IT-Sicherheit nervt – Keine IT-Sicherheit nervt noch mehr…
Praktisch zeitgleich erreichten mich heute zwei Meldungen.
Die erste, von unserem RRZE, berichtet, dass die Zertifizierungsstelle S/MIME Nutzerzertifikate sperren wird, die zwischen September und Dezember 2023 erstellt wurden. Der Grund? Die Firma hatte die FAU nicht korrekt validiert. Führt kein Weg dran vorbei, die Zertifikate werden gesperrt, die Benutzer:innen werden benachrichtigt und brauchen dann neue Zertifikate. Das nervt.
Ja, voll doof, denke ich mir.
Nur, wenige Minuten später (ja, die Nachricht ist von gestern, aber die Benachrichtigung hatte ich erst heute), bekomme ich die zweite Meldung: 26 Milliarden (!) Datensätze auf einem öffentlichen Server im Netz entdeckt. Das bislang größte bekannte Sicherheitsleck, 12 TB schwer, liebevoll als „Mother of all Breaches“ (kurz: MOAB) getauft, besteht aus Datensätze von Tausenden Datenlecks. Wie die vermutlich „bösartigen Akteur:innen“ an die Daten gekommen sind (u.a. von MySpace, Twitter, LinkedIn, Dropbox und einige andere große Namen) und wer genau dahinter steckt ist noch unklar.
Was sehr oft hinter den Datenlecks steckt? Mehrfachverwendung von Passwörtern, viel zu oft.
Deswegen bin ich mal so frei und erwähne es wieder: Ihr müsst euch keine Passwörter selbst merken. Dafür gibt es Tools, auch an der FAU kann ein solches sehr einfach installiert werden. Wie das geht, was gute Passwörter sind (leicht zu merken, aber schwer zu erraten) und was man sonst dazu wissen sollte habe ich letztes Jahr in einem Blogbeitrag zusammengefasst.
Wer wissen will, ob und welche seiner Mailadressen betroffen sind, der geht auf ‚;–have i been pwned? und gibt seine Mailadresse dort ein. Wenn sie in einem Data breach dabei war, sollte das Passwort immer zeitnah geändert werden.
Dr. Monica Hinrichs-Mayer, 24.01.2024