security-guidelines

German version

• Alle Festplatten sind zu verschlüsseln. Hierbei kann entweder das im Gerät verbautet Hardware-Modul oder eine quelloffene Verschlüsselungssoftware (zum Beispiel LUKS) verwendet werden. Das Passwort darf ausschließlich dem jeweiligen Mitarbeiter bekannt sein. Auf keinen Fall darf das Passwort niedergeschrieben werden. Hintergrund: Laptops oder ähnliches können gestohlen werden. Da auf den Laptops nicht nur Dokumente liegen, sondern häufig auch SSH Private Keys (dazu weiter unten), Cookies, etc. welche den Zugang zu Online Diensten der Firma und von Kunden ermöglichen muss die gesamte Festplatte für den Dieb nutzlos sein. Dem Mitarbeiter ein Kennwort für die Verschlüsselung zuzuweisen, damit ich als Geschäftsführer auch an die Inhalte des Notebooks heran komme ist problematisch, weil sich normalerweise kein Mitarbeiter mehrere komplexe Passwörter merken kann. Ich ziehe es auch vor dem Mitarbeiter auf seinem Endgerät seine Privatsphäre zu lassen: Er kann das Betriebssystem (eine Linux-Variante) und seine Konfiguration frei wählen.
• Alle Daten, Dokumente, etc. werden immer in der Cloud gesichert. Auf dem Endgerät ist lediglich ein aktueller Arbeitsstand von Änderungen vorzuhalten. Diese Änderungen müssen nach mindestens 24 Stunden in der Cloud abgelegt sein, so dass alle relevanten Stakeholder Zugriff darauf haben (Google Drive, Github) Hintergrund: Ein Notebook ist bei einer modernen Arbeitsweise lediglich ein Interface für die Cloud Services. Im Prinzip "puffert" es nur die Daten aus der Cloud. Gespeichert wird aber nur dort. Das reduziert den Aufwand für "Datensicherung" ungemein. Vertrauliche Daten (bei persönlichen Daten von Kunden kann es womöglich etwas schwieriger sein, kann man bei Google aber auch einstellen) kann man dort genau so gut ablegen, die Cloud ist entsprechend gesichert.
• Bei der Erstellung und der Verwaltung von privaten Schlüsseln für asymmetrische Verschlüsselung (zum Beispiel SSH Keys, PGP Keys, Bitcoin private Keys, etc.) ist höchste Sorgfalt anzuwenden. Dies beinhaltet:
  • Auf keinen Fall dürfen derartige private Schlüssel unter Windows und auch nicht auf einem Gerät mit installierten Windows Betriebssystem (Ausnahme: Windows in einer VM) erzeugt werden. Vorzugsweise werden die Schlüssel auf Air-gapped Geräten ohne funktionierende Online Verbindung erzeugt (zum Beispiel Trezor, Notebook mit TAILs). Die für die Erstellung verwendeten Random Number Generators sind zu überprüfen und mögliche Probleme zu adressieren.
  • Die privaten Schlüssel dürfen nicht lesbar auf mit dem Internet verbundenen Geräten und Datenträgern gespeichert werden (zum Beispiel Bitcoin private Keys auf Trezor, SSH und PGP Keys auf Smartcards wie Yubikeys)
  • Die Bildschirmsperre des Betriebssystems muss nur mit einem starken Passwort aufzuheben sein. Niemals darf der Arbeitsplatz mit nicht gesperrtem Bildschirm verlassen werden.
  • Für jeden Account und jeden online Dienst muss ein individuelles, vollständig zufälliges Passwort verwendet werden. Diese Passwörter müssen in einem Passwort-Manager gesichert werden (Lastpass, Keepass 2.x, etc.). Diese Passwort-Manager sind zu nutzen um die Passwörter zu erstellen. Niemals darf ein und dasselbe Passwort für 2 verschiedene Dienste verwendet werden. Der Passwort-Manager ist mit einem mindestens 10 stelligen, zufälligen Kennwort und 2-Faktor-Authentifizierung zu sichern.
  • Alle verwendeten Dienste müssen mit 2-Faktor-Authentifizierung gesichert werden. Hierbei sind kryptographische Verfahren (shared secret OTP, noch besser FIDO) zu bevorzugen. Von der 2-Faktor-Authentifizierung darf nur abgewichen werden, falls diese zu erheblichen Umständen bei der automatisierten Nutzung der Dienste führen würde (Beispiel: CI Service Zugriff, Abruf von Mails mithilfe von IMAP Client). Im Zweifelsfall sind hier Passwörter für diese Dienste mit eingeschränkten Rechten zu erstellen (App-Passwörter).