Es ist Freitag, 23:34 Uhr: Ich sitze in einer Kneipe in Berlin. Vor mir stehen elf große und leere (!) Biergläser. Wie durch einen Nebel nehme ich die Worte des Herren mir gegenüber wahr. Er erzählt einen Witz. Mich interessiert jedoch nur, wie ich hier her gekommen bin. Ich erinnere mich nicht. Wieso bin ich nicht in Leipzig?
21:03 Uhr: Der Wirt kommt schon wieder. Er bringt Gläser mit kühlem Bier. Für den CSO des Kunden (Chief Security Officer, dt. etwa „Betriebsverantwortlicher für Sicherheit“), den CAFM-Manager „Manni“, und mich. Der CSO sagt: „Det is ’n dicker Hund“ und meint, für alle Nicht-Hauptstädter, soviel wie „unglaublich“. Wir prosten uns zu und ich frage mich, was denn so unglaublich sein soll.
19:43 Uhr: „Okay, das sollte jetzt laufen“, sage ich. „Dafür dürfen Sie mich auf ein Bier einladen.“ Ich bin gerade damit fertig geworden, die 2-Faktor-Authentifizierung in der Vitricon-Installation des Kunden zuzuschalten. Wir haben jetzt für alle Benutzer die TANs (Transaktionsnummer, wie beim Online-Banking) generiert. Wenn die Mitarbeiter des Kunden am Montag wieder zur Arbeit kommen, werden sie die TAN-Liste in ihrem Postfach vorfinden. Sie werden sie brauchen …
18:41 Uhr: „Wir sollten für Ihre Vitricon-SaaS-Installation die 2-Faktor-Authentifizierung zuschalten und die Nutzung der Anwendung nur noch über verschlüsselte Verbindungen erlauben. Das erhöht die Anwendungssicherheit“, sage ich.
„Was ist 2-Faktor-Authentifizierung“, fragt Manni, der CAFM-Manager.
„Vitricon erlaubt es, neben dem Passwort – dem Wissen, einen zweiten Faktor, der die Identität des sich anmeldenden Nutzers bestätigt, abzufragen. Wir verwenden dazu eine TAN-Liste, die sich im Besitz des Nutzers befindet. Dieser muss bei der Anmeldung dann, neben seinem Benutzernamen und dem Passwort, zusätzlich eine TAN aus der ihm vorliegenden Liste eingeben. Nur so kann eine Anmeldung am Vitricon erfolgen“.
16:56 Uhr: „Aber woher hat der Angreifer denn den Loginnamen und das Passwort zum Vitricon-Konto des Architekten?“, fragt Manni.
„Da gibt es viele Möglichkeiten“, antworte ich. „Sie erlauben auf Ihrer Installation aus Kompatibilitätsgründen zu einer Ihrer Drittanwendungen einen unverschlüsselten Zugriff auf Vitricon. Wenn der betroffene Mitarbeiter beispielsweise am Flughafen oder im Hotel ein öffentlich verfügbares WLAN nutzte, sind alle über diese unverschlüsselte Verbindung übertragenen Daten für Dritte mitlesbar“.
„Gar nicht gut“, sagt Manni und damit hat er Recht!
14:27 Uhr: Ich sitze im Zug in die Hauptstadt. Ich muss zu einem unserer größeren Kunden. Der CSO wollte am Telefon nicht mit den Details herausrücken. Aber es klang nach einem kleineren Vorfall, bei dem sich ein Angreifer erfolgreich in die Vitricon-Installation des Kunden einloggen konnte. „Wir müssen dringend etwas tun, damit das nicht noch einmal passieren kann“, waren die letzten Worte des CSO, bevor ich mein Bahn-Ticket löste.
13:09 Uhr: Die Sonne scheint. Ich freue mich gaaaannnz langsam auf den Arbeitswochenausklang … und ein kühles Bier in einer urigen Kneipe am Abend.
Wenn Sie mehr über die 2-Faktor-Authentifizierung in Vitricon – die nach meiner Meinung jedes CAFM-System mindestens optional zuschalten können sollte – wissen wollen, kontaktieren Sie mich gern. Ich freue mich auf Ihre Nachricht!
Ihr Sebastian Schneemann, Leiter Entwicklung
0341/25 66 83 40
sebastian.schneemann[at]ebcsoft.de