Mit dem Passwort zu mehr Cybersecurity

Heute ist wieder der „Ändere dein Passwort-Tag“. Eine gut gemeinte
Initiative für mehr IT-Sicherheit. Die ursprünglich aus dem militärischen Kontext der 1960er-Jahre stammende Empfehlung, das Passwort regelmäßig zu wechseln, findet sich auch heute noch in vielen Unternehmensrichtlinien wieder. Moderne Richtlinien wie das aktuelle BSI Grundschutzkompendium und die NIST Digital Identities Guidelines streichen diese Anforderung, denn es gibt effektivere Strategien, die Passwortsicherheit zu erhöhen:

Passwortlänge schlägt -komplexität

Zuallererst gilt: Ein starkes Passwort muss nur dann geändert werden, wenn es
den Verdacht gibt, dass es enthüllt wurde.

Angreifer können heute mit automatisierten Systemen Milliarden von Passwörtern innerhalb kürzester Zeit ausprobieren. Insbesondere wenn diese Systeme über das Netzwerk erreichbar sind oder Zugriff auf die Passwort Hashes haben und daher effektiv offline ausprobiert werden können. Die Komplexität des Passwortes ist daher vollkommen gleichgültig, wenn es zu kurz ist. Die Empfehlungen für die Länge schwankt zwischen 8 bis zu mindestens 14 Zeichen. Fortschritte bei Angriffswerkzeugen wie zum Beispiel Hashcat und durch schnellere, spezialisierte Hardware zum Passwortraten treiben diese Anforderungen immer weiter in die Höhe.

Compliance-Richtlinien verlangen heutzutage individualisierte Zugangsdaten. Damit entfällt die Gefahr, dass ein Passwort vielen Leuten bekannt ist und so auch die Notwendigkeit dieses regelmäßig zu ändern. Ein langes Passwort für genau eine Person für genau einen Dienst. Ziemlich sicher.

Passworte sind keine Wiederholteile

Hand aufs Herz, haben Sie nicht auch schon mal das identische oder ein sehr ähnliches Passwort für mehrere Dienste verwendet? Das sollten Sie sich schnell abgewöhnen, denn so führt ein erfolgreicher Angriff auf einen Dienst automatisch zu einem erfolgreichen Angriff auf weiteren. Vor allem die Verwendung bereits privat genutzter Passwörter im Unternehmensumfeld ist besonders kritisch.

Moderne Passwortrichtlinien stellen sicher, dass Passworte abgelehnt werden, die in Listen erbeuteter Passwörter vorkommen. Die Webseite haveibeenpwand zum Beispiel zeigt an, ob ein Passwort erbeutet wurde. Moderne Systeme bieten hier Schnittstellen, um Passworte dahingehend zu prüfen. In CONTACT Elements können Sie diese ganz einfach aktivieren:

from cdb.sig import connect
from cdb.authentication import check_pwned_password
connect(‚password_acceptable_hook‘)(check_pwned_password)

Passwort-Manager statt Einheitsbrei

Passwortwiederholung ist schlecht, kurze Passwörter auch. Benutzer stehen vor der Herausforderung, sich eine große Anzahl langer Passwörter im Kopf zu merken. Auf einen Zettel schreiben und diesen unter der zu Tastatur verstecken oder an die Pinnwand zu kleben ist keine Lösung, da eine Kamera das Passwort abfilmen kann.

Besser ist es, einen Passwort-Manager zu verwenden. Dieser kann lange Passwörter erstellen, verwalten und erleichtert per Copy und Paste die Eingabe. Leider blockieren einige Unternehmen, getrieben von der Sorge, dass ein Trojaner die Passwörter in der Zwischenablage abfangen, die Copy und Paste-Methode in ihren Anwendungen und verhindern damit die Verwendung eines Passwort-Managers. Bei einem Trojaner-Befall ist diese Maßnahme jedoch meist wirkungslos und Unternehmen sollten die Benutzer anleiten, einen Passwort-Manager zu benutzen, um Ihre IT-Sicherheit zu erhöhen.

Vorsicht vor Wegelagerern und Trickbetrügern

Selbst das stärkste Passwort schützt nicht vor Angriffen, wenn es abgefangen wird. Das geht oft erstaunlich einfach. Verbindungen ohne ein Mindestmaß an Sicherheit wie Transport Layer Security (TLS) sind ein offenes Buch für jeden Angreifer. Auch ältere Netzwerkprotokolle wie Kerberos bieten zahlreiche Einfallstore. Ransomware nutzt diese aus, um sich im Firmennetz auszubreiten. Sobald sich ein Administrator auf einem befallenen Rechner anmeldet, hat der Angreifer die Zugangsdaten und kurz darauf sind goldene und silberne Tickets erstellt und die Windows-Domäne ist fest in der Hand des Angreifers. Auch hier steht und fällt die Sicherheit mit dem Passwort, da dieses in die Berechnung der Authentifizierungstickets eingeht und aufgrund der symmetrischen Verschlüsselung dem Angreifer ermöglicht, aus dem Ticket das Passwort zurückzurechnen.

Sicherheit durch mehrere Faktoren steigern

Eine Empfehlung, um die Schwächen von Passworten zu umgehen, ist es, weitere Faktoren einzubeziehen. Das funktioniert sehr gut aus der Perspektive der Sicherheit. Ein zweiter Faktor erhöht in praktisch jedem Fall die Sicherheit deutlich. Dabei ist es in den meisten Fällen zweitrangig, ob es sich um Einmalpassworte wie TANs per SMS, zeitbasierte Codes wie Definition Time-based One-time Password (TOTP) oder auch schlichte Bestätigungsemails mit Links handelt.

Die Schattenseite von zweiten Faktoren ist der zusätzliche Aufwand und die Auswirkungen auf die Usability. Helpdesk Prozesse werden komplizierter, Benutzer müssen geschult werden und Anmeldevorgänge passieren oft langsamer.

Single Sign-On – Fluch und Segen zugleich

Benutzer:innen lieben Single Sign-On (SSO), bei dem man nur einmalig ein Passwort und einen zweiten Faktor eingeben muss, um zahlreiche Dienste zu nutzen. Das minimiert den Aufwand enorm – allerdings auch für den Angreifer. Insbesondere, wenn der Zugang nur an einem schwachen Passwort hängt. Ein zentrales Login-System löst auch viele Probleme für Compliance, wenn Benutzer:innen gesperrt oder Reports erstellt werden. Auch die Kosten für Benutzerverwaltung reduzieren sich.

Single Sign-On stellt die oben angeführte Argumentation „Ein Passwort pro Dienst“ auf den Kopf. Wieder steht nur ein Passwort zwischen dem Angreifer und Ihrem System. Kennt der Angreifer das Passwort, so hat er Zugang. Und dann öffnet das Single Sign-On-System dem Angreifer alle Türen.

Phishing erkennen

Auch stärkere Verfahren wie TOTP oder Hardware-Keygeneratoren bieten keinen Schutz, wenn man Passwort und Zugangscode auf einer gefälschten Webseite eingibt. Diese Praxis ist bekannt unter dem Namen Phishing. Die Lösung dagegen lautet Kanal- oder Token-Binding und verknüpft (bindet) den gewünschten Zugang mit dem Kanal, über den der Zugang angefragt wird. Was bedeutet, dass ein Token nur für den Zugang zu Gerät A akzeptiert wird, nicht aber für Gerät B des Angreifers.

Diese Form der Mehrfaktorauthentifizierung ist sehr sicher und mit moderner Hardware oder Mobiltelefonen einfach zu verwenden. Für die Unternehmens-IT ist die Integration in gängige Plattformen dabei relevant. Windows Hello, Apple und Android unterstützen den von der FIDO Alliance spezifizierten FIDO2 / WebAuthn-Standard, um Phishing aufzudecken und Single Sign-On sicher zu machen.

Passworte sind überflüssig!?

Ausgehend vom WebAuthn-Standard gibt es seit 2022 mit Passkeys eine neue Initiative – getrieben von Apple, Microsoft und Google – um Passworte aus Anwendungen und Single Sign-On zu verbannen. Sie können Ihr Passwort bereits heute schon in einen Passkey ändern, wenn Ihr Gerät das unterstützt und 2024 den „Change your Password Day“ dazu nutzen, Ihr Passwort zu löschen und nie wieder verwenden zu müssen.

Mehr zum Thema Cybersecurity

In unserem kostenlosen White Paper „IT Sicherheit für Unternehmen“ erfahren Sie alles zum Aufbau einer verlässlichen IT-Sicherheitsarchitektur zum Schutz vor Cyberattacken.

Mit der Digitalisierungsroadmap zum ganzheitlich digitalen Unternehmen

Die Digitalisierung von Unternehmensprozessen hat in den letzten Jahren bemerkenswerte Aufmerksamkeit erfahren. Zum einen legte die Corona-Pandemie digitale Defizite schonungslos offen, zum anderen sind Unternehmen in Anbetracht des politischen, gesellschaftlichen und ökologischen Wandels mehr denn je gefordert, agiler und nachhaltiger zu handeln. Motivation ist also ausreichend vorhanden und die Fortschritte in der Digitalisierung werden mehr und mehr sichtbar. Die Umsetzung erfolgt dabei jedoch meist weniger anhand einer Digitalisierungsroadmap, die die Meilensteine und Wegpunkte bis zum Ziel aufzeigt, sondern eher nach der sprichwörtlichen Salamitaktik.

Häppchenweise Digitalisierung birgt Risiken

Wenn ich mit Vertretern mittelständischer Unternehmen über das Thema Digitalisierung spreche, lautet die Antwort häufig: Ja, das machen wir laufend! Als Beispiele folgen dann unter anderem Maßnahmen wie die Erstellung von Policies zur unternehmensweit stärkeren Nutzung der Features von Office-Software, die Einführung eines Tickesytstems oder die Nutzung eines Requirements Management Tools in der Produktentwicklung.

Dies spiegelt die weit verbreitete Praxis wider, Digitalisierungsprojekte bereichs- oder abteilungsweise, bezogen auf einzelne Aufgabenstellungen oder Teilprozesse durchzuführen. Es scheint auf den ersten Blick oft attraktiv, Projekte aus Bereichs- oder Standortsicht zu planen und umzusetzen, denn der Abstimmungsaufwand ist geringer und bereichsspezifische Lösungen können vermeintlich schnell umgesetzt werden.

Grundsätzlich ist die Durchführung anspruchsvoller Projekte in überschaubaren Schritten eine sinnvolle Vorgehensweise. Schnell Nutzen zu erzeugen und Digitalisierungsfortschritte kontinuierlich sichtbar zu machen, ebenfalls. Allerdings birgt das fragmentierte Vorgehen auch Risiken: Dann nämlich, wenn das Zielbild der Digitalisierung unklar und der Weg dorthin nicht ausreichend beschrieben ist. Hier besteht die realistische Gefahr, wesentliche Ziele von Digitalisierungsprojekten nicht zu erreichen. Wie zum Beispiel die Potenziale neuer, digitaler Geschäftsmodelle nicht auszuschöpfen und damit die digitale Transformation des Unternehmens nicht voranzutreiben. Oder die unternehmensweiten und unternehmensübergreifenden Datenschätze nicht zu nutzen, wenn der Fokus nur auf lokalen Optimierungen liegt.

Die Vorteile einer Digitalisierungsroadmap

Um es vorwegzunehmen: Mit einer Roadmap zur Digitalisierung können Unternehmen die oben genannten Risiken mit wenig Aufwand minimieren. Sie bietet eine verlässliche, mittelfristige Guideline für alle Digitalisierungsaktivitäten im Unternehmen, ausgerichtet auf ein klares Zielbild. Mit ihren unterschiedlichen Perspektiven auf das Thema Digitalisierung adressiert sie sowohl die Fachabteilungen, die IT als auch das Management. Dabei sollte die Digitalisierungs-Roadmap einige wesentliche Informationen beinhalten:

  1. Welchen Digitalisierungsgrad hat das Unternehmen?
    Die Basis der Digitalisierungsroadmap bildet die Bestandsaufnahme des aktuellen Digitalisierungsgrades im Unternehmen. Dazu werden die bereits bestehenden Zielbilder, Anforderungen und Aktivitäten in den unterschiedlichen Unternehmensbereichen und -hierarchien gesichtet. Gängige Reifegradmodelle helfen, den Digitalisierungsgrad des Unternehmens einzuschätzen.
  2. Was ist das Zielbild?
    Steht das Status quo fest, kann ein klares, abgestimmtes Zielbild der Digitalisierung entworfen werden. Das Zielbild enthält einen Überblick über die zukünftigen digital durchgängigen Geschäftsprozesse sowie die zukünftige Applikationsarchitektur und die notwendigen Informationsservices.
  3. Welche Teilschritte sind nötig?
    Ist das Ziel klar geht es darum, die dafür notwendigen Teilprojekte zu definieren und zu beschreiben. Um die Teilprojekte sinnvoll zu priorisieren, werden die benötigten internen und externen Ressourcen sowie die möglichen Projektrisiken abgeschätzt. Mit den zuvor gewonnenen Informationen aus der Bestandsaufnahme wird zudem das Nutzen- und Geschäftspotenzial der einzelnen Digitalisierungs-Teilprojekte hochgerechnet. Damit ist die Berechnung von Business Cases der geplanten Projekte möglich.

    Projektteam und Management sind so in der Lage, über die Teilprojekte und ihre Priorisierung nach objektiven Kosten-/Nutzenkriterien, Ressourcenverfügbarkeit und anderen unternehmens-spezifischen Parametern zu entscheiden. So werden die heutigen Digitalisierungshäppchen zu definierten, bewerteten Teilprojekten innerhalb eines übergreifenden Kontexts.
  4. Wie sieht der Business Case aus?
    Der hohe Konkretisierungsgrad der Digitalisierungsaktivitäten, speziell des aussagekräftigen Business Cases, schafft eine wesentliche Voraussetzung für eine belastbare Finanzierung der Digitalisierungsprojekte. So bieten zum Beispiel spezielle IT-Projektfinanzierer ein flexibles Aufstockungsleasing an, das die Leasingraten an den zu erwartenden Nutzenaufwuchs anpasst. Oder auch die Finanzierung der internen Personalressourcen. Mit solchen Finanzierungsmodellen gelingt die Digitalisierung dann sogar ohne Einschränkungen der Liquidität.

Fazit

In der Vergangenheit wurden häufig nur einzelne Vorhaben gestartet. Aktuell nutzen jedoch immer mehr unserer Kunden die Vorteile der strategischen Planung mit Digitalisierungsroadmaps. Sie bieten mit wenig Aufwand eine verlässliche Orientierung für die Digitale Transformation mit einem klaren Zielbild, konkretem Business Case und alternativen Finanzierungsmöglichkeiten.

Was ist Material Data Management?

Wenn mich jemand etwas zu Material Data Management fragt, antworte ich immer erst mit der Gegenfrage, was mit „Material“ genau gemeint ist. Das ist vielleicht nicht die Antwort, die mein Gegenüber in diesem Moment erwartet, erspart uns beiden aber lange Minuten der Verwirrung und des aneinander Vorbeiredens. Der Grund: Material ist nicht gleich Material.

Zur Mehrdeutigkeit der Sprache

Als Franzose in Deutschland bin ich daran gewöhnt, dass Doppeldeutigkeit zu Missverständnissen führt. Manche Ausdrücke lassen sich von einer Sprache in die andere nicht eins zu eins übersetzen – zumindest nicht so, dass jedem auf Anhieb klar wird, was gemeint ist. Ein allgemein bekanntes Beispiel ist das Wort „Gemütlichkeit“. Den Begriff gibt es nur auf Deutsch. Tückischer sind aber die sogenannten falschen Freunde: Wortpaare wie „gift“ im Englischen und „Gift“ auf Deutsch. Sehen gleich aus, die Bedeutung unterscheidet sich aber grundlegend. Auch als erfahrener Polyglott ist man nicht davor geschützt. So können zum Beispiel meine französischen Gesprächspartner irritiert wirken, wenn ich sage, etwas hätte mich „irrité“ und damit meine, etwas hätte mich überrascht. Sie verstehen darunter jedoch, ich hätte vor lauter Verdruss irgendeinen Hautausschlag bekommen.

Was im Alltag zu lustigen und sogar mitunter leicht peinlichen Situationen führen kann, sorgt in der Arbeitswelt oft für Ineffizienz. Um Beispiele zu finden, müssen wir nicht mal im internationalen Kontext suchen: Auch innerhalb einer deutschsprachigen Organisation sprechen nicht unbedingt alle die gleiche Sprache. Schuld daran ist nicht die starke Ausprägung der Dialekte vielerorts, sondern die disziplinäre Ausprägung der Sprache: Personen mit unterschiedlicher Qualifikation beziehungsweise Expertise können unter demselben Wort unterschiedliche Dinge verstehen.

Und das bringt mich zu dem Thema dieses Beitrags. Genauer gesagt zum mehrsprachigen Geflecht und der interdisziplinären Mehrdeutigkeit des Worts „Material“, dessen galaktische Verwirrung rund um die Begrifflichkeit ich gerne auflösen möchte.

Material ist nicht gleich Material

In Unternehmenssoftware geht es viel um die Verwaltung von Materialien (Materials im Englischen) und deren Daten. Es gibt dafür tolle Lösungen. Sie heißen Materials Management oder Materials Data Management oder sogar Master Material Data Management. Die Bezeichnungen klingen sehr ähnlich und werden in der Praxis oft synonym verwendet. Dabei verweisen sie auf völlig verschiedene Dinge. Frei nach dem Motto „Material ist gleich Material“ wird übersehen, dass das Wort für unterschiedliche Disziplinen eine unterschiedliche Bedeutung haben kann und Sachen in einen Topf geschmissen werden, die wenig miteinander zu tun haben. Verwechslungen und Missverständnisse sind so vorprogrammiert.

Unterschiede innerhalb der Disziplinen

In der Produktionslogistik bzw. der Materialbedarfsplanung ist ein Material eine logistische Einheit, das heißt eine Ressource, die für irgendeinen wertschöpfenden Prozess benötigt wird. Waren, die man kaufen kann, wie zum Beispiel eine Schraube, ein Flansch, eine Spindel, ein Reifen und so weiter. Die Kunst, Materialien sinnvoll zu beschaffen, zu bewegen und zu lagern, wird im Deutschen als Materialwirtschaft und im Englischen als Materials Management benannt. 

Im Kontext der Produktentwicklung spielen Materialien in diesem Sinne keine Rolle. Die Entwicklung interessiert sich nicht für die Schaube und wo sie gelagert wird, sondern nur für ihre Beschreibung. Um es in der Sprache der Informationstechnik zu verdeutlichen: Die Entwicklung definiert Klassen, die Produktionslogistik verwaltet Instanzen dieser Klassen. Jedoch tritt das Konzept von Material auch hier wieder auf, denn im Sprachgebrauch werden Artikel, Teile und Baugruppen gerne als Materialien benannt. Der Grund dafür ist, dass sie an der Schnittstelle zwischen PLM und ERP zu Materialien im Sinne der Produktionslogistik werden. Hieraus entstehen irreführende Bezeichnungen wie Material Management oder Material Data Management. Richtiger wäre es hierbei, von Master Data Management im Sinne einer Teilestammverwaltung zu sprechen.

Im Engineering (inklusive Simulation) ist das Wort Material das Synonym für Werkstoff. Das ist naheliegend, ist die englische Übersetzung von Werkstoff doch Material und beschreibt hier die physische Komposition eines Objektes im Sinne der Materialwissenschaft beziehungsweise der Werkstofftechnik: Also, ob ein Objekt zum Beispiel aus Holz, PA66, Inconel oder GFK gefertigt wird. Die Verwaltung aller Informationen rund um Werkstoffe und ihrer Eigenschaften wird Werkstoffdatenmanagement (im Englischen Material Data Management) genannt. Verwirrenderweise steht das Akronym MDM auch für Master Data Management, was zur Schärfung der Begriffe nicht besonders zuträglich ist.

Unterschiedliche Disziplinen, unterschiedliche Bedeutungen des Wortes Material

Fazit

Die Verwirrung ist also groß. Abhilfe schaffen PLM-Lösungen, die auf die jeweiligen Disziplinen zugeschnitten sind. Sie bedienen die unterschiedlichen Anforderungen optimal und sorgen so insgesamt für bessere Zusammenarbeit. Mit einem Master Data Management als Kern-PDM-Funktion lassen sich alle Teilestammdatensätze konsistent halten und effizient verwalten. Ein modernes Material Data Management speichert alle Informationen zu Werkstoffen und dient als Referenz für den gesamten Produktentwicklungsprozess. Material Compliance unterstützt dabei, die qualitätsgeprüfte Lieferung regulierter Werkstoffe und Vorprodukte zu dokumentieren und stellt sicher, dass nur zugelassene Stoffe verarbeitet werden. Mit Schnittstellen zu ERP-Systemen machen digitale Materialien (im Sinne der Entwicklung) dann auch problemlos den Schritt in die physische Welt und werden zu Materialien im Sinne der Produktionslogistik.