„Schwache Passwörter sind Ursache und Ärgernis Nummer Eins“

sicher

Sicher ist sicher: Schützt euch vor Datendieben, aber auch vor neugierigen Blicken über die schulter. Foto: Fly d'Art/Unsplash


Macht’s den Datendieben schwerer: Der Oktober stand im Zeichen der Cybersecurity. Bei Twitter und Linkedin informierte das Leibniz-Rechenzentrum (LRZ) Interessierte, wie sie Notebooks, Smartphones und vor allem ihre Privatsphäre vor Attacken schützen können. Alle Empfehlungen stammten vom LRZ-Security-Team – Miran Mizani stellt dessen Arbeit im Interview vor. Im Arbeitsalltag analysiert der Informatiker mit seinen Kolleg:innen Sicherheitsvorfälle, aber auch die Taktik von Angreifer:innen und optimiert Prozesse. Daneben beschäftigt er sich für seine Doktorarbeit gerade mit der Frage, wie Informationssicherheit gefördert werden kann, wenn mehrere Organisationen zusammenarbeiten und sich über Datenleitungen und Cloud miteinander vernetzen. „Wer als Admin am LRZ für Dienste verantwortlich ist, kümmert sich sehr sorgfältig um deren Sicherheit, das hilft uns sehr“, sagt er. „Schwache Passwörter sind sicher Ursache und Ärgernis Nummer Eins. Meistens verschaffen sich Angreifer:innen über kompromittierte Kennungen Zugang auf Dienste und Geräte.“

Hast du persönlich eine Cyberattacke erlebt? Miran Mizani: Privat beschäftige ich mich schon seit dem Studium mit Sicherheitsfragen und hab mich so regelrecht auf Schutzmaßnahmen getrimmt. Hier am LRZ und im Münchner Wissenschaftsnetz oder MWN bekommen wir es mit Angriffen teils im größeren Stil zu tun. Meist stecken als Einfallstor aber ganz einfache Dinge, wie schwache oder einfach erratbare Passwörter dahinter, über die Angreifer:innen sich dann Zugriff auf die Systeme von Institutionen im MWN verschaffen.

Auf welche Sicherheitsmaßnahme legst du beim Surfen, Chatten oder Mailen Wert? Mizani: Es ist keine einzelne Maßnahme, sondern ein ganzes Bündel: Das Antivirenprogramm, die neuesten Software-Versionen, sichere Datenverbindungen über Virtual Private Networks oder VPN und ein Passwortmanager gehören unbedingt dazu. Außerdem prüfe ich Mail-Adressen und Domains genau, vor allem, wenn ich darin Links öffnen oder Dateien herunterladen soll. Ungewöhnliche Schreibweisen deuten oftmals auf einen Phishing-Versuch hin. Und allgemeine oder persönliche Zugangsdaten gebe ich nur über sichere Datenverbindungen ein, erkennbar an dem https:// am Beginn einer Web-Adresse.

Welche Ursachen von Datenverlust beobachtet ihr am LRZ und welche Fehler von Anwender:innen ärgern euch? Mizani: Schwache Passwörter sind Ursache und Ärgernis Nummer Eins. Meistens verschaffen sich Angreifer:innen über kompromittierte Kennungen Zugang zu Diensten und Geräten, mit denen sie dann ihr geplantes Unheil anrichten. Im Münchner Wissenschaftsnetz agieren viele Institute weitgehend autonom. Als Rechenzentrum stellen wir zentrale Technik und IT-Dienstleistungen zur Verfügung. Für die Sicherheit der Systeme, die Institute im MWN selbst betreiben, sind die jeweiligen Administratoren verantwortlich. Verwenden sie veraltete Programmversionen oder Sicherheits-Protokolle, haben Angreifer:innen leichtes Spiel, wenn sie Computer zum Beispiel fürs Cryptomining übernehmen und sich dann im MWN ausbreiten. Solche Fälle dämmen wir mehrmals pro Monat ein.

Was können Anwender:innen tun? Mizani: Mehr an Sicherheitsaspekte denken, sich immer wieder darüber informieren und generell misstrauisch sein. Auf jeden Fall aber längere und unterschiedliche Passwörter benutzen. Das gilt im privaten wie im beruflichen Umfeld. Passwortmanager bieten sich hier an, da gibt es einige gute, kostenlose. Viele IT- und Web-Dienste wie zum Beispiel Github oder ebay bieten inzwischen auch eine Zwei-Faktor-Authentifizierung an. Sie bietet guten Schutz gegen unerwünschten Zugriff auf Accounts. Die IT-Admins an den Instituten sollten ihre Software regelmäßig aktualisieren. Anstatt alles selbst zu betreiben, empfehlen wir, IT-Dienste (und deren Absicherung) ans LRZ auszulagern – eine gute Sache, vor allem wenn sich die Verantwortlichen nur nebenher um die IT kümmern können und wenig Zeit haben.

Wie grenzt ihr technisch Risiken zu schwacher Passworte ein? Mizani: LRZ-intern haben wir jetzt ebenfalls die 2-Faktor-Authentifizierung, 2FA, etabliert, für weitere LRZ-Dienste ist sie in Planung. Im Prinzip wird bei der 2FA neben dem Passwort ein weiterer Faktor notwendig, um zu beweisen, dass man tatsächlich zur Nutzung berechtigt ist. Dafür gibt es unterschiedliche Verfahren: Das LRZ setzt auf eine zusätzliche Hardware, die per USB ans Notebook gesteckt wird und bei Bedarf ein zusätzliches Einmalpasswort generiert. Auch Smartphone-Apps oder Transaktionsnummern können als zweiter Faktor dienen. Um schwache Passwörter in Zukunft zu begrenzen, haben wir die Anforderungen an deren Qualität hochgeschraubt. Außerdem arbeiten wir gerade an Lösungen zur kontinuierlichen Überprüfung der Passwörter und zur Sensibilisierung von Nutzer:innen.

Datenaustausch, Transparenz, Open Science – das sind Werte, für die das LRZ steht, die ihr aber im Sicherheitsteam kritisch oder als Risiko sehen müsst. Mizani: Das ist tatsächlich manchmal ein Konflikt und ein Grund, warum wir im Securityteam keine Verbote aussprechen, sondern auf sichere Dienste setzen. Mit dem Cloud-Dienst LRZ Sync+Share können beispielsweise Dokumente und Dateien sicher ausgetauscht werden. Unsere Kolleg:innen vom Netzbetrieb leisten hier auch tolle Arbeit, indem sie neben der Infrastruktur für den Datenverkehr auch nötige Sicherheitslösungen wie Firewalls, Virtual Private Networks und Monitoring bereitstellen und betreiben. Werden am LRZ neue Dienste geschaffen oder integriert, unterstützen wir das und bringen sofort unsere Security-Perspektive mit ein. Danach startet ein kontinuierlicher Prozess der Optimierung.

Wie sieht dein Arbeitstag aus – musst du ständig auf Attacken reagieren? Mizani: Im Sicherheits-Team gibt es nur wenig Routine, auch wenn wir die Aufgaben untereinander aufgeteilt haben und ich im Speziellen auf Prozesse und Optimierung achte, wie wir intern und organisationsübergreifend auf Sicherheitsvorfälle reagieren. Wir beobachten gemeinsam, was im MWN passiert, ob dort zum Beispiel bekannte oder neue Arten von Viren auftauchen, überprüfen die Angreifbarkeit unserer Systeme und Dienste und führen System-Tests durch. Für letztere konfrontieren wir unsere Systeme oder Netze mit bekannten Methoden von Cyberkriminellen und analysieren weitere mögliche Angriffstaktiken. Gemeinsam mit den IT-Admins und unseren Fachabteilungen erarbeiten wir dann Strategien, die diese Systeme abzusichern. Und natürlich laufen bei uns auch die technischen Fragen rund um Datenschutz und Privatsphäre ein. Studierende, die Einblicke in Sicherheitstechniken gewinnen und uns unterstützen wollen, sind immer herzlich willkommen – wir suchen zurzeit Verstärkung. Sie können echt viel lernen, das Umfeld ist spannend.

Du arbeitest außerdem an deiner Doktorarbeit – ein Sicherheitsthema? Und werden am LRZ eigentlich auch Sicherheitsthemen erforscht? Mizani: Mich interessiert, wie Einrichtungen in ihrer organisationsübergreifenden Zusammenarbeit Security-Aspekte fördern können. Damit habe ich am LRZ tagtäglich zu tun. Unternehmen können Security durch Vorschriften und Regeln verhältnismäßig leichter durchsetzen. Ein Rechenzentrum wie das LRZ kooperiert hingegen mit vielen unterschiedlichen Organisationen, auch Unternehmen arbeiten oft mit externen Dienstleistern und anderen Organisationen zusammen. In so einem Verbund sind einheitliche Sicherheitsmaßnahmen komplex, schwerer einzuführen und zu etablieren. Wegen der Alltagsfragen komme ich zurzeit aber leider nur langsam voran.
Generell erforscht das LRZ Sicherheitsfragen in diversen Forschungsprojekten: Derzeit beispielsweise im Rahmen von GÉANT und CONCORDIA. Für Letzteres bauen europäische Forschungseinrichtungen ein Cybersecurity Ecosystem und eine Online-Plattform rund um IT-Sicherheit und Datenschutz auf. Das LRZ unterstützt CONCORDIA mit Services, Virtual Labs und Cyberranges in der Cloud, das sind Umgebungen, in denen Sicherheits-Expert:innen Attacken analysieren und Gegenstrategien testen können.

Übt ihr damit auch? Mizani: Die meisten Cyberranges sind noch im Aufbau, testweise haben LRZ-Kolleg:innen mit der offenen Cyberrange KYPO der Masaryk Universität in Brno schon gearbeitet. Auch die Universität der Bundeswehr und das Forschungsinstitut CODE bauen an so einer Umgebung. Geplant ist, dass Studierende und IT-Professionals daran bald üben können. Darüber informiert die CONCORDIA-Website.

Wie schützt ihr Ressourcen – oder muss das aus Sicherheitsgründen ein Geheimnis bleiben? Mizani: Detaillierte Strategien und Maßnahmen veröffentlichen wir natürlich nicht. Aber am LRZ können wir uns voll und ganz auf unsere Kolleg:innen verlassen. Wer als Admin am LRZ für Dienste verantwortlich ist, mag diese offensichtlich sehr und kümmert sich daher sorgfältig um deren Sicherheit. Die PC-Gruppe informiert sich zum Beispiel intensiv über Sicherheitsempfehlungen beim Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, und auf anderen Seiten. Sie schlägt uns immer wieder sinnvolle Neuerungen vor. Das machen auch andere Gruppen, was uns sehr hilft. LRZ-Admins denken mit, und das ist wohl mit die beste Sicherheitsstrategie. Außerdem hilft es, dass wir durch unsere ISO/IEC 27001-Zertifizierung zur Informationssicherheit unsere Prozesse ständig überdenken und optimieren. Das Thema Security bleibt so überall im LRZ auf der Agenda. (vs)


miran

Miran Mizani, Informatiker und LRZ-Mitarbeiter, der sich auf IT-Sicherheit spezialisiert
und gerade an seiner Promotion arbeitet.