Die Mitte zwischen Benutzerfreundlichkeit und Sicherheit ist nicht immer leicht zu treffen. Wir haben uns bei unseren Entwicklungen schon immer entschieden, eher zur Sicherheit zu tendieren und können durch die neuen BSI-Standards nun ein Stück vereinfachen.

Unsere Sicherheitsstandards orientieren sich seit jeher an den Anforderungen des IT-Grundschutzes des Bundesamts für Sicherheit in der Informationstechnik (kurz: BSI). Diese Anforderungen spiegeln die Vorkehrungen und Maßnahmen wider, welche für eine dauerhaft sichere und zuverlässige IT-Plattform erforderlich sind. Für unsere Kunden ist die Implementierung dieser Standards auf unserer Plattform ebenfalls ein Vorteil, denn es erleichtert jede IT-Security- und Datenschutz-Auditierung sowie weitere Prüfprozesse, bei denen die IT-Sicherheit der eingesetzten Systeme geprüft und gewährleistet werden muss.

Mitunter einer der sensibelsten Bereiche einer Anwendung ist der öffentlich zugängliche Login-Bereich. Der Besuch der Login-Maske ist nicht nur für unsere Kunden möglich, sondern muss ohne weitere Einschränkung allen – zu diesem Zeitpunkt anonymen – Besuchern gestattet werden. Dabei kann es sich natürlich auch um unerwünschte Besucher handeln, die mutmaßlich nach Schwachstellen in Systemen suchen um diese auszunutzen. Folgerichtig ist das gesamte Verfahren der Benutzeranmeldung als mitunter meist kritischer Teilbereich in einer Auditierung zu prüfen und dessen Stabilität und Zuverlässigkeit sicherzustellen.

Mit unserem bisherigen Verfahren, neben einem Kennwort zusätzlich einen Token zur Authentisierung einzugeben, haben wir ein sehr hohes Sicherheitsniveau geschaffen, aber gleichzeitig dem vertrauenswürdigen Anwender eine täglich zu meisternde Hürde in den Weg gelegt. Mit der automatischen Voreinstellung, dass Kennwörter und Token nach bestimmten zeitlichen Vorgaben erneuert werden müssen, wurde eine weitere Handlungsempfehlung des BSI umgesetzt, welche den Anwender zusätzlich belastete.

Anfang Februar hat der BSI seine Empfehlung dahingehend aktualisiert, dass eine regelmäßige Kennwortaktualisierung nicht mehr erforderlich ist. Wie mehrere unabhängige IT-Sicherheitsexperten ebenfalls seit längerer Zeit publiziert haben, trägt eine regelmäßige Änderung des Kennwortes nicht langfristig zu einer höheren Sicherheit des Accounts bei. Viel wichtiger sei es, die vergebenen Kennwörter lang und komplex zu gestalten und optimalerweise in einem Kennwort-Tresor-Programm aufzubewahren. Wichtige Hinweise für Anwender, wie ein sicheres Kennwort erzeugt werden kann, hat der BSI unter der folgenden Seite zusammengefasst:
https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html. Wir raten Ihnen dringend, diese Hinweise bei der Vergabe von Kennwörtern zu beachten.

Wir haben diese Änderung des BSI zum Anlass genommen, auch unser Login-Verfahren an die neuen Empfehlungen des BSI anzupassen. Dies beinhaltet neben der Entfernung des Tokens auch die Deaktivierung der Kennwort-Ablauf-Richtline (kann optional pro Anwender wieder eingeschaltet werden) für neu registrierte Kunden. Für Bestandskunden werden wir die Kennwort-Richtlinie nicht automatisch deaktivieren. Sie können die Richtlinie jedoch folgendermaßen überprüfen und nach Ihren Bedürfnissen anpassen:
- Melden Sie sich im zeitsprung-Desktop an
- Öffnen Sie in den Einstellungen Ihre Benutzereinstellungen
- Prüfen Sie die Option „Kennwort-Richtlinie“ und speichern Sie die Option nach Ihren Bedürfnissen ab

Von der Entfernung des Tokens zur Authentisierung sind auch unsere Nutzer von API- oder Webservice-Schnittstellen betroffen. Die Übermittlung des Tokens ist nicht mehr erforderlich und wird bei Registrierungen über unsere API nicht mehr ausgegeben. Ein weiterhin übermittelter Token wird bei der Authentisierung ignoriert und führt daher zu einem optionalen sowie weichen Übergang für alle angebundenen Softwarehersteller. Der Token kann somit auch restlos aus Fremdsystemen entfernt werden, sofern dort Zugangsdaten zu zeitsprung-Anwendungen gespeichert sind.

Für unsere Anwendungen zeitsprung-Client und Outlook-Addin sowie weiteren API-Lösungen ist zur Stunde kein Update erforderlich. Der Token kann wie gehabt befüllt bleiben und hat keine Auswirkungen auf die Anmeldung. Im nächsten Release dieser Clients für Microsoft Windows und Microsoft Outlook wird der Token unsererseits für alle Eingabemasken dauerhaft entfernt werden.

Sollten Sie Fragen haben, stehen wir Ihnen gerne zur Verfügung:

‍Fragen rund um den Login, das Ändern von Kennwörtern oder das Deaktivieren der Kennwort-Ablauf-Richtline: Frau Andreea Morar Tel. 07231/166093-7 oder per E-Mail a.morar@zeitsprung.digital ‍

Haben Sie technische Fragen oder den Datenschutz betreffend wenden Sie sich gerne an: Herr Andreas Kürti Tel. 07231/166903-6 oder per E-Mail a.kuerti@zeitsprung.digital