Leserbriefe November 2022

Skeptisches Abwarten

(Cybercrime: Angriffswelle auf Log-in-Daten; iX 10/2022, S. 100)

Na, da warten wir doch erst mal ab, wie dann die erst noch „im Herbst“ erscheinenden FIDO2-Implementationen mit Passkeys dann so ausgestaltet sind. Apples nächstes anstehendes macOS oder iOS? Und ob die nicht gerade durch ihre sicher praxisgerechte Erweiterung der Passkey-Weitergabe auf andere Geräte oder Token dann doch neue Angriffsmöglichkeiten eröffnen?

Daneben ist die Angriffsmöglichkeit auf „Ich kann nicht mehr auf mein Konto beziehungsweise meinen Account zugreifen, können Sie mir mal ganz schnell helfen? – Aber sicher, ich helfe Ihnen doch sehr gern“ immer noch von 1001 Speziallösungen und personenspezifischen Handlings geprägt.

Und bis die Authentisierung der Endteilnehmer – Nutzer wie Webserviceanbieter – mal endlich durch Ausweisung mit der eID des „neuen“ Personalausweises erfolgt – nachdem man einen brandneuen, zunächst anonymen Account per FIDO2 freigeschaltet hat –, darauf müssen wir wohl noch 100 Jahre warten. Also wie kriegt die Bank ungefälschte personalisierte Accounts? Videoident? Echt jetzt?

Und wie werden gesperrte Accounts wieder gängig gemacht? SMS-TAN? E-Mail-TAN? Fax? Das wird in Zeiten von professionell betriebenem SaaS noch böse enden, wenn dann mal die Passwörter und PINs futsch sind, weils ja auch ohne geht – aber ohne dass die Servicemitarbeiter-Welt und ihre Prozeduren bereits beim passwortlosen FIDO2 angekommen ist.

senf.dazu, aus dem iX-Forum

Debugging zu spät

(Software-defined Storage: Was tun, wenn Ceph brennt? iX 10/2022, S. 138)

Wenn der Ceph-Cluster brennt, hast du hoffentlich eine Ersatzinfrastruktur und ein schnelles Restore parat. Da hat in einem Unternehmen niemand Zeit für Debugging, denn da steht das Management hinter dir, während du dich durch Logfiles gräbst und dich fragst: Wann läuft der Kram wieder? Es sei denn, RPO und RTO spielt keine Rolle, weil dein Unternehmen der kleine Kiosk an der Straßenecke ist.

JUS, Rüsselsheim am Main

So nicht unsicher

(Supply-Chain-Security: Sichere Container; iX 10/2022, S. 60)

Vielen Dank für den unterhaltsamen Artikel, der auch für mich Systemadministrator mit bislang wenig Container-Erfahrung recht einleuchtend typische Sicherheitsprobleme in der Praxis darstellt. Tatsächlich erfreut einen ja schon die Aussicht, mit einem Container aller Update- und Integrationsprobleme enthoben zu werden.

Trotzdem glaube ich nicht, dass chmod www-data:www-data ein Sicherheitsproblem darstellt – eher schon chown www-data:www-data.

Tobias Crefeld, via E-Mail

Unsicheres Active Directory

(Cloud-Strukturen: Organisationen in der Cloud; iX 9/2022, S. 110)

Im Artikel „Organisationen in der Cloud“ steht, dass es nicht zu empfehlen ist, ein Single-Tier On-Premises AD für die Authentifizierung administrativer Benutzer einzusetzen. Können Sie mir kurz erklären, warum?

Heino von dem Bussche, via E-Mail

Ein Active Directory mit nur einem Forest ist sehr unsicher – besonders hier. Details bietet der Artikel über Microsofts Antwort auf Pass-the-Hash-Angriffe in der iX 12/2016 (siehe ix.de/zukj). (Christoph Puppe)

Die iX-Redaktion behält sich Kürzungen und auszugsweise Wiedergabe der Leserbriefe vor. Die abgedruckten Zuschriften geben ausschließlich die Meinung des Einsenders wieder, nicht die der Redaktion.