Zehn Verhaltensweisen, die mir speziell in Firmen kontraproduktiv erscheinen
- Backup ist gut. Unverschlüsseltes Backup in der Cloud ist unverschlüsselt und in der Cloud! (Das gilt auch für den bei Apple gespeicherten Crypto-Key für deine Festplattenverschlüsselung unter MacOSX-Lion.)
- Passwörter sind vielzählig vorhanden, für viele Online-Dienste, jeder mit seinem eigenen Passwort. Das ist umständlich, deshalb merkt man sich lieber nur ein Passwort für einen Online-Passwort-Storage-Service. Was kann da schon schief gehen?
- Passwörter an sich nerven schon total, gerade in Kombination mit Nazi-Passwortrichtlinien: Mindestens dreiundneunzig Zeichen, mindestens jedes zweite Zeichen ein Symbol, Sonderzeichen, eine Zahl oder eine koreanische Silbe. Das Passwort muss gefühlt alle paar Tage geändert werden, aber nicht einem der letzten 1000 Passwörter ähneln und darf kein Palindrom sein. Ich persönlich nehme den Kosenamen der Katze des imaginären Nachbarn, der als Kryptologe seinen Herzschlagtakt und die Farbtemperatur der Mikrowelle mit einbezieht.
- Biometrisches Login ist auch keine Lösung. Ich hänge an meinen Fingern und Augen.
- Die feine Linie zwischen Internet und Intranet - in dieser Richtung - besteht aus einem Passwort, natürlich. Ein paar Vorschläge: '123456', 'Password', 'iloveyou', 'princes', 'qwerty'
- Auch im Intranet vertrauen Webbrowser X509-Zertifikaten, die plötzlich von anderen CAs ausgestellt wurden, denen der Browser auch vertraut. Das ändert sich sicher bald - hoffentlich - wahrscheinlich - sehr bald. In der Zwischenzeit, sollten private Schlüssel nicht auf 0-8-15-Routern, Kühlschränken, Smartphones oder Microcontrollern erzeugt werden, damit der Nachbar - der alte Kryptologe - nicht zufällig den selben privaten Schlüssel generiert.
- Skype und Java-Plugin*. Need I say more? -- * die zwei Produkte stehen hier stellvertretend für beliebige Software. Beides wird irgendwie gebraucht (?). Beides kann mehr, als es soll.
- Interne Firmenkommunikation läuft natürlich über ICQ, Facebook, $IM-Dienst, denn das funktioniert auch privat und ist einfach zu bedienen.
- Es gibt sinnvolle und betriebssystemübergreifende Dateiverschlüsselungssoftware. Die Windows-Only-Software AyCrypt gehört nicht dazu. (Name von der Redaktion geändert)
- Festplattenverschlüsselung sollte nicht per Hotline abgeschaltet werden können.