"Ganzen Satz verwenden und noch einen Rechtschreibfehler einbauen"

IT-Sicherheitsexperte Kalinna: „Passwort-Policies“ überdenken / Praxisnahe Tipps zur IT-Sicherheit / Interview

Die Sicherheit von Passwörtern hängt von ihrer Länge ab – so banal dieser Satz klingt, so oft findet er keine Beachtung. Der „Faktor Mensch“ sei wichtig für die Sicherheit, aber nicht allein ausschlaggebend, erklärt Udo Kalinna gegenüber „Verwaltung der Zukunft“. Veraltete Strukturen und wenig Offenheit und Kenntnisse auf Führungsebene tragen laut des IT-Sicherheitsexperten ebenso zu prekären Verhältnissen in der öffentlichen Verwaltung bei.

Archiv

Rubrik:

Politik, Strategie & Governance

12.06.18

Udo Kalinna hatte von 2010 bis 2017 die Verwaltungs-Professur für IT-Sicherheit und Medieninformatik an der Fachhochschule Emden/Leer inne, ist dort weiterhin als Dozent tätig und berät seit 2013 auch mit seinem eigenen Unternehmen u. a. Bundes- und Landesbehörden.

Verwaltung der Zukunft: Herr Kalinna, wie ist es grundsätzlich um die IT-Sicherheit in der deutschen Behördenlandschaft bestellt?

Kalinna: Es handelt sich mittlerweile um ein systemisches Problem für weite Teile des öffentlichen Sektors. Viele Behörden hinken mit der Hardware weit hinterher, weil viele Jahre nicht oder zu wenig investiert wurde. Hinzu kommt, dass der öffentliche Sektor insbesondere mit Blick auf die IT radikal unterbesetzt ist – es fehlt nicht nur an Personal, sondern auch den richtigen Leuten.

Es handelt sich mittlerweile um ein systemisches Problem für weite Teile des öffentlichen Sektors.

VdZ: Das oft beschriebene Problem der Bezahlung im Rahmen öffentlicher Tarife….

Kalinna: Ja, gerade in der aktuellen Hochkonjunkturphase gehen die wenigen IT-Absolventen lieber in die Industrie, mit der Staat und Kommunen beim Gehalt nicht mithalten können. Oft sind aber auch zu geringe Mittel vorhanden, um gute externe Dienstleister einzukaufen und zu wenig Wissen, um diese überhaupt controllen zu können. Das wird immer mehr zum Problem.

In kleinen Gemeinden bis zu Mittelstädten mit mehreren Zehntausend Einwohnern ist die Lage meiner Erfahrung oft prekär.

VdZ: Auf welcher staatlichen Ebene ist die Situation aus Ihrer Sicht nicht nur unbefriedigend, sondern nicht mehr zu tolerieren?

Kalinna: In kleinen Gemeinden bis zu Mittelstädten mit mehreren Zehntausend Einwohnern ist die Lage meiner Erfahrung oft prekär. Wenn ich mir die Sicherung so manches Netzwerks anschaue, fällt mir nicht mehr viel ein. Kommunen sollen und müssen Redundanzen vermeiden, trotzdem laufen vielerorts alte und neue Firewall- und andere Software-Systeme unnötigerweise nebeneinander.

An anderer Stelle haben Doppelstrukturen durchaus Sinn, zum Beispiel bei der Netzinfrastruktur. Was nützen mir heutzutage alle Vorkehrungen, wenn der Internetzugang ausfällt? Um passende und finanzierbare Modelle zu finden, muss man aber mit den Providern sprechen. Das bringt oft Probleme mit sich.

An anderer Stelle haben Doppelstrukturen durchaus Sinn, zum Beispiel bei der Netzinfrastruktur. Was nützen mir heutzutage alle Vorkehrungen, wenn der Internetzugang ausfällt?

VdZ: Und wie sieht es auf Bundesebene aus?

Kalinna: Größere Einrichtungen auf Bundesebene sind meist besser aufgestellt. Vor allem die Sicherheitsbehörden beim Bund und in den Ländern müssen aber auch einem höheren Anspruch genügen, da sie ganz anderen Angriffen ausgesetzt sind. Die Vergangenheit hat das mehrfach gezeigt.

VdZ: Welche Rolle spielt der „Faktor Mensch“ in der IT-Sicherheit?

Kalinna: Letztlich geht es immer um den Menschen, der die Systeme schließlich betreibt und nutzt. Wenn schon kaum fachkundiges Personal vorhanden ist oder angeworben werden kann, muss geschult und fortgebildet werden! Das mag auch vielerorts vorgesehen sein, meiner Erfahrung nach hakt es aber weiterhin an der faktischen Umsetzung.

VdZ: Was können Mitarbeiter der öffentlichen Verwaltung ohne größeren Ressourcenaufwand tun, um die Sicherheit zu erhöhen?

Kalinna: Eine Möglichkeit liegt zum Beispiel bei den Passwörtern. Ihre Stärke und damit die Zugangssicherheit hängen vor allem von ihrer Länge ab. Mit jedem zusätzlichen Zeichen erhöhen sich die Möglichkeiten milliardenfach. Wir haben das an der Hochschule Emden/Leer mit einem extrem leistungsfähigen Rechner mehrfach durchgespielt.

Wenn Geheimdienste ausgesperrt bleiben sollen, braucht es mittelfrsitig wohl viel längere Passwörter als die heute meist üblichen acht Zeichen.

VdZ: Was würden Sie also konkret empfehlen?

Kalinna Ich rate dazu, mindestens 18 bis 20 Zeichen zu verwenden, bestmöglich gekoppelt mit einer Zahl. Grundsätzlich gilt: Je mehr Zeichen, desto sicherer. Nehmen Sie einen ganzen Satz und bauen noch einen Rechtschreibfehler ein, dann müssen sie keine „Hieroglyphen“ mehr integrieren und das Passwort nicht so oft wechseln. Das bringt schon sehr viel mehr Sicherheit, als die üblichen acht Zeichen.

Ich rate dazu, mindestens 18 bis 20 Zeichen zu verwenden, bestmöglich gekoppelt mit einer Zahl.

VdZ: Wie viel Sicherheit denn?

Kalinna: Für „normale“ Zwecke sollte das reichen. Wenn es allerdings darum geht, Geheimdienste wie die NSA draußen zu halten, brauchen Sie womöglich noch weitaus mehr als 20 Zeichen. Genau ist das schwierig zu sagen, weil eben die Halbwertszeit des Wissens in der IT-Sicherheitsbranche sehr gering ist und sich die technischen Möglichkeiten rasant weiterentwickeln. Das gilt insbesondere für Super-Computer, die ja zum Hacken von Sicherheitssystemen genutzt werden.

Die Lage wird auch absehbar leider so bleiben, weil eben nur ein winziger Prozentsatz an IT- Absolventen und -Fachkräften in die alternde öffentliche Verwaltung nachrückt.

VdZ: Viele Systeme lassen aber gar nicht zu, dass so viele Zeichen genutzt werden…

Kalinna: Es ist tatsächlich ein Problem, dass ein einzelner Mitarbeiter nicht einfach mal schnell umprogrammieren und lösen kann. Dabei geht es um die größere „Passwort-Policy“ der jeweiligen Behörde oder Organisation – das ist ggf. eine Aufgabe für die Entscheidungsebene. Allerdings herrscht hier oft nicht der technische Sachverstand, um sich dieser und anderer Missstände bewusst zu werden. Die Lage wird auch absehbar leider so bleiben, weil eben nur ein winziger Prozentsatz an IT- Absolventen und -Fachkräften in die alternde öffentliche Verwaltung nachrückt.

Deep Fakes im Wahlkampf: Realität in der größten Demokratie der Welt

Wie hilflos steht Deutschland der kommenden Welle gegenüber?

Dass Kriminelle mittlerweile Künstliche Intelligenz (KI) nutzen, um den diversen Enkeltricks, CEO-Frauds und ähnlichen Verbrechen den letzten Schliff zu geben, ist bekannt. Doch mittlerweile wird die Technik – namentlich die Möglichkeit, mittels einiger frei verfügbarer Bilder und Tonaufnahmen …

„Die größte Herausforderung wird der erforderliche kulturelle Wandel sein”

Interview mit Bertram Geck und Tobias Schmitz zur GVG-Roadmap

Die Gesellschaft für Versicherungswissenschaft und -gestaltung (GVG) veröffentlichte im Februar eine Roadmap für die digitale Transformation des Sozialstaats. Dabei stellten sie 10 konkrete Forderungen, damit der Wandel gelingt. Die Leiter des GVG-Forums Digitalisierung Bertram Geck und Tobias …

Digitale Transformation des Sozialstaates beschleunigen

GVG veröffentlicht 10-Punkte-Roadmap

Die Gesellschaft für Versicherungswissenschaft und -gestaltung e. V. (GVG) stellt im Rahmen einer Roadmap zehn Forderungen auf, wie die digitale Transformation im Bereich der sozialen Sicherung beschleunigt werden kann. Die Roadmap wurde vom GVG-Forum Digitalisierung erarbeitet.

Clever vernetzt im Saarland

VdZ-Interview mit CIO Yorgova-Ramanauskas: Wie die Landesregierung die Kommunen fit für die digitale Ära macht

Das kleine, idyllische Land im Westen setzt nicht nur auf Bits und Bytes. Im Fokus der saarländischen Kommunen steht neben der Umsetzung des Onlinezugangsgesetzes (OZG) vor allem die ganzheitliche, digitale Transformation – von der kleinen Kommune bis zur gesamten Wirtschaft. Das Saarland hat als …