Wartung der entsprechenden Software (vgl. auch unter Open-Source-Architektur). Darüber hinaus besteht die Möglichkeit, über unsere hauseigene Software SecuCom eine Ende-zu-Ende-Verschlüsselung direkt in Ihre Webseite zu integrieren und eine sichere Kommunikation mit Klienten somit direkt per einfachem Klick im Browser bereitzustellen (mehr Informationen hierzu unter Tool-Entwicklung).

Kontaktieren Sie uns – wir finden die passende Strategie und Lösung für Sie!