TeleTrusT veröffentlicht Handreichung 2018 zum aktuellen „Stand der Technik“ in der IT-Sicherheit

Mit dem “Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme” (IT-Sicherheitsgesetz bzw. ITSiG) verfolgt der Gesetzgeber das Ziel, Defizite in der IT-Sicherheit abzubauen. Daneben gilt seit dem 25.05.2018 die EU-Datenschutz-Grundverordnung (DSGVO) mit ihren hohen Anforderungen an die technischen und organisatorischen Maßnahmen. Beide Rechtsquellen fordern die Orientierung der IT-Sicherheit am Stand der Technik, lassen aber unbeantwortet, was im Detail darunter zu verstehen ist.

Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) hat seine Handreichung zum Stand der Technik überarbeitet und im Lichte neuer Erkenntnisse erweitert. TeleTrusT flankiert und ergänzt die Rechtslage mit der fachlichen Kompetenz der organisierten IT-Sicherheitswirtschaft in Deutschland. Eine Expertengruppe hat die bestehende “TeleTrusT Handreichung zum Stand der Technik” überarbeitet und ergänzt.

Konkrete Empfehlungen zu Sicherheitsmaßnahmen

Um den Schutz personenbezogener Daten nach der DSGVO zu gewährleisten, sind unter anderem zwei Maßnahmen wichtig: Einerseits die Multi-Faktor-Authentifizierung, die Zugänge deutlich besser als ein einfaches Passwort absichert und damit digitale Identitäten sowie die Daten dahinter DSGVO-konform schützt. Andererseits kryptographische Verfahren zum Verschlüsseln und Signieren von Daten. Verfahren die das Kerckhoffs’sche Prinzip verletzten, in dem die Kryptographie nicht offengelegt wird, müssen als potentiell unsicher angesehen werden. Zudem sollte stets ein stringentes Patch-Management dafür sorgen, Lücken schnellstmöglich zu schließen und IT-Systeme immer auf dem neuesten Stand zu halten.

Als Mitglied im TeleTrusT Arbeitskreis „Stand der Technik im Sinne des IT-Sicherheitsgesetzes“ wirkte auch Dr. Amir Alsbih, CEO von KeyIdentity, aktiv bei der Aktualisierung der Handreichung mit. Insbesondere zu den Themen Multi-Faktor-Authentifizierung sowie kryptographische Verfahren stellte Dr. Alsbih seine Expertise bereit.

„Datenlecks, Hacks und gestohlene digitale Identitäten gehören leider noch immer zur traurigen Realität der IT-Branche. Wir begrüßen daher die hohen Anforderungen an die Cybersecurity, die sowohl auf deutscher wie auch EU-Ebene durch den Gesetzgeber erlassen wurden“, erklärt Dr. Amir Alsbih. „Die vage Formulierung vom »Stand der Technik« im Gesetzestext flankieren wir mit konkreten Hinweisen und Handlungsempfehlungen. So erhalten Unternehmensleiter und IT-Verantwortliche eine umfassende Übersicht, um ihre internen Sicherheitsmaßnahmen gesetzeskonform gestalten zu können.“

KeyIdentity mit dem INNOVATIONSPREIS-IT 2018 ausgezeichnet

KeyIdentity ist für LinOTP als Landessieger Hessen mit dem INNOVATIONSPREIS-IT 2018 ausgezeichnet worden! Der Preis wird von der Initiative Mittelstand und dem Huber Verlag für Neue Medien GmbH vergeben.

Die KeyIdentity-Lösung LinOTP konnte die unabhängige und hochkarätige Fachjury von ihrem hohen Nutzwert und Innovationsgehalt sowie ihrer Eignung für den Mittelstand überzeugen.

„Wir freuen uns sehr über die Auszeichnung der Initiative Mittelstand und sind besonders stolz, direkt bei unserer ersten Teilnahme als Landessieger in Hessen hervorzugehen“, sagt Dr. Amir Alsbih, CEO von KeyIdentity. „Die Auswahl durch die namhafte Jury des INNOVATIONSPREIS-IT aus Professoren, Wissenschaftlern und Branchenvertretern unterstreicht, dass unsere MFA-Lösung bestens geeignet ist, die hohen Sicherheitsanforderungen von deutschen Unternehmen dank ‚Security made in Germany‘ zu erfüllen. Durch die Auszeichnung wird deutlich, dass besonders der Mittelstand von unserer einfach implementierbaren und hoch skalierbaren Lösung profitiert, die sich schnell und problemlos in jeder IT-Infrastruktur einsetzen lässt.“  Continue reading KeyIdentity mit dem INNOVATIONSPREIS-IT 2018 ausgezeichnet

GitLab + GitLab Runner (Pitfalls and Good Practices)

Recently we started using GitLab including the CI/CD features here at KeyIdentity. During the first weeks we stumbled upon some issues, which can make it a bit hard to get it up and running. Our Setup includes a GitLab Server installed via Omnibus (https://docs.gitlab.com/omnibus/README.html) and some GitLab-runners within docker. In addition, we are using a docker registry which requires authentication for pull and push. In this article we wanted to share how, we solved problems, when setting up the CI/CD system of GitLab.

1) Using own CA or a self-signed certificate on GitLab and trying to connect a GitLab-runner to it

You may see an error like this, when trying to register the runner:
x509: certificate signed by unknown authority
Fix it by adding the “–tls-ca-file” parameter to the gitlab-runner register command. Continue reading GitLab + GitLab Runner (Pitfalls and Good Practices)

Neue Kampagne zum Thema EU-DSGVO: „Sommer im Knast“

Die Zeit läuft ab: DSGVO betrifft jedes Unternehmen

„Es ist gerade fünf vor 12: Die DSGVO tritt in weniger als drei Monaten in Kraft und die wenigsten Unternehmen sind wirklich ausreichend darauf vorbereitet“, erklärt Dr. Amir Alsbih, CEO von KeyIdentity. „Ein Verstoß gegen die neue Datenschutz-Grundverordnung muss nicht gleich bedeuten, dass Geschäftsführer oder IT-Verantwortliche zukünftig nur noch mit ihrem Anwalt sprechen. Aber auch 20 Millionen Euro Bußgeld können ein guter Grund sein, rechtzeitig über DSGVO-konforme MFA-Lösungen für die Sicherung digitaler Identitäten und Transaktionen zu reden.“ Continue reading Neue Kampagne zum Thema EU-DSGVO: „Sommer im Knast“

How to use LinOTP best and make it even more reliable

There is always room for improvement after the initial setup of LinOTP. In this blog post we will show you how to optimize LinOTP and make it even more reliable!

1) Redundancy – have multiple LinOTP servers!

LinOTP is a crucial component of your authentication infrastructure. It must be resistant to failures and provide responsiveness. Both requirements are easy to achieve by having multiple LinOTP servers set up.

All LinOTP-related information is stored in a database of your choice. If the database technology supports several parallel clients, you should be running multiple LinOTP instances. All authentication operations performed and all configuration changes will then be known to each of the LinOTP servers due to the shared database. Of course the database should be redundant as well to avoid a single point of failure.  Continue reading How to use LinOTP best and make it even more reliable

We <3 Free Software

February 14th is I love Free Software Day, a campaign organised by the Free Software Foundation Europe. We at KeyIdentity want to show our appreciation for the Free Software community too.

Free Software is a fundamental building block of the development tools we use, and also of our open source authentication products. So on this day we would like to express our thanks to all the contributors of free software projects. And in particular, contributors of those projects we use on a daily basis. Keep up the good work!  Continue reading We <3 Free Software

Kommentar zum „Change Your Password Day“: Warum Multi-Faktor-Authentifizierung (MFA) statt Passwortoptimierung nottut

Am 1. Februar findet wieder der „Change Your Password Day“ statt. Und wie jedes Jahr übertreffen sich selbsternannte Security-Experten mit Ratschlägen zum richtigen Umgang mit Passwörtern im Sinne eines umfassenden Identity- und Access-Managements (IAM): Möglichst komplex und lang sollten sie sein – im Idealfall zwischen zehn bis 15 Zeichen – und sie sollten regelmäßig erneuert werden. Doch das funktioniert im Alltag eher schlecht als recht. Denn laut Verizon sind gestohlene oder schwache Passwörter mittlerweile in 81 Prozent aller Fälle die Ursache für einen Hack – im Vorjahr waren es „nur“ 63 Prozent.

Komplexe und lange Passwörter überfordern Nutzer

Der Grund dafür: Die Nutzer können sich komplexe Passwörter aus Zeichen und Zahlen schlichtweg nicht merken. Daher notieren sie ihre Login-Daten oder bilden sie nach immer denselben Schemata nach. Doch moderne Hacker-Programme können Continue reading Kommentar zum „Change Your Password Day“: Warum Multi-Faktor-Authentifizierung (MFA) statt Passwortoptimierung nottut

Hacking Days 2017 – ein Rückblick

Ende letzten Jahres hatten wir zum ersten Mal in unseren Räumlichkeiten Hacking Days veranstaltet. Im Rahmen des Events entwickelte unser gesamtes Development Team gemeinsam persönliche Projekte oder realisierten eigene Ideen. Dabei stand die spielerische Weiterbildung im Mittelpunkt: egal, ob es darum ging, Hardware zu programmieren, neue Programmiersprachen und Entwicklungsumgebungen auszuprobieren oder kleine Tools und Helfer zu bauen, die den Alltag erleichtern sollen. Grundidee ist, dass jeder mal an einem Thema / an einer Idee arbeiten kann, zu der er sonst nicht kommt.

Programmieren, was der Zeilencode hergab

Es wurde zum Beispiel die Evidenztheorie von Dempster und Shafer getestet, mit der man die Unsicherheit von Aussagen quantitativ bestimmen kann. Dabei definierte eines der Teams eine Ober- und Untergrenze für die Wahrscheinlichkeit von Aussagen anhand mehrerer Beweisquellen. Die Ergebnisse lassen sich zum Beispiel nutzen, um die Notwendigkeit eines weiteren MFA-Schrittes anhand von Continue reading Hacking Days 2017 – ein Rückblick

KeyIdentity gewinnt OSPA Award 2017 in der Kategorie “Herausragende Informationssicherheit”

KeyIdentity ist Gewinner in der Kategorie „Herausragende Informationssicherheit“ der diesjährigen Outstanding Security Performance Awards (OSPAs). Wir freuen uns, dass unsere Multi-Faktor-Authentifizierungslösung (MFA) LinOTP die strenge Jury überzeugen und damit den begehrten ersten Platz erringen konnte. Continue reading KeyIdentity gewinnt OSPA Award 2017 in der Kategorie “Herausragende Informationssicherheit”

Identity- & Access Management Studie 2017 – Aufholbedarf bei sicherer Authentifizierung

Trotz massiver Vorfälle von Datendiebstahl und Hacks tun sich viele Unternehmen noch immer schwer bei der Umsetzung von sicheren Logins und Transaktionen. Dies hat die Identity- & Access Management Studie 2017 von IDG Research Services in Zusammenarbeit mit KeyIdentity ergeben.

Passwörter nicht mehr ausreichend für sichere Authentifizierung

Für 61,6 Prozent der befragten Unternehmen ist das klassische Passwort noch immer die wichtigste Methode zur Authentifizierung, gefolgt von PINs (39,2 Prozent) und E-Mails (35,3 Prozent). Continue reading Identity- & Access Management Studie 2017 – Aufholbedarf bei sicherer Authentifizierung