#Sicherheit

Ein vergessenes Master-Passwort kann man nirgends nachschlagen, auch nicht als Administrator. Bei Vaultwarden liegt es nie im Klartext, der Server kennt nur einen Hash mit sechshunderttausend Iterationen, aus dem erst auf dem Gerät der Schlüssel abgeleitet wird. Ich habe lange auf dem Server gesucht und musste am Ende einsehen, dass es schlicht nicht abrufbar ist, weil es so gebaut wurde. Genau das ist der Sinn: Was niemand auslesen kann, kann auch niemand stehlen.

In eine laufende Produktiv-Datenbank schaut man nur mit einem Zugang, der ausschließlich lesen darf. Für die Bestandsaufnahme unserer Loco-Soft-Daten habe ich einen eigenen PostgreSQL-Nutzer benutzt, der nichts schreiben und nichts löschen kann, nur abfragen. So konnte das Stöbern im Produktivsystem nichts beschädigen, egal welche Abfrage ich abschickte. Ein Zugang, der nur lesen kann, richtet auch im falschen Moment keinen Schaden an.

Ein öffentliches Repository auf privat zu stellen reicht nicht, man muss prüfen, ob Suchmaschinen es schon gespeichert haben, solange es offen war. Nachdem ich alle Forgejo-Repos privat gestellt hatte, habe ich es mit vier unabhängigen Prüfungen kontrolliert: Exakt-Suchen nach den einmaligen Repo-Namen, die anonyme Übersichtsseite und der direkte Aufruf, der jetzt mit 404 antwortet. Alle vier waren negativ. Privat schalten ist der erste Schritt, nachsehen, was schon nach draußen gelangt ist, der zweite.

In die Datenschutzerklärung gehören die Namen der eigenen Server nicht. Beim Schreiben der Erklärung für meine Seite wollte ich zuerst jedes selbst betriebene Werkzeug nennen, Listmonk für den Newsletter, den Mailserver, den Automatisierungsdienst. Die Vorschrift verlangt aber nur Empfänger oder Kategorien von Empfängern, kein Software-Inventar, und der einzige echte externe Auftragsverarbeiter ist der Hosting-Dienstleister Hetzner. Aus drei selbst betriebenen Diensten wurde ein einziger zu nennender Empfänger. Eine Liste interner Namen schützt niemanden, sie zeichnet Angreifern nur eine Karte.

Im Mailprogramm funktioniert das normale Passwort nicht, weil zentraler Login und Postfach zwei verschiedene Türen sind. Bei uns meldet sich der Mensch über Authentik per Single Sign-on an, doch unser Mailserver Stalwart lehnt genau dieses Passwort im Mailprogramm ab. Erst ein eigenes App-Passwort, das nur ein einziges Mal angezeigt wird, lässt das Programm durch. Ein Schlüssel für die Haustür ist eben kein Schlüssel für den Tresor.

Auf einem laufenden Produktivsystem fragt man, wenn man nicht weiterkommt, statt zu raten. Als ich kürzlich Matrix als Chat-Dienst neben den rund zwanzig Containern unserer Hetzner-Cloud einrichten wollte, war an einer Stelle unklar, wie sich die Anbindung sauber ins bestehende Muster fügt. Früher hätte ich eine plausible Variante einfach ausprobiert; heute halte ich an und kläre die Frage, bevor ich an Mail, Passwörter und Dokumente rühre, an denen der ganze Betrieb hängt. Ein geratener Eingriff am Produktivsystem ist billig im Moment und teuer in der Woche danach.

Automatisch nur für die eigenen Leute zugänglich ist ein selbst gehosteter Dienst nicht, eine App ohne ausdrückliche Zugriffsregel steht jedem offen. Beim Aufbau unseres Matrix-Support-Systems fiel mir auf, dass vierzehn Anwendungen hinter Authentik ohne Richtlinien-Bindung liefen, und manche legten bei der ersten Anmeldung sogar selbst ein Konto an. Ich habe eine Gruppe externe gebaut und allen vierzehn bis auf eine eine Sperre verpasst. Was keine Regel hat, hat als Regel: alle dürfen herein.

Anmelden heißt noch nicht berechtigen, das sind zwei verschiedene Schritte. Bei uns synchronisiert Authentik die Gruppen sauber ins Dokumenten-Archiv, und trotzdem hatten 1.747 von 1.749 Dokumenten keinen Besitzer hinterlegt, also sah jeder Nutzer jedes Dokument. Die Stufen regelten nur, wer löschen darf, nicht, wer sehen darf. Eine Tür, die jeden hereinlässt, ist keine Tür, auch wenn das Schloss teuer war.

Eine kaputt synchronisierte Datei loescht man nicht, um sie neu zu laden, denn das Loeschen wandert bidirektional zum Server. Mein Nextcloud-Client auf dem Mac hatte einen Anmeldefehler als XML in eine meiner Notizen geschrieben, statt ihn zu melden; als ich die eine Datei lokal entfernte, um einen frischen Download zu erzwingen, war sie auch auf dem Server weg. Gerettet hat mich allein die Versionierung, die noch den Stand von Minuten vorher kannte. Sync ist kein Backup, und Loeschen ist ueberall Loeschen.

Bei einem Konflikt zwischen zwei Netzwerk-Schnittstellen auf demselben Subnetz schaltet man nie die Verbindung ab, über die man gerade selbst arbeitet. Beim Debuggen einer Wallbox lagen das WLAN und ein zweiter Netzwerkadapter meines Macs auf demselben Subnetz, und um den Routing-Konflikt zu lösen, flog ausgerechnet das WLAN raus, also mein eigener Zugang. Heute gebe ich der zweiten Schnittstelle ein anderes Subnetz oder gehe über den Hotspot meines Handys. Man kappt nicht den Ast, auf dem man sitzt.

Als zweiter Faktor taugt ein Mailcode nichts, wenn man sich über genau dieselbe Anmeldung erst einloggen muss, um die Mail zu lesen. In Authentik geht der Code an die im Profil hinterlegte Firmenadresse, und auf die kommt unser Mitarbeiter erst nach dem Login, vor dem der Code ihn ja schützen soll. Wir bleiben deshalb bei einer App, die ohne Postfach auskommt. Ein Schlüssel, der hinter der Tür liegt, die er öffnen soll, ist keiner.

Ein Passkey, der nur im iPhone liegt, sperrt am Windows-PC aus, weil er das Apple-Ökosystem nie verlässt. Bei uns hatte ein Mitarbeiter in Authentik als einzige Anmeldemethode einen Apple-Passkey hinterlegt, und am Windows-Rechner bot ihm das System nur den QR-Code für den Geräte-Wechsel an, der zuverlässig nicht funktionierte. Ich habe den Schlüssel gelöscht und auf eine geräteunabhängige Methode umgestellt. Ein zweiter Faktor, der nur an einem Gerät lebt, ist kein Zugang, sondern eine Falle.

Ein Firmendokument gehoert nicht der Person, die es einscannt, sondern niemandem persoenlich. Bei uns hingen siebenhundertneunundachtzig Dokumente am Konto eines einzelnen Mitarbeiters, und ich fragte mich, was passiert, wenn der einmal kuendigt. Heute entscheidet das Scan-Profil am Geraet: Firmenpost bekommt keinen Eigentuemer und laeuft ueber den Posteingang, nur Privates bleibt an einer Person. Was allen gehoert, sollte an keinem Einzelnen haengen.

Angreifer, die fuer jeden Login-Versuch die Adresse wechseln, sperrt man nicht einzeln, sondern als ganzes Netz. Unser Mailserver Stalwart bannt eine Adresse erst nach hundert Fehlversuchen, doch die Probierversuche kamen aus einem ganzen Adressblock, jede Adresse genau einmal, alle dreissig Sekunden eine neue. So lief der Zaehler nie voll. Erst die Sperre des kompletten Blocks in der Hetzner-Firewall brachte Ruhe. Wer nur das einzelne Tuerschloss zaehlt, uebersieht, dass der Angreifer die ganze Strasse hat.

Ein zentraler, gut gesicherter Login mit zweitem Faktor. Wir haben unsere Dienste an einen einzigen Identitäts-Anbieter, Authentik, angebunden. Statt zwanzig Passwörtern auf Zetteln gibt es einen Schlüssel, dafür richtig geschützt. Bequemlichkeit und Sicherheit sind kein Gegensatz, wenn man sie zusammen plant.

Erst wenn ich ihn mit eigenen Augen geprüft habe, im Browser, am echten Fall. Erledigt im Kopf ist nicht erledigt in der Realität. Zwischen beiden liegt genau der Fehler, den sonst der Kunde findet. Umsetzen und nachprüfen sind ein Schritt, nicht zwei.

Nicht vom Kunden, wenn man es richtig macht. Wir überwachen die wichtigen Dienste durchgehend mit Uptime Kuma und bekommen eine Meldung, bevor jemand anruft. Was man nicht misst, bemerkt man erst, wenn der Schaden schon da ist. Stille Überwachung ist der Unterschied zwischen reagieren und überrascht werden.

Vor jeder Änderung eine Sicherung, ausnahmslos. Am produktiven System arbeitet man wie am offenen Herzen: erst sichern, dann schneiden, und nur das anfassen, was man wirklich anfassen muss. Mut ohne Netz ist kein Mut, sondern Leichtsinn, und hier hängen echte Menschen dran.

Abbrechen, laut und sichtbar. Einer unserer Abläufe machte bei fehlgeschlagener Datenanreicherung einfach mit leeren Werten weiter, und die leeren Werte richteten den Schaden an. Heute bricht er ab, sobald die Daten nicht stimmen. Ein sichtbarer Fehler ist ein Geschenk, ein stiller frisst sich durch, bis ihn der Kunde findet.

Nein. Seit ein fehlerhafter Abgleich unsere Website einmal komplett geleert hat, gilt bei uns eine harte Grenze: Kein einzelner Lauf darf mehr als einen Bruchteil des Bestands auf einmal entfernen. Maschinen brauchen solche Grenzen, gerade weil sie nicht zögern. Ein Sicherheitsnetz im Code ist kein Misstrauen, sondern Vorsicht.

Erst wenn man den Moment davor zurückholen konnte. Eine Sicherung, die man nie zurückgespielt hat, ist nur eine Hoffnung. Wir haben deshalb mit pgBackRest eine punktgenaue Wiederherstellung eingerichtet und geprobt. Erst die geglückte Rückspielung macht aus Daten ein Netz.

Weil sie einem sonst nicht wirklich gehört. Was nicht dokumentiert ist, gehört dem, der es zuletzt angefasst hat, und der ist vielleicht weg. Wir haben Netzwerk, Server und Zugänge sauber aufgeschrieben. Eine Topologie auf Papier ist ein Stück Unabhängigkeit, gerade im Kleinbetrieb.

Gerade die. Ein verschwiegenes Risiko verschwindet nicht, es wartet nur auf den ungünstigsten Moment. Wir führen eine offene Liste der bekannten Schwachstellen, auch der peinlichen. Verschwiegene Risiken werden teuer, benannte werden abgearbeitet.

Nur lesend. Auf Loco-Soft, die Software im Autohaus, greife ich ausschließlich lesend zu, nie schreibend. Wer in eine Quelle schreibt, die er nicht vollständig versteht, riskiert mehr, als er gewinnt. Lesen ist umkehrbar, ein falscher Schreibzugriff selten.