Passwörter in einem Word-Dokument speichern…
Bitte was? Nein!!!
Da ich im Bereich der Digitalisierungsberatung einen deutlichen Fokus auf die Buchhaltung und damit auch auf Steuerberater habe, war es nur eine Frage der Zeit, bis mir das Aktivierungsschreiben der Bundessteuerberaterkammer zur Steuerberaterplattform in die Hände fällt.
Darin wird eine Anleitung wiedergegeben, wie der Steuerberater das „besondere elektronische Steuerberaterpostfach“, kurz „beSt“, freischalten kann. Dabei wird dann ein Zertifikat erzeugt, welches in einer passwortgeschützten ZIP-Datei bereitgestellt wird.
Das Passwort wird dem Steuerberater am Bildschirm angezeigt, damit er es notieren und sicher verwahren kann. Leider leistet sich die Bundessteuerberaterkammer dabei aus meiner Sicht ein dickes Fail!
Denn die Steuerberaterkammer schlägt vor, die „zip-Datei und das Passwort (z.B. in einem Word Dokument) in einen Ordner abzuspeichern.“
Also, nochmal zur Erinnerung, hier die wichtigsten Punkte, warum dies keine gute Idee ist!!!
- Passwörter gehören grundsätzlich nicht in irgendwelche Textdateien, Word-Dokumente oder Excel-Tabellen. Sollte euer System mal kompromittiert werden, händigt ihr dem Angreifer den Schlüssel zu weiteren Zielen freiwillig aus.
- Auch beim Zugriff Dritter auf euer System, z.B. im Fall von Wartungsarbeiten, habt ihr keine Kontrolle über eure Zugangsdaten.
- Wenn die ZIP-Datei und das Passwort im gleichen Ordner liegt, könnte man das Zertifikat auch direkt ungesichert dort ablegen.
Im Grunde kann man die Situation mit der Anmeldung mit einem zweiten Faktor vergleichen. Einerseits haben wir die ZIP-Datei, die den Faktor „Besitz“ widerspiegelt und wir haben das Passwort als Faktor „Wissen“. Welchen Sinn macht es, beide Faktoren quasi ungeschützt gemeinsam aufzubewahren?
Auch zur Erinnerung: Wie wäre es besser gelöst?
Ich empfehle die Nutzung eines Passwortmanagers. Für Einzelplätze gibt es gute und ausgereifte Systeme, wie z.B. KeePass. Mit einem sehr guten Hauptpasswort kann man darin verschiedenste Passwörter sicher verwahren.
Auch für mehrere Benutzer oder Rechner gibt es gute und professionelle Lösungen. Es ist eine Geschmacksfrage, ob man dabei auf den Pleasant Passwort Server, Bitwarden oder ManageEngine zurückgreifen möchte (es gibt noch viele mehr).
Da Passwörter uns noch eine Weile begleiten werden, auch wenn z.B. FIDO2 bereits als Alternative vorhanden ist, wird die sichere Verwahrung auch in den kommenden Jahren noch sehr wichtig sein!
Passwortmanager aus der Cloud?
Ich würde von der Nutzung eines in der Cloud bereitgestellten Passwortmanagers abraten. Natürlich ist es egal, wenn in der Software selbst eine Sicherheitslücke entdeckt wird, ob die Software in der Cloud, im eigenen RZ oder lokal betrieben wird – solange externer Zugriff darauf möglich ist, kann die Schwachstelle auch ausgenutzt werden. Aber wenn man die Instanz selbst betreibt, kann zumindest kein kompromittierter Benutzer beim Cloudanbieter im schlimmsten Fall die eigenen Passwörter in Gefahr bringen!
Fazit
Ich hoffe, dass alle oder zumindest die meisten Steuerberater mittlerweile gelernt haben (Sensibilisierung), dass die vorgeschlagene Speicherung keine gute Idee ist.
Wenn euch ein solcher Vorschlag ereilt, denkt bitte darüber nach, ob dies eine wirklich gute und clevere Idee ist! (Nein, natürlich nicht!)
Und wenn Fragen zum Thema Digitalisierung (aber sicher) bestehen – dann nehmt gerne Kontakt mit mir auf!
